ガバナンス、リスク、コンプライアンス(GRC)をもっとビジネスに合わせる必要があるという認識が、ITプロフェッショナルの間で高まっている。Computer Weekly Security Think Tankの寄稿者によると、リスクとコンプライアンスに対するボトムアップ方式のアプローチを採用すれば、IT部門が関連するビジネスのリスク指標をフィルタリングして経営陣に分かりやすい言葉で伝えることができる。
運用面からのアプローチ、つまりボトムアップ方式のアプローチは、全ての事業部門にリスク管理の責任を負わせることを重視する傾向がある。Turnkey Consultingのディレクター、サイモン・パーシン氏によると、運用面からのアプローチは最下層レベルで全てのリスクが把握されてフィルターにかけられれば、必然的にあるいは体系的に、最も影響の大きいリスクが上層部で可視化されるという前提に基づく。
「これは技術よりもリスク管理プロセスに依存する。効率を上げるためには、運用層のリスク管理者がその部門の戦略的目標を認識し、特定されたリスクによってその目標がどう影響を受けるかを理解する必要がある。同様に、リスク管理者はリスクがどのように特定・分類されるかについて明確化しなければならない。それができなければリスクは一貫性を欠き、全体的な明瞭性が薄れる可能性がある」とパーシン氏は解説する。
鍵を握るのは、戦略的に重要なリスクをビジネスの最下層から提起することよりも、個々の機能にとってどのリスクが重要なのかを理解することだとパーシン氏は言い、次のように指摘した。
「経営陣は、会社の取引能力あるいは戦略に従って成長する能力に実質的な影響を与えるリスクに関心を持っている。そうしたリスクには、多数のさまざまな局面が影響を及ぼす。プロセスの効率性のように組織がコントロールできるものもあれば、政府の政策のようにコントロールできないものもある」
パーシン氏によると、運用に関する意思決定にはリスクについての詳細な情報が求められる。だがそうしたリスクは一般性が強い傾向にあり、目標も展望も大きく異なる下層部で起きているより具体的な活動によって情報がもたらされる。
ITシステムに障害が起きた場合、戦略的なトップダウンの視点から見ると、事業運営のためのIT資産コントロールが十分にできているのかどうか、それとも重大な侵害のリスクがあるのかどうかを見極めることに尽きる。
「これは高尚な問い掛けだが、運用リソース計画の達成だけでは十分とは言えない。どのOSがどの資産で運用されているのか、脆弱(ぜいじゃく)性が見つかった場合にどの資産が影響を受けるのか、どんなデータがどのサーバに保存されているのか、もしも影響を受けた場合にどんなリスクがあるのかなど、もっと詳しい情報を織り込む必要があるかもしれない」
【関連記事】
"それをフィルタリング" - Google ニュース
March 09, 2020 at 06:00AM
https://ift.tt/2vGt0H9
統合リスク管理のための指標駆動型アプローチ(TechTargetジャパン) - Yahoo!ニュース
"それをフィルタリング" - Google ニュース
https://ift.tt/3ao7xlL
Shoes Man Tutorial
Pos News Update
Meme Update
Korean Entertainment News
Japan News Update
No comments:
Post a Comment