遺憾的是,很多企業(yè)還沒有弄清楚風(fēng)險(xiǎn)管理是當(dāng)今商業(yè)運(yùn)作的重要組成部分。根據(jù)Silicon Republic公司通過普華永道公司開展的這項(xiàng)研究,40%的愛爾蘭公司沒有做任何風(fēng)險(xiǎn)評(píng)估。
調(diào)研機(jī)構(gòu)Gartner公司在去年夏季的IT風(fēng)險(xiǎn)管理報(bào)告中試圖闡述這個(gè)領(lǐng)域日益復(fù)雜的問題,并將市場分為七個(gè)不同的部分,其中包括審計(jì)、供應(yīng)商風(fēng)險(xiǎn)管理和運(yùn)營風(fēng)險(xiǎn)。它提供了10個(gè)供應(yīng)商的魔力象限,其中包括ServiceNow,戴爾/RSA Archer等。他們認(rèn)識(shí)到,市場正在迅速發(fā)展,因?yàn)橘徺I者正在尋找更廣泛的解決方案,可以在廣泛的條件和工作流程中進(jìn)行部署。
事情發(fā)展得如此之快,甚至一年前的調(diào)查報(bào)告已經(jīng)過時(shí)了。以下來看看這些變化,然后討論企業(yè)可以采取哪些措施來改進(jìn)流程,更改組織結(jié)構(gòu),并且更好地理解,以應(yīng)對(duì)未來網(wǎng)絡(luò)風(fēng)險(xiǎn)。
變化#1:安全現(xiàn)在是每個(gè)人都關(guān)心的問題
信息安全現(xiàn)在是很多企業(yè)關(guān)心的問題,不再是IT部門的專屬領(lǐng)域。“在18個(gè)月前,大多數(shù)公司都將網(wǎng)絡(luò)風(fēng)險(xiǎn)嚴(yán)格視為其IT部門的職責(zé)范圍,”畢馬威公司安全服務(wù)業(yè)務(wù)負(fù)責(zé)人Charles Jacco說。
風(fēng)險(xiǎn)管理供應(yīng)商ServiceNow公司安全業(yè)務(wù)部門副總裁兼總經(jīng)理Sean Convery說:“這確實(shí)是當(dāng)今業(yè)務(wù)的最終跨越職能挑戰(zhàn)。這意味著IT部門的風(fēng)險(xiǎn)管理已經(jīng)變得比以往更加復(fù)雜。”
隨著企業(yè)將更多的業(yè)務(wù)和產(chǎn)品轉(zhuǎn)移到網(wǎng)上,其后果已成為企業(yè)范圍內(nèi)的問題。“服務(wù)現(xiàn)在由企業(yè)的不同部門管理,這意味著數(shù)據(jù)孤島正在結(jié)束,風(fēng)險(xiǎn)變得越來越復(fù)雜。”Convery說。除此之外,惡意軟件威脅也正在變得越來越復(fù)雜,更具針對(duì)性并且更難以發(fā)現(xiàn),而數(shù)據(jù)泄露可能會(huì)影響業(yè)務(wù)中的每個(gè)人,破壞客戶和合作伙伴關(guān)系,并損害企業(yè)的股東價(jià)值。
變化#2:企業(yè)越來越受到更嚴(yán)格的控制
這會(huì)提高風(fēng)險(xiǎn)預(yù)測(cè)以及發(fā)生數(shù)據(jù)泄漏時(shí)的最終價(jià)格。企業(yè)可能面臨巨額罰款,更不用說公眾的指責(zé)和企業(yè)的聲譽(yù)損失。但這并不意味著企業(yè)應(yīng)該僅僅為了合規(guī)的原因來管理風(fēng)險(xiǎn),這是幾年前的典型行為。它需要成為任何企業(yè)整體運(yùn)營DNA的一部分。
變化#3:網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估現(xiàn)在需要獨(dú)特的技能
