« 2008年7月 | トップページ

2009年3月12日 (木)

空前の不況

空前の不況とITバブル時期に導入した数々のIT資産の運用コスト、その上に、内部統制、IT投資抑制と八方ふさがりのユーザ企業の情報部門の方々は頭の痛い事だらけではないだろうか・・・

事業拡大という瞑目で、IT投資を統制無く、イケイケで導入してきた、ある意味世の中が、当然のようにIT投資をあおった。
気づいたら、ハード保守、運用管理保守、データセンター費、ネットワーク費・・・の請求書の山積みである。
情報部門がすっかりコストセンターである。

・・・で更に、内部統制である。
今まで、事業拡大に目線が行っているのに、IT統制なんて考えもしていない。

縦割りで、ふくれあがったIT資産。
今更、統制など出来るわけがない。統制するにもお金がかかる。

なんて・・・ 最悪のシナリオになっている企業はどのくらいあるのだろうか。

久しくブログの更新をしていなかった。
最近、仕事で情報セキュリティのリスク分析・評価の手法の確立をする業務をしていて、実際に手法を使ってリスク分析・評価とリスク対策案の作成、実施後のリスク評価まで一通りの手順を回し終わった。

詳細なリスク分析・評価を実施するのは初めてであったので、いろいろ迷いながらも、まあ、妥当なところで収束したと考える。

経済産業省の情報セキュリティ管理基準を参考に自社使用に仕立て直して、リスク分析する項目を抽出して情報資産を定義してリスク分析を行った。

情報セキュリティ管理基準を解釈するのに手間取ったが、専門のベンダー担当者に協力を得たおかげで挫折することなく、実施できた。
一安心。初めてということで、ハードルを下げた点も良かった。これから継続してステップアップする方向性も見えた。今のところ、ISMSなどの認証を取得する予定はないが、やり方をマスターしたので、それも無理ではないだろう。
まあ、実際、取得してサーベイランスを受けるとなると、大変なことになるのだろうが・・・
この業務に集中させてもらえたことに、上司には感謝である。

この業務をして、気づいたのは、内部統制も、情報セキュリティ管理も、結局は業務を定義して責任者を設置して、行った業務の記録を残し、責任者が承認して、そのエビデンスがきちんと管理されている状態を維持することであると思った。

論理的には難しいことではない、が、現実はややこしくした業務、やややこしい組織が制約になって、難しくなってしまっている。
企業が大きくなるにつれ、悪のスパイラルにはまっていく。
この制約(聖域)にメスを入れるのはとても大変であろう。

後、フォーカスされるのが、アクセス制御。
アカウント管理システムなんて、導入しようものなら、規模によっては数億になる。
ITベンダーにとってはいい金儲けのネタであろう。

ややこしいITシステムをいれていなければ、前の論理で業務の記録が管理されていれば、多額の投資をしなくてもアクセス制御はできると思われる。

・・・・

まあ、とにかく、今の不況の重苦しい雰囲気で自分も含め生きた心地がしない人たちが多いと思う。
早く解消されることを願う。

| | コメント (20) | トラックバック (1)

« 2008年7月 | トップページ