Guide de gestion des risques pour les systèmes de technologie de l'information

Analyse des risques

• L'analyse des risques est un élément essentiel d'un programme de gestion des risques. L'organisme doit identifier, évaluer et attribuer une valeur à la survenance d'un événement. Cela implique la détermination de la probabilité réelle d'un événement, puis à déterminer l'impact sur l'entreprise et l'attribution d'une valeur monétaire à cet impact. Cela permet de déterminer une stratégie pour faire face au risque. Par exemple, un orage peut désactiver un centre de données pour une période de temps prolongée, en fonction de la quantité de dégâts. Si les systèmes d'information sont en baisse, les ventes, service à la clientèle, les communications et un certain nombre de fonctions de l'entreprise sont touchés négativement. Cela se traduit en dollars perdus pour la société.

  
  

  
  
  

  Il ya de nombreux risques auxquels sont confrontés tous les groupes de technologies de l'information et une analyse correcte des risques cherche à débusquer tous. Des catastrophes naturelles aux catastrophes artificielles à des défaillances matérielles et logicielles catastrophiques, tous les risques potentiels doivent être documentés et analysés pour déterminer la probabilité réelle d'un événement.

Stratégies de risque

• Une fois que les risques sont identifiés, analysés et évalués, l'organisation doit faire face au risque d'une certaine façon. Il ya trois réponses de base à un risque identifié: éliminer les risques à atténuer (ou action) l'risques ou accepter le risque. La décision est fortement influencé par le coût de la stratégie par rapport à l'impact du dollar devrait se matérialiser dans le risque d'un événement.

  
  

  
  

  Si le risque est élevé et l'impact est élevé, l'entreprise peut décider d'investir massivement dans l'élimination ou l'atténuation du risque. Si le risque est faible et l'impact est faible, l'entreprise peut décider d'accepter le risque. Par exemple, si il ya un risque élevé de tornades en raison de la situation géographique d'une entreprise, il ya une menace reconnue pour le centre de données qui abrite les systèmes de technologie de l'information. Le risque est élevé et l'impact pourrait être très coûteux. Dans ce cas, l'entreprise peut décider de faire plusieurs choses: mettre en œuvre une bonne stratégie de sauvegarde avec des données de sauvegarde déplacés hors-site-vous abonner à un site- de récupération de remplacement et souscrire une police d'assurance des pertes d'exploitation. stratégies des systèmes de technologie de l'information appuient généralement fortement de la capacité de restaurer les données à partir de sauvegardes, il est donc essentiel que la stratégie de sauvegarde et de restauration être testés plusieurs fois par an.

Atténuation des risques

• Une organisation peut atténuer ou réduire le risque pour ses systèmes d'information de plusieurs façons. La première consiste à mettre en œuvre des contrôles qui réduisent le risque. Par exemple, si un risque identifié concerne la sécurité physique d'une salle de serveurs, l'entreprise peut choisir d'installer accès à la carte ou même les portes d'accès biométriques. Cette action permettrait de réduire considérablement le risque d'une intrusion physique.

  
  
  

  Cyber-attaque est un autre risque commun. Si une entreprise est connecté à Internet, il est soumis à une cyberattaque. L'entreprise peut choisir de réduire ce risque en installant un pare-feu sur la connexion Internet pour garder les intrus. Ces options d'atténuation sont généralement mis en œuvre en tant que témoins.

Contrôle des risques

• Les contrôles des risques pour la technologie de l'information, notamment des contrôles préventifs et de soutien à la réadaptation. commandes de soutien comprennent les systèmes matériels et logiciels, des systèmes d'identification de l'utilisateur, la cryptographie et les outils d'administration de sécurité. Les contrôles préventifs sont la sécurité physique, les systèmes de protection contre les intrusions, l'authentification et les systèmes d'autorisation et les systèmes de contrôle d'accès. contrôles de récupération sont en place pour traiter un événement qui est en cours ou a déjà eu lieu. Ces outils comprennent des audits, les systèmes de détection d'intrusion, systèmes d'exploitation, et de sauvegarde et de restauration des systèmes.

  En plus de ces contrôles techniques, une entreprise peut mettre en œuvre des contrôles de gestion, y compris la séparation des tâches, la formation, les exercices de récupération après sinistre et audits informatiques périodique. Tous ces contrôles sont essentiels et nécessaires à la protection des systèmes de technologie de l'information de l'entreprise.