ITのRisk managementとStrategy 

IT の Risk management

Data や Software などの Information asset を Assess して、Risk を identify する。Manual と Computer では、Risk management の Methodologies が異なる。

Classification and identification

Information assets の Classification と Identification 。Criticality と Sensitivity で分類する。

Assessment

Information assets の以下について評価する。Quantitative と Qualitative で測定する。

  • Threats
  • Vulnerabilities
  • Impact

Impact

Cyber risk impact の Likelihood と Severity を Assess するには、Senior management が IT stakeholders と Collaboration して Initiative をとる。

Individuals は、Organization の Cyber risk profile の Understanding をえる。

Valuing な IT system は、Business unit と IT stakeholders の Collaboration とCoordination が必要

Risk assessment

Information assets に関する Risk を評価する。

  • Unauthorized access
  • New technology
  • Sketchy structure



IT の Strategy

Governance

Organizational goals を Achieve するための Processes と Structures 。Board によって Implement。

Scope concerns

System が Too small や Too large。

Scalability concerns

System が Growth にあわせて Expand できるか。Bitcoin でよく耳にするやつ。

Digitization concerns

電子化。Nonelectronic data を Electronic data に Transform 。

Digitization により New product がうまれ、また Cost を Reduce することができる。

Defense In Depth

多層防御。複数の  Security controls を Layers にして、Mutually に Supportive な Control を行うCyber security の Approach。

Inevitable である Cyber breach のための Plan として取り扱われる。

End User Computing

略称、EUC。業務部門である  End-user が System や Application の Development や Execution に Responsibility をもつ。

EUCは、IT の Department が置かれないことによって、Test や Validate が実施されない Problem が発生する。そのため、Control が必要となる。

Risks

EUC のリスク。

  • Existing systems との Integrate ができない
  • Testing と Documentation が Inadequate
  • Data input controls が Poor
  • System design が Poor
  • Management が Risk を把握できずに Systems を Rely