کتاب ریسکهای فناوری اطلاعات: تبدیل تهدیدهای کسب و کار به مزیت رقابتی
کتاب ریسکهای فناوری اطلاعات: تبدیل تهدیدهای کسب و کار به مزیت رقابتی نوشتۀ جورج وسترمن، به منظور ایجاد تدابیر ایمنی هنگام مواجهه با ریسکهای کسب و کار، توصیهها و ابزارهایی را بر اساس تحقیقات انجام شده ارائه میدهد.
از آنجا که امروزه ریسک فناوری اطلاعات همان ریسک کسب و کار است، سازمان بایستی از طریق پیامدهای کسب و کار، اقدام به تغییر شیوههای مدیریت ریسک نماید. کسب و کار دیگر نمیتواند در برابر این حقیقت که ریسکهای فناوری اطلاعات تنها به دپارتمان فناوری اطلاعات مربوط نیست، مقاومت کند. آنها باید دیدگاههای بخشی و تکنولوژیک نسبت به مقوله ریسک فناوری اطلاعات را با یک دیدگاه جامع از ریسکهای کسب و کار و پیامدهای ناشی از تصمیمات فناوری اطلاعات جایگزین نمایند.
اگر شما یک مدیر کسب و کار هستید، ایدهها، چارچوبها و توصیههایی برای کمک به شما در راستای ایفای مسئولیت مدیریت ریسک فناوری اطلاعات در کنار سایر ریسکها در این اثر گنجانده شده و اگر شما یک مدیر فناوری اطلاعات هستید، توصیههای گام به گامی در راستای ایجاد ظرفیت مدیریت ریسک فناوری اطلاعات برای شما آورده شده است. در کتاب ریسکهای فناوری اطلاعات (It risk)، قالبهای خاصی که شما را در آغاز این برنامه، برای یافتن متخصصان مناسب برای هر بخش و به مشارکت وا داشتن کسب و کار و کارکنان فناوری اطلاعات کمک میکنند، ارائه میشود.
یافتن راهی برای چگونگی گفتگو پیرامون ریسک فناوری اطلاعات در قالب واژههای معمولی کسب و کار، گام اول در مسیر مدیریت ریسک است. سازمان باید این ظرفیت را نیز داشته باشد که بتواند ریسکهایی را که با آنها مواجه است را شناسایی، اولویتبندی و به صورت دقیق مشخص کند. جورج وسترمن (Gerorge Westerman) و ریچارد هانتر (Richard Hunter)، در این کتاب ضمن ارائۀ نکاتی پیرامون چگونگی هدایت سازمان، بر سه اصل اساسی مدیریت کارآمد ریسک تأکید میکنند:
1- ساختاری منسجم و قدرتمند از اجزای مرتبط با فناوری اطلاعات با مدیریت درست داراییها، افراد و فرایندهای پشتیبانی فناوری اطلاعات.
2- اجرای فرایند مدیریت ریسک دارای طراحی مناسب به منظور شناسایی، اولویتبندی و کنترل ریسکها.
3- وجود یک فرهنگ آگاهی از ریسک که در آن کارکنان سازمان به دلایل و راهکارهای ریسکهای فناوری اطلاعات آگاهی داشته و در بحث و گفتگو پیرامون آنها راحت و آزاد باشند.
در بخشی از کتاب ریسکهای فناوری اطلاعات میخوانیم:
نظارت و پیگیری ریسکها، به معنای مشاهده و ثبت هر دو موضوع تأثیر برنامهها و سیاستگذاریهای مدیر ریسک و تاثیرات رویدادهای داخلی و خارجی بر روی ریسکهای مدیریت شده میباشد. این عنوان، همچنین به معنای نظارت بر شاخصهای کلیدی ریسک است که موقعیتهایی را که در گیر با A4 هستند میسنجد: دسترسی (برای مثال، وابستگی پیکربندی سخت افزار و نرمافزار به یکدیگر، تماسها با قسمت پشتیبانی و رفع عیب یا حجم قابل انتقال اطلاعات)، دستیابی (مانند جابجایی کارکنان)، دقت (مانند دقت در گزارشات و نمودارهای زمانی) و چابکی (مانند درصد پروژههایی که در زمان مقرر و با بودجه پیشبینی شده تکمیل میشوند.)
