當(dāng)您簡單地吃過午飯回來后，原以為會看到在前臺與您辦公室之間，大家都在像往常一樣工作，但卻意外地發(fā)現(xiàn)，人們驚慌失措，辦公區(qū)充斥著低低的喧鬧聲，人們的手指似乎都不在鍵盤上，眼睛也沒有盯著電腦顯示屏。所有的電腦與通信硬件均原封未動，看起來好像一切照舊。但事實上，軟件與數(shù)據(jù)已經(jīng)全部消失。公司所有電腦與磁盤中的數(shù)據(jù)都蕩然無存。

“恭喜您”！貴公司已成為全球第四家遭遇最新型黑客攻擊的受害者。

管理邊界外風(fēng)險

首席信息官及其風(fēng)險與安全團隊正面臨兩大變化。首先是移動、社交與云將業(yè)務(wù)數(shù)據(jù)及流程移出了邊界，且超出了傳統(tǒng)的企業(yè)控制范圍。其次，這些都是不具備穩(wěn)定性或可預(yù)測性的動態(tài)環(huán)境。在這種環(huán)境下，需要采用新方法管理相應(yīng)程度的風(fēng)險。昨天還在借助新型平板電腦，而到明天，部分副總裁將要求通過其新的GoogleGlass收發(fā)郵件。

“如今，各業(yè)務(wù)部門接受風(fēng)險，首席信息官們已意識到風(fēng)險，而首席信息安全官正對此憂心忡忡。”

由于業(yè)務(wù)對技術(shù)的依賴程度越來越高，并且威脅程度與復(fù)雜度都在不可避免的提高，因此，到2020年，安全性將不再只是IT問題，而會演變成一個商業(yè)問題。明智的首席信息官會讓業(yè)務(wù)主管盡早地參與其中，并將網(wǎng)絡(luò)風(fēng)險定義為商業(yè)范疇的主要運營風(fēng)險。實際上，三分之一的首席信息安全官現(xiàn)在已不向IT部門匯報工作。

首席信息官應(yīng)該如何幫助其所在的企業(yè)推動數(shù)字業(yè)務(wù)創(chuàng)新，同時為企業(yè)構(gòu)建必要且適當(dāng)?shù)娘L(fēng)險控制模型？

是時候重置企業(yè)安全性了

為了應(yīng)對新挑戰(zhàn)，安全與風(fēng)險團隊正在重新設(shè)定價值實現(xiàn)的方式。采購團隊與云廠商制定了能夠提高安全性的協(xié)議；安全管理人員也在改進數(shù)據(jù)分類機制以確保云中的關(guān)鍵數(shù)據(jù)能夠始終得到保護。各組織使用新工具作為對傳統(tǒng)安全方法的補充，包括將基于語境的算法用于身份管理、通過移動容器進行數(shù)據(jù)隔離、以及全部有助于實現(xiàn)業(yè)務(wù)收益并同時限制風(fēng)險的權(quán)限管理工具與新監(jiān)測功能。

新風(fēng)險需要采用以人為本的安全方案

但這種對控制權(quán)的稀釋也需要采用創(chuàng)新型方法管理企業(yè)的內(nèi)部風(fēng)險。最終，技術(shù)將變得非常自然且無處不在，甚至無需將其掌控在自己手中。未來的知識工作者可能會將其公司、工作、家庭與個人等全部的信息存儲到虛擬世界，并可通過任意設(shè)備或應(yīng)用查看。人們將能夠隨時隨地訪問這些信息，因此，邊界的定義將繼續(xù)演化。大量的信息將通過即時且無處不在的實時分析應(yīng)用加以收集與處理。

換言之，人們將被賦權(quán)。風(fēng)險與安全專家無法剝奪人們的這些權(quán)利，但可以影響其行為方式。Gartner正在開創(chuàng)一種我們稱之為“以人為本的安全方案”（PCS）技術(shù)，它能夠使信息安全與社會科學(xué)有機的融為一體，給予人們一系列權(quán)利與責(zé)任，鼓勵人們制定更好的安全決策，而非通過獨斷的政策與控制措施限制人們的行為。

例如，用戶有權(quán)將自己的iPad與公司的郵件系統(tǒng)相連。雖然這將提高其生活便利性，但同時也意味著用戶應(yīng)承擔(dān)相關(guān)責(zé)任，比如不得在iPad中存儲敏感數(shù)據(jù)。如果違反了責(zé)任要求，用戶通過iPad收發(fā)公司郵件的權(quán)利和便捷性將會被剝奪。實質(zhì)上，這也是在促使他們以恰當(dāng)?shù)姆绞阶稣_的事。

對業(yè)務(wù)決策的影響

隨著大品牌數(shù)據(jù)泄漏與遭受黑客攻擊的新聞層出不窮，非IT人員（尤其是董事會）也正日益關(guān)注IT的風(fēng)險與安全。他們應(yīng)積極利用風(fēng)險管理與安全的力量影響業(yè)務(wù)決策。

企業(yè)與風(fēng)險的新型關(guān)系意味著風(fēng)險與安全專家：

·不再試圖阻止每一次潛在威脅，而是評估并區(qū)分風(fēng)險等級，以此來選擇采取哪些措施應(yīng)對威脅。

·不再局限于IT領(lǐng)域，而是明悉IT風(fēng)險對其它業(yè)務(wù)結(jié)果的影響。

·不再完全依賴于那些知道如何應(yīng)對風(fēng)險的聰明人，而是通過可重復(fù)、可執(zhí)行與可度量的流程制定計劃。

在過去10年間，信息技術(shù)與互聯(lián)網(wǎng)通信已拓展至商業(yè)的各個領(lǐng)域，但更多的風(fēng)險也隨之而來。這些風(fēng)險已不容忽視。管理風(fēng)險以保護企業(yè)業(yè)務(wù)運營已不是什么新鮮事。業(yè)務(wù)主管與經(jīng)理們需要立即在管理組合中添加更多的風(fēng)險級別。