【技术架构】技术风险管理
技术风险是任何潜在的技术失败,以中断您的业务,如信息安全事件或服务中断
- 介绍
- 关于技术风险你需要知道的
- 技术风险评估的好处
- 如何进行技术风险评估
- 深挖:临终管理
- 深挖:合规
- 深挖:复杂性
- 结论
技术风险管理导论
让我以一个令人震惊的例子开始,它说明了一个失控的IT风险事件是如何造成灾难性的影响的,就像发生在达美航空子公司Comair的事情一样。在一个繁忙的12月,科梅尔的机组调度系统出现了故障,因为它每个月只能处理一定数量的变化。该系统突然停止运行,导致近20万名乘客在圣诞节前夕滞留在美国各地。这一事件直接造成的收入损失估计为2 000万美元。最新的EA目录为您提供有关所有应用程序的信息,包括应用程序所基于的技术。这可以帮助您评估哪些应用程序可能处于风险之中,因为底层的IT组件不再受到支持,并且可以让您跟踪自己的技术标准。由于不支持的技术部件而发生的事故平均将花费公司约60万欧元。
在这个权威指南中,你将学习如何避免这种情况。
关于技术风险你需要知道的
大多数公司更擅长引进新技术,而不是淘汰它们。运行不受支持的技术的成本可能很高。IT中断和数据泄露的成本高达数百万美元。在技术的生命周期结束时,IT管理必须处理诸如集成问题、有限的功能、低服务水平、可用技能的缺乏以及缺少供应商的支持等挑战。
仅20家最大的技术供应商就提供了超过100万种不同的技术产品。相关的信息,比如生命周期,每天都在变化。
大多数公司更擅长引进新技术,而不是淘汰新技术。67%的CIO表示他们的技术风险管理是无效的。
如果您正在研究如何进行技术风CIO险评估,那么这个故事对您来说可能已经很熟悉了。这就是为什么我们创建了一个明确的技术风险评估指南。
技术过时-受益于技术百科生命周期目录以避免风险[白皮书]:学习如何管理技术风险,从生命周期到业务影响。»
技术风险格局正在迅速变化,这主要是由于区块链等新兴技术或微服务等新方法。如果不进行相应的处理,就会导致IT风险的增加,从而增加整个企业的风险。
根据毕马威的技术风险管理调查,技术风险管理需要发展,以准备这个新的、快节奏和颠覆性的世界。许多组织在数字运作时代不认为技术风险是一个价值中心,仍然停留在传统的、以合规性为中心的技术风险方法中,这些方法不能提供对技术资产、过程和人员的最佳控制——包括静态的定性度量、反应性风险决策和缺乏创新。
你知道吗? 72%的组织在技术风险问题已经出现时,会将技术风险团队带进项目,47%的组织甚至在没有进行风险评估的情况下就采用了移动应用程序和设备等技术。
技术风险评估的好处
这样做有很多好处。其中有:
降低成本
通过评估每个IT组件的功能适合度和业务临界性,找出最佳技术。这让您可以跨区域或办公室选择标准,从而减少冗余的应用程序和/或技术。例如,我们为什么要使用Oracle和MySQL?
当其中一项可能适合整个组织时,我们将支付两项费用。你可以在这里了解更多。
降低了风险
如果我们还没有把软件升级到最新版本会发生什么?或者更糟的是,为什么我们要使用五个不同的版本?这可能是由于底层技术。依赖于底层应用程序的其他应用程序可能最终导致整个组织内错误的滚雪球效应。识别和理解存在哪些底层技术、它们的生命周期和任何软件依赖关系是至关重要的。
图1:IT组件矩阵显示了IT组件关于其提供者和技术栈的生命周期。
提高敏捷性
大多数公司都在努力解决的一个问题是标准化。当我们没有明确的标准定义时,事情很快就会变得混乱。一旦定义了这些标准,我们还必须确保它们得到遵守。理想情况下,人们不应该挨家挨户地评估,例如,涉众遵守IT安全标准的程度。为了承认这一点,我们建议使用调查。你可以使用工具,比如Surveymonkey,或者使用LeanIX调查功能,它会自动将所有答案导入到工具中,准备好进行评估。
Image 2: LeanIX´ Survey showing how to efficiently do an IT-security assessment.