عملکردهای سیستمهای نظارت، میتوانند به صورت خودکار و توسط سیستمهای پشتیبانی کننده از یک فرایند اجرا شوند. برای مثال، دادهها در مورد این که چه چیزی شبکه سازمان را در مورد حملهها آسیبپذیر میسازد، میتوانند به صورت خودکار توسط نرمافزاری که به منظور دفع و جلوگیری از حملات استفاده میشود جمعآوری شوند. اما در بسیاری از سازمانها، امر نظارت، شامل رویهها و فرایندهایی است که توسط انسانها انجام میشوند و معمولا تیمی از کارکنان فنی و کارکنان کسب و کار، به صورت متناوب سیستمها و فرایندهای کسب و کار را بررسی میکنند تا متوجه نقاط آسیبپذیر شده و انطباق با قوانین و استانداردها را بررسی نمایند.
تلیاسونرا، یک شرکت پیشرو در زمینۀ ارتباطات از راه دور در حوزه شمال و دریای بالتیک است که بازبینی ماهیانه مربوط به امنیت نرمافزارهای کاربردی را در سراسر واحدهای کسب و کار و برای تمامیفرایندهای موجود و سیستمهای پشتیبانی و همچنین برای تمامیسیستمهای در حال توسعه انجام میدهد. هر بازبینی، توسط انجمن امنیت فناوری اطلاعات (انجمن پیادهسازی در ساختار مدیریتی ریسکهای فناوری اطلاعات) طراحی و تایید میشود و آگاهی و اخطارهای لازم، به شیوه پیشرفتهای از طریق پرسشهایی که در طول بازبینی مطرح شده و بازخور افرادی که مورد مصاحبه قرار میگیرند، حاصل میشوند.
فهرست مطالب
مقدمه: مدیریت ریسکهای فناوری اطلاعات و پیامدهای آن
دلایل ریسک فناوری اطلاعات
مدیریت ناکارآمد فناوری اطلاعات
پیچیدگی کنترل نشده
غفلت از ریسک
ریسک فناوری اطلاعات به عنوان ریسک کسب و کار و ارزش کسب و کار
نکاتی پیرامون ساختار این کتاب و مخاطبان آن
بخش نخست: ساختار مدیریت ریسک A4
دیدگاه جامع نسبت به ریسکهای فناوری اطلاعات
ساختارA4
استفاده از A4 برای هدایت مدیریت ریسک فناوری اطلاعات
استفاده از چارچوب A4 برای تحلیل موازنه ریسک
استفاده از A4 برای حل ناسازگاریهای پیرامون فرضیات ناگفته
بخش دوم: سه اصل محوری در مدیریت ریسکهای فناوری اطلاعات
زیرساختها
یک زیرساخت ضعیف، همه ریسکها را افزایش میدهد
رفع مشکلات زیرساختها
نکات مربوط به رویکرد مبتنی بر زیرساخت:
فرایندهای اداره ریسک
خلاصهای از اصول مرتبط با فرایندهای اداره ریسک
نکتههای مربوط به رویکرد مبتنی بر اداره ریسک
فرهنگ آگاهی از ریسک
تکنولوژی در جهت کاهش ریسک
ساختار از بالا به پایین آگاهی از ریسک
خلاصهای از اصول حاکم بر فرهنگ آگاهی از ریسک
نکات مربوط به رویکرد مبتنی بر آگاهی
بخش سوم: بهسازی زیرساخت
مروری بر بهسازی زیرساخت
زیرساخت قابل اطمینان فناوری اطلاعات چگونه زیرساختی میباشد؟
دنبال کردن سه گام فرایند جهت بهسازی زیر ساخت
برنامه ایجاد و آزمایش تدوام کسب و کار
گامهای کلیدی جهت مدیریت مؤثر تداوم کسب وکار
استفاده از تحلیل تأثیر کسب و کار برای اولویتبندی و زمانبندی جهت بازیابی
ایجاد برنامه
پیادهسازی و ارزیابی برنامه
داستان پرکردن شکاف سد
حذف رخنهها
نظارت بر فناوری اطلاعات
اجرای کنترلها و نظارتها بر پایه چارچوبهای استاندارد
بخش چهارم: بهسازی زیرساخت- سادهسازی زیرساختهای موجود
تأثیرات داراییهای قبلی سازمان بر زیرساختها
