大咖介绍
内容来源:2018年3月31日,普华永道安全经理张文祺在杭州之江饭店会议中心进行《如何提升企业安全治理》演讲分享。博学网作为主办方,经和讲者审阅授权发布。
案例分析
案例一:
在2016年4月22日亦庄数据中心断电,造成了七个小时的电力故障,原因是加载了太多的东西,电力无法支撑了,电力的超负荷工作导致某村镇银行和多家金融机构托管在该机房的所有设备宕机,服务全部中断。
案例二:
在2016年5月12日Salesforce的多活数据中心崩溃,开始是纽约站点然后切换到芝加哥,最后导致了北美的14个站点切且丢失了4个小时的数据。很多大型超市都有Salesforce的服务支撑,这场停电导致了许多超市的数据丢失。
案例三:
2016年10月12日美国东海岸网站集体宕机,持续了7个小时。原因是物联网设备漏洞,被利用进行的DDOS攻击。
目前主要的攻击来源于两类,一类是对底层的攻击也就是上面所说的停电或者说是网络中断、DDOS攻击。他们说造成的结果通常只是“丢”第二种攻击来源于web的,直接从上层进来,目的是“偷”。
Governance、Risk and Compliance他把治理、合规和风险融为了一体。信息安全是要解决我们所面临的风险。我们整个的目的是为了进行风险的防护。
从整体的治理而言有非常多的方法论,通常最主推的是IT Governance,要把信息安全融入到所有的IT环节中去。
口令管理和密码管理的区别
口令管理指的是日常登录信息系统所要做的事,它依托于认证模块或指路模块。
密码管理是对所有的资产进行分级,每个级别进行对应的加密。
什么是世界级的IT?
与业务保持一致并提供透明的价值
通过适当的IT治理机制来获得最高管理层的关注
从事性能测量
致力于持续改进
企业治理机制
企业治理是董事会和执行管理层的职责和实践目标是:
提供战略方向
确保实现目标
确定风险得到适当的管理
确认企业的资源是负责任地使用
企业治理推动IT治理
企业治理的内容:
一致性:遵守法律、政策、审计要求等
性能:提高盈利能力、效率、有效性、增长等
IT治理的需要
需要一种结构化的方法来管理这些和其它挑战
这将确保有商定的目标,良好的管理控制和有效的绩效监测以保持跟踪并避免意外结果。
为什么进入IT治理
尽职调查
IT对业务至关重要
期望和现实不匹配
它还没有得到应有的重视
它涉及巨额投资,风险大
巴塞尔协议II将运营风险与金融服务机构的资本要求联系起来。风险越低,资本要求越低。
COSO ERM框架
企业风险管理框架
控制和风险评估的框架
更加注重风险管理
框架来有效地识别、评估和管理风险
2004年出版
扩展的集成框架