如何进行技术风险评估
现在我们已经确定了优点,您可能想知道创建全面技术评估的步骤。
我们的建议如下:
获取您使用的应用程序的完整列表
希望您在过去的一年里已经为您的应用程序编写了文档。如果没有,我建议先阅读应用程序合理化的9条规则和指导原则。
如果没有当前应用程序的概况,那么开始技术评估就没有意义。你不会在没有配料清单的情况下开始烤蛋糕,对吧?作为第一步,您需要收集当前在企业中使用的所有应用程序的列表。
评估正在使用的软件版本
下一步是找出正在使用的软件版本。
作为最佳实践,我们建议使用技术堆栈对软件进行分组。您还可以标记您的软件(手动或使用开箱即用的LeanIX标记),以便将来引用它们。在下面的截图示例中,您可以看到我们通过Candidate、Leading、Exception、Sunset模型对它们进行了标记。
评估正在使用的服务器和数据中心
下一步与前面的步骤相似。我们再次建议为每个服务器和数据中心分配一个技术栈。
在这个步骤中,您还应该验证数据。例如,您可以使用IT组件位置报告来检查服务器的位置。
Image 3: Report showing where IT-components are located.
将软件和服务器连接到应用程序
在前面的步骤中收集并验证了所有数据之后,现在创建软件、服务器和应用程序之间的链接非常重要。这使您以后能够理解这些对象之间的依赖关系,从而避免前面描述的情况。
Image 4: Free draw report showing dependencies between an application and its IT-components and technical stacks.
找出技术是如何影响你的业务的
你做到了最后一步。现在是时候找出技术风险对你的企业到底意味着什么了。现在是时候把这些片段放在一起了,例如,我们现在可以找出使用某些软件版本的应用程序的托管位置。
深挖:临终管理
技术风险管理中最重要的因素之一是寿命结束管理。
这是什么意思?与那些密切关注IT领域中元素生命周期的公司相比,那些不注意已部署的技术即将过时的公司将面临更多的安全风险和漏洞。此外,继续使用不再被支持的硬件或软件会使网络犯罪分子更容易访问系统和数据。
这个关键的话题经常被忽视,甚至政府机构也不能幸免。美国政府审计人员在2015年抨击美国国税局(IRS)未能在截止日期前升级Windows XP pc和运行Windows Server 2003的数据中心服务器,这两款服务器都已被微软淘汰。在Windows XP从微软的支持名单上跌落9个月后,该机构仍然无法计算1300台电脑的数量,约占其总数的1%,因此无法说明这些电脑是否已经被清除了这一古老的操作系统。国税局还必须支付微软的退休后支持合同,以提供关键的安全更新。
Figure 5 - Business impact of technology obsolescence.
深挖:合规
企业需要遵守从HIPAA到PCI和FISMA的许多规定。虽然遵从性确实需要花钱,而且就技术而言,需要对应用程序和技术有准确的看法,但不遵从性的成本通常较高。根据经验,专家表示,不遵守规定的成本比遵守规定的成本高2.5倍。
一个最新的EA库存不仅为您提供可靠的数据,您可以使用它来记录您遵守法规的情况。LeanIX调查插件还可以帮助您为适当的人员创建特别的或定期的调查,以维护有关应用程序使用敏感数据的准确信息。
当前用例是例如GDPR;我们可以评估我们的数据,以确定其隐私敏感性的级别,将其分类为公开/非机密、敏感、受限或机密。如果你使用的是专业的企业架构管理工具,比如LeanIX,你可以使用标签来添加更多的属性(例如。“GDPR限制”)一个数据对象或应用程序。这通常已经是您的内部安全流程的一部分,您在其中为数据分配机密性、完整性或可用性等属性。
您可以在这里了解关于如何建模的更多信息。
深挖:复杂性
复杂性是安全的敌人。当谈到老技术的退役时,CIO们必须小心地平衡这两个方面。一方面,他们需要“保持灯火通明”。首先,他们需要确保IT操作顺利运行。有句古老的谚语说:“如果没有坏,就不要修理它。”但这句CIO谚语写的时候并没有想到数字化转型。当然,这句话有一定的道理,因为更新技术的升级通常伴随着某种中断,但保持现状是以增加复杂性为代价的。
Figure 6: LeanIX dashboard illustrates which applications are at risk as the underlying IT components are out of the lifecycle.
过时和硬件维护,以及安全,是当今组织所面临的一些最紧迫的信息技术问题。到目前为止,不为技术的未来做计划是许多企业所犯的代价最大的IT错误之一。
结论:
大多数公司更擅长引进新技术,而不是淘汰它们。运行不受支持的技术的成本可能很高。IT中断和数据泄露的成本高达数百万美元。
技术风险管理是一个广泛而复杂的主题,无论您的团队多么优秀,都无法通过手工数据维护来解决。在LeanIX软件的帮助下,企业架构师可以快速获取最新的技术产品信息。在评估应用程序环境的风险,以及以智能的方式计划、管理和退役技术组件时,这些信息是必不可少的。
原文:https://www.leanix.net/en/technology-risk-management
本文:http://jiagoushi.pro/node/1224
讨论:请加入知识星球【首席架构师圈】或者小号【jiagoushi_pro】或者QQ群【11107777】
- 125 次浏览