سازمان و انتخاب یکی از دو مسیر سادهسازی زیرساخت
دگرگونی سریع مؤثر است اما ریسک بیشتری دارد
تغییرات تدریجی افزایشی، اگرچه آهستهتر اما مطمئنترند
سه گام برای موفقیت در دگرگونی زیر ساختها
سادهسازی زیرساخت، گام آغازین و پیش برندهی تغییرات است
پایان تثبیت ساختار با سادهسازی دقیق برنامهها
موارد کسب و کار برای انتقال کسب و کار بر اساس ارزش و ریسک
نقطه بحرانی ارزش و ریسک را میتوان از سالها قبل پیشبینی نمود
پیشبینی روند ارزش کسب و کار
پیشبینی روند ریسک برنامههای کاربردی
پیشبینی ریسک نسبت به ارزش
ایجاد برنامه سرمایهگذاری مجدد و تجدید بودجه
بخش پنجم: توسعه فرایند مدیریت ریسک
آنچه هر پدر و مادری در مورد مدیریت ریسک میداند
فرایند مدیریت ریسک مؤثر و چند لایه
نقشها در فرایند مدیریت ریسک
نقشهای اداره ریسک فناوری اطلاعات در عمل
گامهای فرایند مدیریت ریسک فناوری اطلاعات
تعریف استانداردها و سیاستهای ریسک
شناسایی و ارزیابی ریسکها
اولویتدهی به ریسکها و تقسیم مسئولیت
آدرسدهی ریسکها
نظارت و پیگیری ریسکها
پنج تجربه کلیدی از یک فرایند مدیریت ریسک فناوری اطلاعات مؤثر
بخش ششم: ایجاد یک فرهنگ آگاهی از ریسک
تفاوت فرهنگ مخالفت با ریسک با فرهنگ آگاهی از ریسک
یک فرهنگ آگاهی از ریسک، از سطوح بالایی سازمان آغاز میشود
لزوم گروهبندی مخاطبان و ارتباطات مداوم برای بهبود آگاهی
آگاهی برای مدیران اجرایی به معنای رهبری و اطلاع از وضعیت برنامه است
آگاهی، برای مدیران به معنای یکپارچهسازی و اجرا میباشد
آگاهی برای کارکنان فناوری اطلاعات، به معنای ساخت سیستمها به شیوۀ آگاه از ریسک میباشد
شروع از سطوح بالا به سمت پایین به طور مداوم
برای آگاهی از ریسک، منتظر شنیدن صدای ضربه افتادن پیانو نشوید
بخش هفتم: سرعت بخشیدن به اجرای سه اصل محوری
دستیابی به شایستگی در زیرساختها
دستیابی به شایستگی در فرایندهای مدیریت ریسک
دستیابی به شایستگی در فرهنگ آگاهی از ریسک
تأثیر فرهنگ، شرایط محیطی و قابلیتها، بر روی اصل محوری
مسائل مربوط به فرهنگ سازمانی
مسائل مربوط به پیشینه سازمان
مسائل مربوط به اندازه
مسائل مربوط به صنعت (کم اهمیتتر از مسائل مربوط به اندازه)
مسائل جغرافیایی
مسائل مربوط به ظرفیتها و تواناییها (بخصوص در ابتدای امر)
اصل محوری خود را برگزینید
هیچکدام از سه اصل یاد شده در این کتاب، به تنهایی کافی نیستند
بخش هشتم: تفکر آیندهنگر
رصد کردن آینده با توالی صحیح
توجه به نیروهای خارجی و ابتکارات استراتژیک
توجه به نیروهای جدید یا در حال تغییر
توجه به ایدهها و نوآوریهای استراتژیک
توجه به سه اصل محوری
بخش نهم: ده راهکار بهبود مدیریت ریسکهای فناوری اطلاعات برای مدیران اجرایی
یک: ریسکهای فناوری اطلاعات را به عنوان ریسکهای کسب و کار تلقی نمایید
دو: در کوتاهمدت و بلندمدت، به ریسکها در چارچوب A4 توجه داشته باشید
سه: با بستن شکافهای سد، در برابر وقوع سیلها آماده باشید
چهار: به سادهسازی زیرساخت بپردازید
پنج: به ایجاد فرایندها و ساختارهای مدیریت ریسک بپردازید
شش: همه کارکنان را به نحو مناسبی از مهمترین ریسکها، نقاط آسیبپذیر و سیاستگذاریها آگاه نمایید.
