信息是企業(yè)的命脈，有價(jià)值的企業(yè)數(shù)據(jù)可供員工、業(yè)務(wù)伙伴和承包商通過本地、云計(jì)算和虛擬環(huán)境來訪問， 提供對非公開重要信息的即時(shí)訪問。但是，員工經(jīng)常在未經(jīng)允許的情況下加載第三方軟件或者應(yīng)用程序到他們的筆記本和智能手機(jī)上，并且這些設(shè)備都被連接到企業(yè)網(wǎng)絡(luò)和數(shù)據(jù)存儲中。

“信息無處不在”帶來便利和創(chuàng)造商業(yè)價(jià)值的同時(shí)，也帶來風(fēng)險(xiǎn)。雖然企業(yè)想要支持設(shè)備、軟件和應(yīng)用程序使員工能夠順利完成工作，但企業(yè)也必須非常仔細(xì)地監(jiān)督和管理與使用這些信息和IT有關(guān)的業(yè)務(wù)風(fēng)險(xiǎn)。

針對信息無處不在的解決方案就是信息安全無處不在，但是這是不切實(shí)際且無法實(shí)現(xiàn)的。企業(yè)需要確定什么時(shí)候便利會導(dǎo)致很大的風(fēng)險(xiǎn)以及應(yīng)該怎樣做來限制風(fēng)險(xiǎn)。這是一個(gè)很大的挑戰(zhàn)，特別當(dāng)你考慮到大多數(shù)企業(yè)都不能回答這個(gè)簡單的問題，“我們企業(yè)現(xiàn)在的信息風(fēng)險(xiǎn)是什么?”

根據(jù)IT Policy Compliance Group關(guān)于與信息使用和IT資源有關(guān)的企業(yè)風(fēng)險(xiǎn)的研究顯示，政策合規(guī)只有8%的企業(yè)可以確定目前企業(yè)的信息風(fēng)險(xiǎn)情況。此外，2%的企業(yè)根本無法回答這個(gè)問題，或者9個(gè)月或9個(gè)月以上才能給出答案，70%的企業(yè)不能在3個(gè)月內(nèi)回答這個(gè)問題，20%需要一個(gè)星期到三個(gè)月。定義不清的企業(yè)風(fēng)險(xiǎn)、不適當(dāng)?shù)男畔⑹占⒀b備不良的報(bào)告系統(tǒng)和非優(yōu)先控制都是導(dǎo)致這些不合理延誤的原因。

合理分配優(yōu)先級別

IT Policy Compliance Group發(fā)現(xiàn)在企業(yè)為迎接信息無處不在的挑戰(zhàn)而做的充足準(zhǔn)備與定義和管理企業(yè)風(fēng)險(xiǎn)之間存在明顯差異。與使用IT資源有關(guān)的風(fēng)險(xiǎn)最低的企業(yè)能夠馬上回答其企業(yè)目前的信息風(fēng)險(xiǎn)情況，因?yàn)樗麄儾渴鹆苏_的企業(yè)流程、控制和報(bào)告系統(tǒng)。

這些企業(yè)通常是從上自下來定義業(yè)務(wù)風(fēng)險(xiǎn)，然后再確定其優(yōu)先次序。風(fēng)險(xiǎn)主要來自日常業(yè)務(wù)職能的執(zhí)行，它們包括管理現(xiàn)金、采購風(fēng)險(xiǎn)、帳號安全、信用風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)、市場集中風(fēng)險(xiǎn)、監(jiān)管風(fēng)險(xiǎn)、競爭風(fēng)險(xiǎn)、聲譽(yù)風(fēng)險(xiǎn)和操作風(fēng)險(xiǎn)。

最成功的企業(yè)會利用多個(gè)部門和職能的技能來定義和管理與使用IT資源有關(guān)的業(yè)務(wù)風(fēng)險(xiǎn)。更多利益相關(guān)者的參與能夠幫助企業(yè)優(yōu)先考慮外部壓力、業(yè)務(wù)風(fēng)險(xiǎn)，確定與使用信息和IT資源有關(guān)的核心企業(yè)風(fēng)險(xiǎn)，并使用報(bào)告系統(tǒng)來更好地監(jiān)控、管理和平衡政策、風(fēng)險(xiǎn)、異常和控制的平衡。

關(guān)于IT控制和操作流程，業(yè)務(wù)風(fēng)險(xiǎn)最低的企業(yè)通常部署了幾個(gè)獨(dú)特的做法。幾乎有四分之三的企業(yè)會定期對敏感信息資產(chǎn)進(jìn)行分類，并根據(jù)對關(guān)鍵信息的訪問權(quán)來確定IT資產(chǎn)，幾乎有三分之二會對敏感信息的存儲位置進(jìn)行存檔，檢測或預(yù)防敏感信息的泄漏，并使用信息安全控制來保護(hù)敏感信息。

此外，IT Policy Compliance Group還發(fā)現(xiàn)，企業(yè)間選擇評估的風(fēng)險(xiǎn)和控制比率也十分不同。風(fēng)險(xiǎn)和控制的評估的間隔時(shí)間以及運(yùn)行時(shí)間都與最終結(jié)果有直接的關(guān)系，業(yè)務(wù)風(fēng)險(xiǎn)最低的企業(yè)部署了最頻繁的風(fēng)險(xiǎn)和控制評估，并且在評估(每周到每兩個(gè)月)間的運(yùn)行之間也很短，而頻率是每季度或者間隔更長的企業(yè)則風(fēng)險(xiǎn)最高。

