最后更新时间:2025年9月3日
最近的一份报表发现,在过去的几年里,75%的组织不得不改变他们的网络安全方法。虽然组织已经推动了数字前沿,但它们现在比以往任何时候都处于更多威胁行为者的靶线上。一个组织应该如何反应?
管理防御的方法有多种,其中之一是IT风险管理。本入门指南将帮助您了解IT风险,以及在成长型企业中衡量和管理这些风险的重要性。
什么是IT风险?
IT风险是IT基础架构内产生的漏洞和威胁,可能会对业务产生负面影响。负面影响可能是金钱损失、客户数据泄露、运营停止、违反合规行为,甚至对品牌声誉和商誉的打击。
从形式上讲,IT风险可以分为四个方面。
i) 安全性,例如未经授权访问业务关键型数据。
ii) 可用性,例如关键基础架构组件的中断。
iii)性能,例如网络速度差导致生产力下降。
iv)合规,例如遵守GDPR法律或因不遵守GDPR法律而受到重罚。
每个类别的 IT 风险都来自三个组成部分。
风险=威胁x漏洞x资产
资产被认为是任何具有宝贵信息的IT资源。它可以是业务关键型服务器,也可以是管理关键服务器的个人或团队。IT供应链中任何可观的增值组件都被视为一种资产。
漏洞和威胁是同一枚硬币的两面。漏洞可能是组织流程差距、资产设计的疏忽、软件代码中的错误或员工缺乏知识。归根结底,漏洞是组织中的弱点,可以被利用来造成损害。
威胁是恶意代理利用已知或未知漏洞的可能性。威胁可能是内部不满的员工扰乱业务,或者外部黑客将恶意代理注入供应链。
因此,IT风险是威胁的概率和漏洞对该特定漏洞所涉及的资产数量的潜在影响的结合。
虽然IT风险计算似乎是一个数据支持的定量值,但在实践中,组织经常使用定性评级。通常,不可能确定特定于资产、威胁或漏洞的IT风险的有形价值或概率。例如,当连接到不安全的网络时,威胁者访问远程员工工作站的概率无法准确量化。
因此,IT风险分析的目标是识别并确定组织面临的风险的优先次序,以便按照紧急顺序将其中和。
2024年IT风险管理的重要性
所有行业的企业都发生了变化。云在组织中已经流行起来,BYOD政策盛行,实施网络安全实践是重中之重,企业人工智能的风险迫在眉睫。
随着这么多组织经历数字化转型,IT风险因素也相同时成倍增加。毫不奇怪,在过去24个月中,84%的组织没有系统地应对风险和合规性工作,其服务器、网络或IT管理软件面临IT供应链中断。
现在,随着人工智能驱动的生产力的出现,组织正在进一步面临新的风险,例如不断学习的LLM泄露机密公司数据。事实上,一份调查报表称,61%的组织担心在其运营中使用生成人工智能可能产生的业务风险。
因此,实施IT风险管理的正式方法,通过总体治理、风险和合规(GRC)战略,组织可以显著免疫其运营,使其免受中断。
IT风险管理的主要优势和现实生活中的例子
改善基础架构可用性
IT基础架构的彻底风险管理包括绘制其潜在故障点,并建立其功能的持续维护和维护。
案例:2023年1月,联邦航空管理局(FAA)面临系统中断,导致数千家航空公司停飞数小时。失败的系统被称为“空中任务通知(NOTAM)”数据库,所有飞行员在起飞前必须检查该数据库,以检查是否有任何跑道关闭。NOTAM是一个遗留系统,是一个关键的故障点。适当的风险管理流程将导致升级系统或添加额外的检查以保持其服务可用性。
更好地控制品牌声誉
业务生产力的下降可能会产生级联效应。影响企业客户的生产力的重大损失进一步削弱了商誉。
案例:达美航空在美国航班取消率最低方面取得了令人印象深刻的记录,并建立了可靠的声誉。然而,在2016年,整个组织的停电导致超过1500个达美航空航班被取消,导致数千名乘客在机场过夜。随着滞留的旅行者开始在X(以前的推特)上发布这个问题,其可靠性的声誉受到了打击,使#Delta成为热门话题,引起了全世界的负面关注。这些是由于没有通过后退计划缓解的停电而导致的IT基础架构可用性风险,从而导致大规模的运营失败。
促进创新举措
