首页 体育 教育 财经 社会 娱乐 军事 国内 科技 互联网 房产 国际 女人 汽车 游戏

通过风险管理加强应变能力

2020-01-07

早上好,感谢你们今日给我这个时机。我首要要说的是,我所表达的观念是我自己的观念,不一定代表纽约联储或联邦储藏体系的观念。

能够在任何环境中茁壮成长,无论是在正常的仍是紊乱的环境中,都是一个安排有必要具有的才干。咱们能够经过危险办理来加强安排弹性——“预备和方案、吸收、康复和更成功地习惯晦气作业的才干”。那是因为危险办理工具协助咱们在不确定的明日拟定方案并采纳举动。事实上,经过将弹性界说为危险办理的方针,咱们能够为安排供给更多的价值。

今日,我将评论一些完结弹性的应战以及危险办理怎么成为处理方案的一部分。尽管弹性有许多方面,但我将挑选两个应战和它们与危险办理的联络:安排孤岛和操控的杂乱性。

第一个应战是安排孤岛。要挟不管鸿沟。有些,比方网络要挟,实际上利用了它们。飓风不关心你的安排结构,而网络进犯者实际上想要它的一个副原本抵挡你。已然要挟不是孤岛式的,咱们的防护也不或许是孤岛式的。

企业危险办理的观念之一是,杰出的成果依托于跨安排鸿沟和危险类型的集成。这便是为什么不只是是危险办理,而是企业危险办理。咱们能够运用来自企业危险办理的办法来树立跨过孤岛的桥梁。

首要,企业危险办理重视安排的方针和支撑它们的要害进程。要害流程跨过活动链中的安排单元,从供货商交给的输入开端,到安排内的增值转化,再到终究交给给客户。因而,为了加强弹性,咱们辨认进程成果的危险,然后规划进程和操控来应对这些危险。

因为孤岛削弱了弹性,您或许希望在安排中寻觅一些热门,在这些热门中,企业范围内的和谐是必不可少的。我将从作业呼应开端。你预备好应对需求跨安排单位的团队协作的杂乱要挟了吗?另一个具有应战性的范畴是外部依托联络办理。您是否有一个和谐共同的办法来了解和办理整个危险范围内的供货商危险,包括信息安全、数据隐私、遵照性、事务连续性和信誉?

危险孤岛和事务线孤岛相同有问题。危险学科的专业化尽管有优点,但普遍存在的负面影响是交流和和谐缺乏,其次是信息距离和决议方案功率低下。

以供给要害服务的供货商为例,该供货商处于破产的边际。信誉危险剖析人员、操作危险和事务连续性专业人员以及事务是否遭到影响,一同作业以同享信息、见地和潜在的呼应?或许,孤岛是否阻止了信息在正确的时刻抵达正确的人手中,让他们做好预备并采纳举动?

危险孤岛或许会导致孤岛决议方案,逐一检查危险是不连贯的。咱们能够经过不进行操作将运营危险降至零(我想咱们都能够提早回家),但随后战略危险上升至无穷大。因为大多数有意义的决议方案都涉及到平衡危险,为了做出正确的决议方案,咱们需求一个包括一切相关危险类型和一切相关危险专家的危险图。

类似地,实际国际中的缝隙不用遵从特定的危险类型。考虑身份和拜访办理中的缺点。这是网络、合规、运营等危险的驱动要素。这也是一种危险,不能仅经过信息安全专家施行的技术操控来下降;也便是说,孤立的危险应对是不行的。因而,加强跨危险学科的协作和和谐是处理危险孤岛负面影响的一个处理方案。

危险孤岛形成的另一个详细痛点是危险评价的茂盛,乃至过度添加。大多数安排都有许多危险评价:一般每种类型的危险都有不同的评价。一些重视财物,另一些重视安排单元,还有一些重视进程的特定部分。成果或许是一组评价,或许包括不共同的覆盖率和不连贯的主张。

因而,应对这一趋势和桥梁孤岛评价的一个有吸引力的挑选是整合危险评价。共同的办法能够将危险和事务专业人员集合在一同,以了解和办理要害流程的危险。这一主意是创立一个一同的缺口,然后规划和谐的举动方案,以进步弹性。

让咱们重视事务连续性,看看集成危险办法怎么增强弹性。传统上,事务连续性方案的意图是康复要害的物理或技术基础设备,这些基础设备或许会遭到极点气候或断电等要挟的损坏。因而,事务连续性方案或许涉及到在首要数据中心因为飓风而封闭时安排备份数据中心。在一个安排中,不同的事务范畴能够开发他们自己的方案,这些方案集中于他们特定的事务需求和优先级。

集成的事务连续性方案旨在维护要害的安排进程及其根本财物不受各种相关要挟的影响。集成办法从安排方针开端。这架起了个人事务和安排全体事务之间的桥梁。在其他方面,集成办法从运营和名誉的视点剖析和方案中止对供货商和客户的影响。

集成将重视点从基础设备的可用性(例如,服务器已发动,设备能够拜访)扩展到成功的安排成果(例如,安排能够交给产品和服务)。在其时的要挟环境中,完结康复力既要维护信息的完好性和机密性,又要坚持可用性。一个归纳的方案能够对各种作业做出和谐共同的反响,包括那些规划大、杂乱、令人吃惊的作业,这些作业会使正常的操控体系溃散

第二个弹性应战是操控的杂乱性。为了进步应变才干,咱们寻求操控成果,而危险办理在操控方面有许多话要说。关于操控的一个简略故事是这样的:当咱们设置一个事务流程时,咱们寻觅问题的来历并开端添加操控。咱们将首要创立控件来避免问题。

