ITのRisk managementとStrategy
IT の Risk management
Data や Software などの Information asset を Assess して、Risk を identify する。Manual と Computer では、Risk management の Methodologies が異なる。
Classification and identification
Information assets の Classification と Identification 。Criticality と Sensitivity で分類する。
Assessment
Information assets の以下について評価する。Quantitative と Qualitative で測定する。
- Threats
- Vulnerabilities
- Impact
Impact
Cyber risk impact の Likelihood と Severity を Assess するには、Senior management が IT stakeholders と Collaboration して Initiative をとる。
Individuals は、Organization の Cyber risk profile の Understanding をえる。
Valuing な IT system は、Business unit と IT stakeholders の Collaboration とCoordination が必要
Risk assessment
Information assets に関する Risk を評価する。
- Unauthorized access
- New technology
- Sketchy structure
IT の Strategy
Governance
Organizational goals を Achieve するための Processes と Structures 。Board によって Implement。
Scope concerns
System が Too small や Too large。
Scalability concerns
System が Growth にあわせて Expand できるか。Bitcoin でよく耳にするやつ。
Digitization concerns
電子化。Nonelectronic data を Electronic data に Transform 。
Digitization により New product がうまれ、また Cost を Reduce することができる。
Defense In Depth
多層防御。複数の Security controls を Layers にして、Mutually に Supportive な Control を行うCyber security の Approach。
Inevitable である Cyber breach のための Plan として取り扱われる。
End User Computing
略称、EUC。業務部門である End-user が System や Application の Development や Execution に Responsibility をもつ。
EUCは、IT の Department が置かれないことによって、Test や Validate が実施されない Problem が発生する。そのため、Control が必要となる。
Risks
EUC のリスク。
- Existing systems との Integrate ができない
- Testing と Documentation が Inadequate
- Data input controls が Poor
- System design が Poor
- Management が Risk を把握できずに Systems を Rely