当无法避免或消除的风险和不确定性被确定并明确传达给员工时,您的组织可以开发独特的解决方案,以确保生产力不会受到影响。员工可以放心地使用这些解决方案,因为它们的设计是为了适应沟通的风险。
案例:退伍军人事务部(VA)管理着美国最大的综合医院网络之一。为了利用人工智能等最先进的技术为患者,同时减轻泄露机密健康数据的风险,退伍军人事务部启动了网络创新计划(CIP)。通过CIP,VA的技术团队试行新系统,例如使用VR耳机进行医疗分析,在外部环境中进行模拟和测试,然后逐渐将它们引入VA的系统中。CIP是消除任何IT风险的试验场,确保退伍军人在启动一项倡议后不会面临任何摩擦。
更敏锐的决策
IT风险管理基本上将IT基础架构的漏洞、威胁和弱点正式化。随后,它为IT领导者提供了一种结构化的决策方法,以使其战略和运营决策。有了明确定义的风险因素,利益相关者可以推断到假设情况,并在实施新举措之前就其效率进行辩论。
案例:纽约梅隆银行建立了一个人工智能模型,以预测和降低国库市场无法结算的交易风险。风险预测模型帮助其数字银行团队预测了大约40%的结算失败。
IT 风险管理如何与其他 ITSM 实践互动?
由于IT风险管理的目标是确保IT基础架构的机密性、完整性和可用性,因此它与可用性管理、IT服务连续性管理和信息安全管理密切相关。
可用性管理(AM)侧重于实现组织当前的应用程序和服务要求,并制定计划以扩大未来需求。作为风险管理的一部分,记录和管理停电时出现的可用性风险。此外,当这些风险浮出水面时,它们被当作事件和问题来管理。
IT服务连续性管理(ITSCM)涉及在灾难期间和灾难之后保持服务可用性和性能。自然,这个过程涉及评估风险、分析风险以及绘制可能严重影响IT服务和应用程序的风险图。
最后,信息安全管理(ISM)管理与组织数据的机密性和完整性相关的风险。与其他做法类似,使用标准化的风险评估技术映射了PII、健康信息或财务数据等敏感数据的潜在风险,并使用各种风险管理策略中和。
有效的IT风险管理背后的流程
IT风险管理属于企业GRC部门的范围。因此,作为GRC活动的一部分,每个风险管理流程都涉及几个常见步骤。
1.识别您组织的风险和漏洞
IT风险取决于您的业务规模、行业以及支持的应用程序和服务类型。与管理全球医院网络的IT部门相比,管理零售连锁店的IT商店的风险识别将有所不同。
对于零售店来说,风险将与支付处理系统或其库存系统有关,而跨国医疗保健中心将面临保护患者健康信息、电子邮件服务器、医疗系统等的风险。
有多种方法可以开始风险识别过程,例如优势、劣势、机会和威胁(SWOT)分析、假设分析、亲和力图或简单的员工反馈系统。
2.对已确定的风险进行分类和评估
一旦确定了风险,就可以对其进行分类,以有效评估它们。通常,IT系统的风险可以分为外部、内部、故意或无意。或者,它们可以根据影响进行分类,例如服务连续性、安全性、品牌声誉或收入。
一旦分类,评估风险的方法取决于其类型。如果是定量风险,它将以货币来评估和衡量。例如,如果风险与服务器故障有关,定量测量将包括服务器成本、服务器中断时每分钟收入损失的估计、中断的历史频率和其他类似参数。
另一方面,IT风险的定性衡量是通过判断和意见来确定的,这些风险是基于概率结果。
一旦评估了风险,它们就会被添加到风险评估矩阵中。
3.制定缓解措施
评估完成后,开始采取措施来消除风险。这些IT风险控制可以是额外的安全层、严格的政策,甚至外包给外部机构。一旦IT风险管理计划到位,组织选择网络保险也被认为是最佳做法。
为了降低与未经授权访问关键服务器、数据中心和数据存储级别相关的风险,请安装生物识别扫描仪来过滤访问。缓解策略本质上是积极主动的。实施它们是为了减少组织中发生已识别风险的可能性。
4.制定响应计划
当组织在缓解努力的情况下面临风险时,应对计划就会生效。这是管理IT风险的被动方法。例如,IT中断将被记录为风险,尽管采取了缓解措施,但当发生中断时,重大事件响应计划就会启动。
应对计划的目标是在事件恶化之前减少事件,确保在事件发生后仍能继续开展关键业务功能,找出事件的根本原因,并确保此类事件将来不再发生。