可是,认识到有时防备不起作用,咱们也采纳操控办法来发现问题,然后纠正它们。一旦流程发动并运转,假如呈现了咱们没有预料到的问题,咱们将添加额定的操控来避免这些问题再次发作。

我想经过一些比如来阐明这在实践中并不总是有用。从这一点上,咱们能够看到,从体系的视点能够解说为什么咱们的操控测验有时会失利,以及咱们能够做些什么。

体系考虑的一个要害观念是操控是体系的一部分。控件与其他控件以及与出产进程交互。互联性的一个意义是,体系任何部分的改变都或许溢出并影响其他部分。独自作业的控件或许不能很好地一同作业。

这便是为什么独自创立和增量添加控件会发作意外成果的原因之一。这是操控体系的一个缺点,它是经过“发现问题,添加操控”的暂时办法发展起来的。

让咱们来看看这样一个场景:控件的行为与预期或预期不共同。

在周日,您将运转一个事务康复操练,以测验主数据中心毛病搬运到备份数据中心的才干。测验似乎是成功的,您现已获得了一些有用的经验教训,能够使毛病搬运进程下一次运转得更好。可是,当你星期一早上来上班的时分,有些作业就不对了。成果是测验损坏了客户帐户数据。您的呼叫中心被各种问题和投诉淹没了,因为您的计费体系向一切客户发送了一封包括过期付款告知的电子邮件。

在一个简略的国际里,操控处理问题,而不是制作问题。在实际国际中,操控体系和出产体系是彼此联络的,因而,操控的失利履行自身或许会中止操作。换句话说,操控会形成损伤。

周二早上,飓风突击了你的主办公室,淹没了备用发电机,而备用发电机是应急通讯体系的电源。因为紧迫通讯体系处于离线状况,职工不知道他们应该向备份作业地址陈述,所以当天的操作都中止了。

在一个简略的国际里,操控便是维护,它们不需求维护。在实际国际中,出产体系和操控体系都或许遭到损坏和退化。因而,操控体系自身有必要规划成在压力下作业,并且有必要对其功能进行监控。

到现在为止,这是困难的一周,但你现已熬到了周三。正午,你的信息安全官员告知你,安全扫描发现了一个或许的网络侵略。您切断了一切的网络连接,将不重要的职工送回家,并等候直到确诊完结。最终的音讯是好的:本来警报是假阳性。可是,安排丢失了半响的出产活动。

在一个简略的国际中,控件能够当即检测问题,以完美的精确性进行确诊,并当即发作彻底有用的纠正办法。在实际国际中,检测需求时刻,确诊并不总是精确,处理方案需求时刻才干完结,并且它们并不总是有用。也便是说,咱们有必要做出决议——包括是否以及怎么依据其时可用的信息进行操控。

操控规划和履行发作在这样一个国际里:是否存在一个问题,问题是什么,对此做什么,什么时分做什么,以及咱们所做的会发作什么影响,这些都是不确定的。当咱们了解和办理这些不确定性时,咱们能够做出更好的决议。

还有关于要挟的不确定性。咱们永久无法预见未来一切损坏性要素的特征。即便咱们有用地方案,咱们也会再次感到惊奇。并且,与任何其他体系相同,操控体系将表现出功能可变性。因为这些原因,咱们不能只是依托防备。习惯力要求在要挟经过防备性障碍时具有反抗和康复的才干,因而一个强壮的操控体系有必要包括防备性、勘探性和纠正性操控。

或许是因为咱们对防备、侦办和纠正操控过于达观,有时会收到二等账单。关于许多要挟,时刻并不站在咱们这一边;影响跟着检测时刻的添加而添加。这便是网络侵略的“逗留时刻”,即进犯者在你发现他们之前在你的网络上逗留的时刻。重要的是要决议你乐意等候多久来发现你有一个问题,然后把它作为一个需求来规划检测控件。

在纠正办法上出资缺乏也是个问题。例如,在一次勒索软件进犯后,假如你发现你备份的数据是完好的,但需求数月时刻和数百万美元才干康复,你会作何感触?或许,假如你的第一个纠正办法是过错的处理方案并使问题变得更糟?开发工具、程序和技术以精确确诊原因、操控其时要挟并完结长时刻处理方案需求时刻和资源。当您需求纠正操控时,您对其功能满足吗?

还有一种倾向是主动操控,但并不总是被很好地考虑。手动和主动操控在操控体系中都占有一席之地。尽管在具有清晰决议方案规范的重复性使命上,机器比人做得更好,但在那些含糊不清、需求判断力和灵活性的使命上,(就现在而言)人比机器做得更好。当您将操控主动化时,您是否保留了需求充沛了解体系以处理主动化失利时的问题的职工的常识和技术?

所以,咱们现已看到了在不确定的环境中,操控是动态体系的一部分。咱们不能知道咱们的操控是否充沛,除非咱们把操控体系看作一个全体。并且,除非咱们为它们规划,不然咱们无法到达咱们想要的成果。

今日,我强调了弹性的两个应战:安排孤岛和操控的杂乱性。我还提出了一套根据危险办理工具的处理方案:侧重于安排方针、要害流程的端到端办理、集成危险办理和体系操控办法。这些都具有共同性的一同特征。

有弹性的组成部分并不一定组成一个有弹性的全体。因而,安排弹性是一个企业方针,是经过共同和和谐的企业处理方案来完结的。

一个有弹性的安排能够拟定更好的方案、决议方案和举动,在一系列条件下交给希望的成果。为了增强耐性,咱们尽力征服有问题的现在,建造性地迈向模糊的未来。危险办理工具能够协助咱们完结这一方针。

热门文章

随机推荐

推荐文章