CIO经验:IT风险控制防胜于治

日期: 2012-05-06 来源:TechTarget中国 英文

  随着现代科技的不断发展和渗透,处于信息时代的企业,业务经营活动、各种数据以及财务报告的产生与传递,越来越多地依赖IT系统的自动化处理,高度自动化的过程,带给企业高效率的同时也带来业务风险。那么IT如何去控制这些风险,最大化发挥IT价值帮助企业的业务发展,是每一位信息化管理者正在思考的问题。到底该如何着手去做这事情,记者采访了耐世特汽车系统(苏州)有限公司IT经理刘哲,他结合公司实际经验,分享了IT风险控制,防大于治的观点。

  好制度造就“人人有责”的风险管理文化

  耐世特汽车系统公司是转向系统及相关先进技术的全球供应商,该公司为通用、福特、克莱斯勒、大众、标致雪铁龙、菲亚特、宝马等60多家汽车制造商设计、制造、销售电动助力转向器、液压助力转向器、转向管柱和传动轴产品,是全球一级汽车零部件供应商。公司在全球34个国家和地区设有制造厂、客户服务中心和技术研发中心,在苏州分布着两个工厂和一个研发中心,同时,在苏州部署了亚太区的一个数据中心。面对公司如此庞大的组织和信息化要求,做到有效控制IT所可能面临的风险,是至关重要的。

  建立完善和健全的风险控制制度,是IT风险控制的前提条件,也是最重要的。一般来说,在规划信息化的时候,除了要关注IT技术外,更要建立能使IT正常运转的制度,或者称为IT治理机制。通过机制的建立,清楚的定义出IT组织可提供什么样的服务,强调IT风险控制其实就是企业重要的组成部分,继而通过推动流程优化、操作规范等控管手段,达到完善IT治理,减少IT风险的目的。

  据资料显示,经常对泄密的事件调查后发现,一般是内部人员的不注意造成的后果远远大于外部人的窃取。刘哲介绍说:”在耐世特内部,即便是IT经理也没有任何应用系统方面的访问特权。我们选取HP作为全球的基础架构支持服务提供商,不单单是出于技术层面的考虑,主要是由第三方控制管控IT系统的访问权限,更能有效地隔绝那些’不经意’的信息泄漏。经常有用户过来,会跟我说请帮忙在某个目录下开个权限。但我只能告诉他,很不好意思我没有这个权限,作为IT经理也并具有任何超级权限。”这就是通过制度对内部人员进行权责分明,实现防治风险的有效方法,ITSOX中的”Segregationofduties”就是这样被有效实现的。

  同时耐世特选择通过实行外包,有效转嫁部分风险给有着专业管理的第三方供应商,专业的人做专业的事,其抗风险性会更强。”比如说,我们去年就把公司的邮件系统转移到了Google的云计算平台上,至少我比较不担心因为服务器问题导致数据丢失邮件的状况了。Google的数据中心会比较专业。”刘哲笑着说。

  在耐世特有很好的团队合作和追求卓越的氛围,制度的制定不只是单个部门在运作,IT的风险控制其实是涵盖在整个公司的风险控制框架内的。全民动员做管控,包括财务、人力资源、质量等部门。比如每个员工入职时,人力资源部会要求签阅员工手册,并告知公司信息安全方针。同时,除了每年接受外部事务所的IT年审外,公司还设有专门的内控审计小组,对IT流程进行评估,并针对每次的审计结果再次给出合理化流程,形成不断改进良性循环的文化。

  练好内功加强对风险未知性的管理

  人们都知道,最大的风险来源于对问题的未知性。面对日益复杂IT运行环境,随着系统越来越多,可能产生的问题也是越来越多。信息部门最重要的工作之一就是评估相关风险对企业的经营的影响,并有效加以控制。刘哲说:”IT只有先修练好内功,做好一笔清晰的账本,才能做到有效管理”。他说到的修炼内功,指的是该公司基于ITIL的实践框架,利用了开源软件,构建了属于IT自己的运行维护管理系统,通过系统管理所有用户的账号情况、固定资产、维保及合约管理等日常流程,用零投入的方式实现了IT业务流程的系统化。