事件管理和问题管理实践与组织中应对和减轻IT风险相关的活动相交。
5.持续监控和识别新风险
最后,需要一个反馈系统来持续监控任何记录在案的IT风险,并识别组织扩大时可能出现的新风险。IT系统具有复杂的监控和可观察性平台,可以持续监控基础架构的任何潜在故障或威胁。该平台监控广泛的事件和遥测数据;用户访问日志、RAM使用情况、网络带宽使用情况、温度等活动可以在IT风险仪表板上展示,以帮助IT团队更好地推断风险。
这些连续监控系统还开辟了从历史数据中预测未来事件的可能性。目前,使用人工智能模型,可以评估非结构化遥测数据,从过去的事件中得出见解并推断模式。从这些监控系统中确定的任何新风险都会再次经历整个风险管理过程,从而产生一个周期。
常用的IT风险管理框架
根据行业标准和要求,有许多IT风险管理框架(RMF)。IT RMF为IT团队提供了一个标准化的结构和工作流程,以建立他们的政策、风险缓解措施和监控系统。
以下是一些流行的IT风险管理框架:
| 框架 | 出版组织 | 关于框架 |
|---|---|---|
ISO 27001和ISO 27002 | 国际标准化组织(ISO)和国际电气技术委员会(IEC) | 建立控制措施,以减轻未经授权的访问和网络攻击造成的信息安全风险 |
NIST 800-53和NIST CFS | 美国国家标准与技术研究所 | 保护存储和传输政府数据的信息系统 |
AICIPA和SOC 2 | 美国注册会计师协会 | 降低客户数据的安全漏洞风险 该框架根据五项原则运作:保密、可用性、完整性、隐私和安全 |
Expression des“叠esoins”的“爥痚t Identification des de S茅curit茅(EBIOS) | 法国网络安全局(ANSSI),法国 | 一个专注于信息安全的网络风险管理框架,在法国公共机构中很普遍 |
网络安全成熟度模型认证(CMMC) | 美国国家标准与技术研究所 | 强制美国政府的承包商和分包商与信息安全标准保持一致 |
八度快板 | 卡内基梅隆大学(CMU),美国国防部 | 一种自我指导的风险评估方法,专注于减轻ITOps风险。该方法面向拥有少数IT团队成员的小型组织,是风险管理之旅的完美起点 |
公平的IT风险管理 | 杰克A。琼斯,FAIR研究所 | 一种用货币评估风险的定量方法 |
管理IT风险的常见方法
管理IT风险的方法有四种类型,每种方法都可用于要减轻的风险类型、组织文化和风险管理策略。
完全避免风险:IT团队可以完全避免承担某些风险,例如在访问业务服务时收集客户的位置数据。虽然数据与企业运作有关,但IT团队可以选择避免承担安全收集和存储此类敏感数据的风险。虽然IT风险管理作为一个整体旨在管理已确定的风险,但风险规避策略只是消除了企业高效运营的不必要的风险。
降低风险的可能性:这些是用于减少组织中发生已确定风险的可能性的缓解策略。一个简单的例子是使用ITOps监控系统来主动衡量组织中的任何网络或服务器中断。
保留风险:保留风险是接受企业面临的风险。这类似于风险规避,即没有采取任何行动来应对暴露的漏洞。当风险发生的概率极不可能,并且减轻风险所需的资源过高时,就会采取这种方法。例如,如果遗留系统没有连接到互联网,并且不包含任何业务关键型或敏感数据,那么组织将面临风险低但高昂的升级成本。他们可以选择简单地接受风险。
共享或转移风险:风险转移是指组织与外部供应商或其他组织合作,将风险管理外包。转移IT风险的组织的一个常见例子是为其IT流程与MSP签订合同。虽然这种方法将责任转移到MSP,但组织仍然必须评估和分析转让的第三方风险。IT部门另一个常见的风险转移是,当网络保险公司在发生网络攻击时承担组织的金钱风险时。
IT风险管理
最佳实践
从基础框架开始旅程:如果您的组织刚刚开始其IT风险管理之旅,一个好的经验法则是尝试将任何行业标准作为基线,然后在组织成熟地了解风险管理流程和收益时在此基础上进行建设。一般来说,组织从NIST 800-53或ISO 27001等流行的框架开始。