هفت: فرهنگی آگاهی از ریسک
هشت: میزان اثربخشی را اندازه بگیرید
نه: لزوم آیندهنگری
ده: با ارائه مثال رهبری کنید
مطالب مرتبط
تگها
مطالب پربیننده
- چه کسانی می توانند نامخانوادگیشان را تغییر دهند
- روزانه چقدر پروتئین مصرف کنیم؟
- خواص شگفتانگیز کیوی را بشناسید
- فراخوان دومين كنگره بين المللی راهكارهای گسترش فرهنگ غدير و ترويج نهج البلاغه
- ۳ نوشیدنی مفید برای سالمندان
- نکاتی مهم درباره جوشهای صورت
- علائم بیش فعالی در دخترها و پسرها را بشناسید
- میوه ای برای تقویت سیستم ایمنی بدن
- گیاهی برای دفع سنگ کلیه
- اربعین؛ پلی به سوی وحدت جهانی
- چالشهای ازدواج در دوران پیری
- اذن پدر برای ازدواج دختر لازم است یا خیر؟
- معرفی سوغات و صنایع دستی مازندران
- چگونه عطر مناسب بخریم؟
- زندگی نامه مسعود پزشکیان
- رابطه زناشویی برنده و بازنده ندارد
- درباره دوران بحرانی نوجوانی
- بازار کرمان با قدمت ۶۰۰ سال
- معرفی موزه هنرهای معاصر تهران؛ بازتابی از هنر ایران و جهان
- مصرفگرایی و ویرانی زندگی
- پاسخ به سوالات رایج درباره مصرف شیر
- معرفی جنگل فندقلو؛ بهشتی مینیاتوری در اردبیل
- درباره سن پیری بیشتر بدانیم
- اهمیت خواب را جدی بگیرید
- معرفی مسجد شیخ لطف الله، اثری شگفت انگیز از دوران صفویه
- پناهگاه سکوت
- نحوه خوابیدن به خواستههای درونی
- مضرات سیگار از آسیبهای پوستی تا تهدید سلامتی
- در مورد کف پای صاف و باورهای قدیمی
- چگونه با کودکان چاق تعامل داشته باشیم
- قوانین کلاس و مدرسه
- قالب آماده و زیبای پاورپوینت(15)
- ۵ فیلم که همه زنان ایرانی باید تماشا کنند
- شعار سال ۱۴۰۱ «سال تولید، دانشبنیان و اشتغالآفرین»
- قالب زیبای پاورپوینت برای ارائه پروپوزال و دفاع رساله دکترا
- قالب پاورپوینت کادر دار زیبا
- پورنوگرافی چیست و چه اثری بر مغز و رابطه جنسی دارد؟
- قالب پاورپوینت گرافیکی و طرح دار زیبا
- قالب پاورپوینت گرافیکی زیبا
- رنگ چشم هایتان درباره شما و اجدادتان چه می گوید؟
- نمونه تدریس درس اول هدیه آسمان پنجم
- قالب پاورپوینت گرافیکی جالب
- اندکی درباره درسپژوهی
- کتاب پسری که جادویی شد
- همه زائران سلطان
- قالب پاورپوینت
- معرفی کتاب
- دوستی با کتاب
- قالب پاورپوینت گرافیکی
- درباره محسن رضایی
- معرفی کتاب
- قیافه و ظاهر واسه متولدین کدوم ماه، خیلی مهمه؟
- درباره امیر کبیر
- کتاب راهنمای کامل Interaction access
- متن کامل دعای جوشن کبیر با ترجمه
- کتاب پیوند زخم خورده
- درباره فخرالدین عراقی
- درباره محسن مهر علیزاده
- کتاب آموزش علیه آموزش
- خلاصه کتاب سواد بصری