171 「技術」並非主要風險源頭 從研究看到,金融機構自評風險系數最高的為「技術」,認為「技術」是風險最高的來 源。不過,我們進一步把這個系數對比 C-RAF 評估要求問題的數量,我們發現「技術」 並非最大的問題,因為金管局對「技術」問題的提問最多,令「技術」的風險系數得到 最高分數。不過,當我們把風險問題對應問題的數量作出調整,研究發現,大部分金融 機構警惕風險在「技術」上的應對措施,其實已做得很好,按經過對比問題數目作出調 整的分析,我們發現,「輸送渠道」反而是最大的風險因素。金融機構用什麼渠道分銷 輸送其產品或服務,是用手機網絡?互聯網?這個「渠道」因素其實才是風險源頭的主 要「元凶」。 研究結論有什麼啟示?很顯然,這類自我評核的系統,我們必須要留意其評估設計中的 缺點,了解當中的問題,據此作出適當的調整才進行分析,找出真正的問題所在,結論 才比較可靠。資訊科技界一般以為,保安最關鍵的問題在於「技術」,但我們的研究發 現,這個觀點不一定正確。事實上,應用資訊科技並具規模的機構,它們多已有所部署 去針對和有效應對來自「技術」方面的風險,反而是面對眾多的客戶,以及用不同渠道 去接觸眾多客戶等,這些因素才是最大的風險源頭。 5 促資訊保安
RkJQdWJsaXNoZXIy NDk5Njg=