面对当下复杂多变的市场经营环境,企业风控管理显得至关重要,是企业稳健运营的重要前提,也是一项系统性、长期性的工作。普华永道华南区风险及控制服务部门高级经理李照,长期聚焦数字经济时代的企业风控管理服务与创新,以深厚的专业能力和全力以赴的服务精神,为企业信息系统保驾护航。
2010年中山大学硕士毕业后,李照被推荐加入广东省国土资源技术中心担任高级工程师,从事信息系统的设计开发以及项目的统筹管理工作。早期的这段经历,不仅在项目实操中历练了他解决问题的能力,更让他深刻领悟了责任使命、职业道德和团队合作的重要性。
2015年,李照受邀加入普华永道,担任风险及控制服务部的高级经理,负责科技风险管理、数字化鉴证与分析的相关工作,得益于他在软件开发、系统搭建等方面的特长,他成为了部门里的信息安全专家。
李照表示,实际工作中接触的很多客户,只一味投入资源在信息系统的建设上,但系统上线后就“万事大吉“,缺乏对系统逆向的定期回顾与检查机制,为企业的信息系统安全埋下了隐患。基于多年的实践经验,李照总结出一套“人+系统双向互动”的风险控制理论:当企业规模不断增长,需要建立系统用以解决“人“粗心大意导致的错误;同时,当系统越来越多,企业又需要及时建立一套流程机制,由“人“来复盘和整合系统。简单来说,就是要实现”人机结合“,让人和系统、系统和系统之间实现有效互动,才能实现信息系统安全可靠的运行。在工作之余,李照还自主研发了企业数据洞察与分析平台以及信息系统风险评估与防护平台,帮助客户及时发现与把控信息系统风险。
在服务某大型医药集团的过程中,李照就通过这套“人+系统双向互动”的风险控制理论,为客户的信息系统安全体系建设作出了卓越贡献。客户由于出现了服务器木马、企业数据泄露等信息系统风险事件,向李照的信息安全团队请求帮助。经过初步的数据检查,李照发现,由于系统供应商后期疏于维护、多部门共用系统时权责不清晰、IT制度不全面等原因,客户系统在数据的访问和修改等诸多环节存在着信息安全风险。进一步,李照通过AI启发式算法技术对ERP系统、OA系统等十余个系统中的底层逻辑、运行规则、配置数据进行深入分析,识别出不相容职责、SQL注入漏洞、零日漏洞等系统安全隐患。
基于此,李照协助客户开展了信息系统安全提升专项工作,在实操层面,设立信息安全基线和自动调整引擎,调优和强化数据库、网络、应用程序等配置规则;在制度层面,全面完善权限审批制度和IT项目安全管理制度,增设系统定期监测、系统效能分析等流程,双管齐下,成功帮助客户完善了信息系统安全体系,得到了客户管理层和IT部门的高度赞誉。
李照坦言,刚加入普华永道时,事务所的方法论资料库对自己的知识积累和技能提升帮助很大。近年来,他带着反馈社区和总结过往经验的心态持续帮助事务所完善方法论体系。他基于信息系统安全理论,结合实际案例,撰写了《刷单机器人行为的数据分析检查指南》、《金蝶/用友系统权限和系统配置检查指引》等信息安全方法论,总结出一系列重要的学术成果。
李照还把他在理论和实操上的成果心得,浓缩成培训课程,分享给信息系统审计和信息安全咨询领域的同仁。他主讲《信息安全引论》、《数据分析》和《SAP自动化检查工具》等培训课程,通过积极互动和分享,启发大家对行业和技术未来发展的思考,他也因此深受欢迎,被评为金牌讲师。
在他看来,通过分享和教学可以更好地锤炼自己的专业思路,并能带动团队技术能力的持续提升,从而为更多的客户带来更卓越的服务。(赵德利/文)