自動化帶來更好的結(jié)果

收集信息以及生成關(guān)于信息風(fēng)險(xiǎn)和控制的報(bào)告的自動化水平也同樣與實(shí)現(xiàn)更好的結(jié)果有著直接關(guān)系。簡單地說，表現(xiàn)最差的企業(yè)部署著最少的自動化程序，而表現(xiàn)最好的企業(yè)則部署了最多的自動化程序來收集信息和生成關(guān)于操作、財(cái)務(wù)、聲譽(yù)和品牌風(fēng)險(xiǎn)的報(bào)告。

業(yè)務(wù)風(fēng)險(xiǎn)最低的企業(yè)將圍繞IT控制和企業(yè)流程的信息收集進(jìn)行自動化處理，并且對業(yè)務(wù)風(fēng)險(xiǎn)和信息以及IT資源的使用生成報(bào)告。IT Policy Compliance Group發(fā)現(xiàn)，表現(xiàn)最好的企業(yè)中，80%的企業(yè)都將信息收集流程和生成(與使用信息和IT資產(chǎn)有關(guān)的)業(yè)務(wù)風(fēng)險(xiǎn)報(bào)告進(jìn)行了自動化。

相比之下，丟失數(shù)據(jù)或者被盜數(shù)據(jù)最多的企業(yè)通常都是業(yè)務(wù)停機(jī)時(shí)間最長和最難維持審計(jì)結(jié)果的企業(yè)，通常他們只有11%到12%的信息收集和生成報(bào)告流程是自動化的。

利用有效的報(bào)告來顯示風(fēng)險(xiǎn)情況

在業(yè)務(wù)風(fēng)險(xiǎn)最低的企業(yè)，不僅具有更高度自動化的流程，而且還有更頻繁的報(bào)告，關(guān)于業(yè)務(wù)影響摘要、異常報(bào)告、重點(diǎn)報(bào)告和基于web的儀表板。

這些關(guān)于業(yè)務(wù)風(fēng)險(xiǎn)的企業(yè)報(bào)告主要根據(jù)優(yōu)先次序、涉及的IT資產(chǎn)類型以及各種IT控制，特別是關(guān)于IT資產(chǎn)配置檢查失敗來標(biāo)記和確定信息和系統(tǒng)完整中存在的不一致性。

他們還包括管理總結(jié)報(bào)告中的IT有效性指標(biāo)，來顯示IT服務(wù)水平的可用性、IT資產(chǎn)和信息的完整性、財(cái)務(wù)系統(tǒng)和信息的完整性、客戶數(shù)據(jù)的完整性、敏感企業(yè)數(shù)據(jù)的完整性，以及審計(jì)和信息安全控制的完整性。

IT Policy Compliance Group的研究還顯示，定期報(bào)告IT界互聯(lián)網(wǎng)安全威脅變化以及對業(yè)務(wù)部門和職能部門的影響的企業(yè)能夠獲得更高的安全性。他們使用這些信息來預(yù)測業(yè)務(wù)風(fēng)險(xiǎn)和控制間的平衡，從而來管理風(fēng)險(xiǎn)和確定早期警告來將信息丟失、盜竊和業(yè)務(wù)停機(jī)時(shí)間到合理的和可管理的水平。

知道信息的去向能夠更好地協(xié)助首席執(zhí)行官、首席信息官、首席財(cái)務(wù)官、部門經(jīng)理、業(yè)務(wù)部門經(jīng)理、首席信息安全官、IT運(yùn)營經(jīng)理和涉及管理信息使用的業(yè)務(wù)風(fēng)險(xiǎn)的有關(guān)人員來進(jìn)行決策，這與報(bào)告同意重要，能夠?yàn)槠髽I(yè)不同的決策者提供清晰明確的信息。Web數(shù)據(jù)表是管理業(yè)務(wù)風(fēng)險(xiǎn)最受歡迎的格式，因?yàn)樗鼈兡軌蛱峁┻@樣的優(yōu)勢，例如根據(jù)顏色來分類風(fēng)險(xiǎn)等。

開始回答問題

沒有快速準(zhǔn)確判斷企業(yè)信息風(fēng)險(xiǎn)的能力，很多企業(yè)會在事故發(fā)生后發(fā)現(xiàn)，風(fēng)險(xiǎn)狀況以及信息安全方案和控制能夠減輕風(fēng)險(xiǎn)。

很顯然，能夠在一天內(nèi)回答“信息風(fēng)險(xiǎn)狀況如何”的問題的8%的企業(yè)處理的方式完全不同，并且也得到了回報(bào)。這些企業(yè)有最高的業(yè)務(wù)服務(wù)水平，最低的(與使用信息和IT資產(chǎn)有關(guān)的)操作和財(cái)務(wù)風(fēng)險(xiǎn)，最低的數(shù)據(jù)丟失或盜竊率，最少的業(yè)務(wù)停機(jī)時(shí)間，因?yàn)镮T很少出現(xiàn)故障，并且只需要花最少的開支來維持監(jiān)管審計(jì)。

試圖阻止員工和業(yè)務(wù)伙伴使用新型強(qiáng)大的客戶設(shè)備是無望的，相反地，企業(yè)需要將重點(diǎn)放在確定風(fēng)險(xiǎn)上面，簡歷風(fēng)險(xiǎn)優(yōu)先次序、自動化流程來收集信息和生成可用的報(bào)告，并且是能夠向其他高級管理員說明問題的報(bào)告。