Voldoeningsrisiko 2010 | IT en nakoming

Die woord "voldoening" kan vir IT-bestuurders skrikwekkend klink. Uiteindelik gaan dit daaroor om risikoblootstelling aan 'n wye front te bestuur. Wat kan hulle dus doen om die direksie tevrede te stel, veral in die lig daarvan dat regulasies meesal vae goed is wat op beginsels gegrond is?

Die verskillende regulasies wat met bedryfsbesonderhede gemoeid is, is nie in die algemeen van hulp as sekuriteitsriglyne nie, sê Hedley Hurwitz, besturende direkteur van Magix Integration, 'n internasionale maatskappy vir risikobestuurs- en sake-integrasiedienste by IT-ondernemings.

"Maatskappye is in die algemeen goed daarmee om beleid oor regulasies te ontwikkel om as riglyn vir prosesse en die rol van individue in die maatskappy te dien," sê Hurwitz. "Dit kom egter meer op 'n kontrolelys neer as iets wat strategies doeltreffend is."

"Die voorneme is daar," sê hy, "maar maatskappye moet oplossings instel wat die voordele van regulering lewer, nie net stelsels wat verseker dat die regulasies nagekom word nie. Daardie parameters moet op strategiese en taktiese vlak omskryf word voordat mens oplossings begin koop om die infrastruktuur te ondersteun."

Volgens Hurwitz is die eerste stap om die bedreigings en kwesbaarheid van die onderneming se inligtinginfrastruktuur te ontleed - al die prosesse, prosedures, standaarde, mense en tegnologie wat die gebruik, vervoer en berging van data en inligting ondersteun. "Eers daarna kan mens 'n gepaste risikobestuursoplossing saamstel," sê hy. "Dit gaan ook daaroor om die risiko in 'n aanvaarbare speling te kry, maar nie meer te bestee as wat nodig is nie. Daardie oplossing moet die waarde van die data wat in gevaar is, in ooreenstemming bring met die bedrag wat jy bereid is om te bestee aan die beskerming daarvan."

Maar ondernemingsrisikobestuur gaan nie net daaroor om stelselhulpbronne af te sluit nie. Sekuriteit ter wille van volkoming moet in die breër korporatiewe konteks van rolle en verhoudinge beskou word deur interne beheermaatreëls te bekyk wat op mense toegespits is, eerder as op nodusse op die netwerk. Hurwitz sê: "Mense is 'n maatskappy se grootste bate, maar kan ook die kwesbaarste deel van 'n maatskappy wees. Dit is moontlik dat daar 'n geraamte in iemand se korporatiewe kas skuil wat inligting en sakeprosesse kwesbaar maak."

Navorsing toon dat meer as 70% van die bedrog in sakeondernemings deur werknemers gepleeg word. Dit lyk dus voor die hand liggend om tegnologie, programmatuurontwikkeling en konsultasiedienste te gebruik om bedrog, geldwassery, inligtinglekplekke en die misbruik van bates uit te skakel. Maar baie oplossings konsentreer op die herwinning van inkomste, nie op die voorkoming van verliese nie.

"'n Strategie moet ingestel word om nie net te verseker dat werknemers die regulasies nakom nie, maar ook om die volhoubaarheid daarvan te verseker en die risiko van bedrieglike aktiwiteite te beperk," sê Hurwitz. "Die strategie moet uitstippel wat as gepaste werknemergedrag kwalifiseer en wat nie wanneer iemand toegang tot maatskappyinligting verkry."

Selfs al word sulke skemas nie rigied toegepas nie, het 'n beter begrip van IT-prosesse belangrik geword vir sekuriteit. "Dit kan dan makliker by die ondernemingstruktuur en -prosesse ingeskakel word," sê Hurwitz. "Jy weet wat die rol en verantwoordelikhede van die persoon is en wat hy op enige tydstip doen. Sodra jy daardie vektore byeenbring, het jy die binêre elemente 'ja, hy kan dit doen' of 'nee, hy kan nie'."

Wanneer 'n intydse 24-uur-stelsel byvoorbeeld ingestel word om oor die gebruik van die IT-stelsel toesig te hou en dit te moniteer, kan byvoorbeeld vasgestel word of 'n gebruiker-ID gelyktydig op twee rekenaars gebruik word, of 'n transaksie wat gewoonlik vanweë nakomingswigte en -teenwigte tot 'n uur lank duur, binne minute afgehandel word, en of 'n bepaalde individu meer navrae as sy of haar eweknieë oor 'n sekere rekening rig.

"Dit gee aan die onderneming 'n geloofwaardige oorsig van wie die data bekyk het en wat hulle gedoen het. Dit stel die onderneming in staat om 'n doeltreffender ontleding van grondoorsake te doen in die geval van 'n gebeurtenis of voorval wat met die sekerheid van inligting te doen het," sê hy.

Om aanspreeklikheid oral in 'n onderneming te vestig, vereis duidelik 'n belangrike kultuurverandering wat verder strek as die instelling van 'n aktiewe lêergids-databasis en 'n enkele intekenstelsel. Dit bring uitdagings na vore, soos om die beste sekuriteitspraktyke op individuele vlak af te dwing, byvoorbeeld deur dit aan prestasieoorsigte te koppel.

Wanneer dié praktyke ingestel word, onderstreep dit 'n belangrike wanopvatting oor IT-risikobestuur: Mens kan risiko's nooit heeltemal uitskakel nie. Hulle is altyd daar, en direksies word betaal om risiko's te loop. Hoeveel risiko jy op jou neem wanneer jy aan vertolkende regulasies voldoen, is iets wat die IT-afdeling met die direksie moet bespreek. Om dit te doen, beteken jy moet dieselfde taal as die direksie praat, maar om dié vertaling te hanteer, is straks die moeilikste van al die take.