经常评估IT风险:IT部门需要采取始终进行的方法来评估风险。IT基础架构在不断变化,威胁格局也在不断开发突破防御的创新方法。此外,验证所评估的风险也同样重要。最佳做法是制作文件来验证答案,并确保答案得到内部利益相关者的批准。
通过领导层的信任投票制定政策:通常,当员工接受教育或获得有关 IT 风险的待做和不该做指导时,这可能会导致部分成功的合规性,只有部分员工遵循指导方针。最佳做法是从上而下开始:让C-suite接受并制定具体的IT风险管理政策。有了这些政策,员工就很容易遵守这些政策并保持问责制。
保持严格的供应商风险评估:您的IT基础架构和数据可能会面临来自外部利益相关者的风险,例如您的组织依赖的供应商。必须对供应商进行彻底的分析,并列出详尽的问题清单和文件,以验证他们的声明。保持一份严格的合同,措词不会被误解,并传达有关事件响应时间表、报表、离岸数据访问、服务水平目标(SLO)和服务水平协议(SLA)的期望。
组织可扩展性因素:如果您的组织处于增长阶段,则不能每年对风险管理策略进行改革以解释这些变化。确保您已经建立了风险管理策略,该策略可以考虑增长因素,例如新威胁的范围、供应商的增长或员工人数的变化。规划可扩展风险的几个例子是设置一个流程,在组织中使用之前分析任何新技术,并选择组织在未来几年可以使用的软件。
IT风险管理清单
当您开始实施IT风险管理策略和评估时,很容易错过一些最佳实践,这可能会在以后造成挑战。因此,我们起草了一份简短的清单,以帮助您保持正常进行!
- IT风险管理流程是否针对组织文化量身定制?
- 在风险评估过程中,是否可以与外部和内部利益相关者建立沟通?
- 高管是否将网络安全和风险缓解视为业务关键组成部分?
- 该组织是否确定了他们每天可以运营的IT风险水平?
- 贵组织有CISO吗?
- CISO或任何权威实体可以执行IT风险管理政策吗?
- 您的IT风险管理策略是否考虑到了组织的短期和长期目标?
- 业务部门是否有框架来识别、衡量、监控和控制他们面临的IT风险?
ServiceDesk Plus如何提升IT风险管理工作?
ITSM平台有助于简化IT服务交付,其中包括管理事件、识别问题、跟踪硬件资产和软件合规性以及其他实践。这些做法的性质补充了IT风险缓解和风险监控流程。例如,如果出现任何已识别的风险(如网络安全威胁),事件响应工作流程将作为事件管理工作的一部分启动。
ServiceDesk Plus是ManageEngine的统一服务管理平台,通过其自动化事件响应工作流程加速了风险缓解。从IT基础架构发出的任何告警都会触发事件工作流程,这将通过自动向相关技术人员发送通知来打破协作障碍。
当IT环境中的新漏洞被识别并归类为IT风险时,ServiceDesk Plus可以帮助找到其根本原因,并使用“问题”模块将其从IT环境中根除。您还可以在 ServiceDesk Plus 中管理已知错误数据库,以对已知漏洞进行分类。
另一个高风险概率的主要领域是组织中使用的硬件和软件。作为ITSM平台,ServiceDesk Plus可以发现、分类和跟踪硬件,如工作站、服务器、路由器等。ServiceDesk Plus中的资产模块还可以跟踪软件,识别其使用情况,并显示所有正在使用的软件的许可证合规性状态,从而降低资产丢失和软件不合规的风险。
ServiceDesk Plus中的CMDB提供了IT基础架构的可视化地图以及每个组件之间的关系。IT管理员可以随着IT基础架构的扩展而对其进行修改和跟踪。随着IT基础架构中新增新组件,IT风险经理可以持续更新风险概况。通过关系图,IT风险经理还可以推断任何IT组件的任何停机的影响。
如果您想改造您的IT服务管理以改善您的GRC态势,请尝试ServiceDesk Plus 30天,不问任何问题。或者您可以安排演示,在此期间,我们的产品专家将根据您的需求配置ServiceDesk Plus并展示它。
