當您簡單地吃過午飯回來后,原以為會看到在前臺與您辦公室之間,大家都在像往常一樣工作,但卻意外地發現,人們驚慌失措,辦公區充斥著低低的喧鬧聲,人們的手指似乎都不在鍵盤上,眼睛也沒有盯著電腦顯示屏。所有的電腦與通信硬件均原封未動,看起來好像一切照舊。但事實上,軟件與數據已經全部消失。公司所有電腦與磁盤中的數據都蕩然無存。
“恭喜您”!貴公司已成為全球第四家遭遇最新型黑客攻擊的受害者。
管理邊界外風險
首席信息官及其風險與安全團隊正面臨兩大變化。首先是移動、社交與云將業務數據及流程移出了邊界,且超出了傳統的企業控制范圍。其次,這些都是不具備穩定性或可預測性的動態環境。在這種環境下,需要采用新方法管理相應程度的風險。昨天還在借助新型平板電腦,而到明天,部分副總裁將要求通過其新的Google Glass收發郵件。
“如今,各業務部門接受風險,首席信息官們已意識到風險,而首席信息安全官正對此憂心忡忡。”
由于業務對技術的依賴程度越來越高,并且威脅程度與復雜度都在不可避免的提高,因此,到2020年,安全性將不再只是IT問題,而會演變成一個商業問題。明智的首席信息官會讓業務主管盡早地參與其中,并將網絡風險定義為商業范疇的主要運營風險。實際上,三分之一的首席信息安全官現在已不向IT部門匯報工作。
首席信息官應該如何幫助其所在的企業推動數字業務創新,同時為企業構建必要且適當的風險控制模型?
是時候重置企業安全性了
為了應對新挑戰,安全與風險團隊正在重新設定價值實現的方式。采購團隊與云廠商制定了能夠提高安全性的協議;安全管理人員也在改進數據分類機制以確保云中的關鍵數據能夠始終得到保護。各組織使用新工具作為對傳統安全方法的補充,包括將基于語境的算法用于身份管理、通過移動容器進行數據隔離、以及全部有助于實現業務收益并同時限制風險的權限管理工具與新監測功能。
新風險需要采用以人為本的安全方案
但這種對控制權的稀釋也需要采用創新型方法管理企業的內部風險。最終,技術將變得非常自然且無處不在,甚至無需將其掌控在自己手中。未來的知識工作者可能會將其公司、工作、家庭與個人等全部的信息存儲到虛擬世界,并可通過任意設備或應用查看。人們將能夠隨時隨地訪問這些信息,因此,邊界的定義將繼續演化。大量的信息將通過即時且無處不在的實時分析應用加以收集與處理。
換言之,人們將被賦權。風險與安全專家無法剝奪人們的這些權利,但可以影響其行為方式。Gartner正在開創一種我們稱之為“以人為本的安全方案”(PCS)技術,它能夠使信息安全與社會科學有機的融為一體,給予人們一系列權利與責任,鼓勵人們制定更好的安全決策,而非通過獨斷的政策與控制措施限制人們的行為。
例如,用戶有權將自己的iPad與公司的郵件系統相連。雖然這將提高其生活便利性,但同時也意味著用戶應承擔相關責任,比如不得在iPad中存儲敏感數據。如果違反了責任要求,用戶通過iPad收發公司郵件的權利和便捷性將會被剝奪。實質上,這也是在促使他們以恰當的方式做正確的事。
對業務決策的影響
隨著大品牌數據泄漏與遭受黑客攻擊的新聞層出不窮,非IT人員(尤其是董事會)也正日益關注IT的風險與安全。他們應積極利用風險管理與安全的力量影響業務決策。
企業與風險的新型關系意味著風險與安全專家:
不再試圖阻止每一次潛在威脅,而是評估并區分風險等級,以此來選擇采取哪些措施應對威脅。
不再局限于IT領域,而是明悉IT風險對其它業務結果的影響。
不再完全依賴于那些知道如何應對風險的聰明人,而是通過可重復、可執行與可度量的流程制定計劃。
在過去10年間,信息技術與互聯網通信已拓展至商業的各個領域,但更多的風險也隨之而來。這些風險已不容忽視。管理風險以保護企業業務運營已不是什么新鮮事。業務主管與經理們需要立即在管理組合中添加更多的風險級別。
京公網安備 11010502049343號