  IT风险是一种潜在的可能,是指某些威胁将会造成IT资产甚至相关资产的损失或者破坏。因此尽可能地将自己知道的风险情况,把所有可能的事情都列举出来,防患于未然。随时随刻都清晰明了的掌控所有资产和用户的安全状况,比如电脑和账户管理,可精确到每台电脑位置在哪里,谁在用,电脑编号,更换情况等。这种集中管理账户的模式,既明显减少管理工作量也大幅提高了效率,所有账户的管理都不再各自为政,而是归并到统一的管理平台上,全公司员工的应用授权工作可以一步到位。

  在正常情况下系统运行稳定,也会很少遇到风险,但问题和错误往往会出现在变更中,因此如何做好变更管理也是风险控制中最至关重要的一环。公司有很多的服务器和网络设备,为了保证正常运行,每年都会做维保。该系统能提供保单情况跟踪,定期有email提醒是否需要续保或定期保养。对于应用系统变更,会控制到每次变更到哪一步、追踪步骤、故障情况、修理状况,以及最终解决结果,直观清晰地展示给相关技术人员,从而保障了业务连续性,最小限度地减少业务损失。

  实施人性化精益管理,有效防错机制

  有效的安全防卫不仅是技术问题,也是一个管理问题,只有在人性化管理下才能实施有效防错机制。作为IT经理,刘哲就很关心用户的不同特质,继而制定行之有效的IT机制。比如他关注到新员工特别是80,90后中,微博渐渐取代了短信的趋势。可能几年前,我们还在为对办公室上网行为做那些限制而努力,哪些网站不能上,哪些端口要封,相比现在虽然也有限制,但这些限制已经变得越来越无力。每人都有手机,公司又不可能颁布禁止员工带手机或者屏蔽信号等不合时宜的举措。因此他认为,作为IT管理者,应该换一个角度来看,时代在不停进步和发展,千百年的故事和道理告诉我们:疏胜于堵。

  在IT风险控制上,有的风险随着信息化的发展越来越大众化,因此IT人员不仅关注设备上的管理,还要对人员进行疏导和培训。教员工如何保护自己的隐私不被泄露,如何利用软件在手机上、电脑上进行数据保护。通过这样的人性化的知识传输,员工更容易接受。在教员工如何保护自己隐私的同时,也保护了公司的数据安全。

  同时对文件的管理,耐世特有很详细的规定,实行将文件分类分级管理,会设定哪些文件是机密类型,哪些是绝对不能放在共享盘的,哪个部门可以看哪些文件。比如对于汽车行业最重要的工程图纸之类是高度保密的,就不能放在公共平台上。同时设定每个目录都有数据责任人,负责管理该类别下的所有文件和使用者权限,使用者必须要获得该责任人的授权。IT部门还会定期跟这些责任人核对管理和执行情况,详细查看各目录的所有文件和被授权者状态,对由于人员变更可能出现的问题加以分析和指导。

  作为汽车行业的耐世特提倡精益管理,在为顾客提供满意的产品和服务的同时,努力把浪费降到最低程度。IT风险控制提倡任何防错的机制,与其防治不如避免错误的发生,努力消除或降低风险的可能性。比如面对现在五花八门纷繁复杂的加密软件,与其要一个个安装实施,还不如教他哪些资料不要放上去了。当然我们不是讳疾忌医,并不是因为有风险就什么都不敢做不去做,是要做到有选择、有区别的操作。

  最后,刘哲还强调:每个公司的IT要有一个自己的底线,哪些是一定要控制住的,哪些是可以放开的,是必须严格要求执行的。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • ITIL 4努力跟上ITSM趋势

    ITIL的新指南将于2019年初发布,这是设计、交付和维护IT服务的广泛采用的框架。ITIL 4是IT服务管理 […]

  • 战略型CIO上任第一天:寻求IT卓越运营

    作为一名战略型CIO,上任第一天就有可能向他们的上级管理层推出战略项目,但是很可能,这一举措还为时尚早。

  • 专家:有多少云计算风险可以避免?

    IT服务供应商CDW公司的云技术专家Stephen Braat,日前分享了他对于云计算风险管理的看法。

  • CIO如何构建云服务管理框架?

    云风险管理最重要的不在于云服务提供商本身,而是大企业缺乏一种针对云计算的统一框架。诸如数据隐私和安全等技术相关的云计算风险本身就处于快速的变化中,即使技术本身也因服务或提供商的不同而存在显著区别。