雖然全球各地的所有商學(xué)院都在教授商業(yè)風(fēng)險(xiǎn)管理知識(shí),但企業(yè)的工作人員理解網(wǎng)絡(luò)風(fēng)險(xiǎn)需要將技能和經(jīng)驗(yàn)結(jié)合起來。風(fēng)險(xiǎn)分析供應(yīng)商Risk Based Security公司副總裁Inga Goddijn說:“這跨越了多條線路。IT安全管理人員不應(yīng)該為可接受風(fēng)險(xiǎn)水平的戰(zhàn)略決策承擔(dān)全部責(zé)任。組織需要投入大量的時(shí)間和思想去做足夠安全的事情,并理解所涉及的過程。”
經(jīng)常就這個(gè)主題發(fā)表博客的David Froud表示,“安全離境并沒有商業(yè)利益。”目前的挑戰(zhàn)是尋找那些已經(jīng)具備這種背景的人員。他還抱怨說,風(fēng)險(xiǎn)評(píng)估通常是在項(xiàng)目結(jié)束時(shí)完成的,而不是在項(xiàng)目開始時(shí)進(jìn)行。“它過于專業(yè)化,從未被視為真正的商業(yè)增值。”
流程改進(jìn)以更好地評(píng)估風(fēng)險(xiǎn)
IT安全管理人員現(xiàn)在必須更好地了解整體業(yè)務(wù)和安全環(huán)境方面的風(fēng)險(xiǎn)。為此,他們需要與其他利益相關(guān)者合作,妥善安排這些風(fēng)險(xiǎn)的優(yōu)先次序,并重新界定他們?cè)诹炕捅O(jiān)控風(fēng)險(xiǎn)方面發(fā)揮的作用。這將采取以下步驟的形式:
第1步:獲得管理層的認(rèn)可
包括董事會(huì)在內(nèi)的企業(yè)高層需要對(duì)此認(rèn)可。Froud提出了一個(gè)多步驟程序,將企業(yè)的業(yè)務(wù)資產(chǎn)映射到流程,以此作為建立所有利益相關(guān)方都能達(dá)成共識(shí)的“風(fēng)險(xiǎn)登記簿”的一種方式。“我們需要將風(fēng)險(xiǎn)管理與首席安全信息官的日常運(yùn)營工作分開。企業(yè)需要更多的檢查和平衡。”畢馬威公司安全服務(wù)業(yè)務(wù)負(fù)責(zé)人Charles Jacco說。他建議設(shè)立一個(gè)名為“首席風(fēng)險(xiǎn)官”的新職位,直接向首席執(zhí)行官或首席信息官報(bào)告,并始終是企業(yè)董事會(huì)成員。這個(gè)成員的任務(wù)應(yīng)該是確定企業(yè)的關(guān)鍵風(fēng)險(xiǎn)指標(biāo),并設(shè)定企業(yè)可以接受的門檻。
“我們需要將網(wǎng)絡(luò)風(fēng)險(xiǎn)管理納入其他所有業(yè)務(wù)風(fēng)險(xiǎn)之中,然后首席安全信息官需要弄清楚如何提供這種服務(wù)和安全級(jí)別。”風(fēng)險(xiǎn)管理服務(wù)提供商Secuvant安全服務(wù)公司首席執(zhí)行官Ryan Layton表示,“許多企業(yè)正從技術(shù)角度解決網(wǎng)絡(luò)安全問題。我們認(rèn)為這需要在風(fēng)險(xiǎn)管理和行政領(lǐng)導(dǎo)下進(jìn)行。”
亞利桑那州首席信息安全官的Mike Lettman表示,當(dāng)他購買新的風(fēng)險(xiǎn)管理工具時(shí),他需要盡早從所有的州政府機(jī)構(gòu)負(fù)責(zé)人那里獲得支持。“每個(gè)人都很難改變,但是必須學(xué)會(huì)??如何講述這個(gè)重要事件,以及如何講述這個(gè)事情的整個(gè)故事,并且能夠建立信任,以幫助組織機(jī)構(gòu)保護(hù)他們自己的資產(chǎn),并展示其所嘗試的價(jià)值。”在安裝風(fēng)險(xiǎn)管理系統(tǒng)之后,在IT網(wǎng)絡(luò)中就發(fā)現(xiàn)了2萬多個(gè)易受攻擊的系統(tǒng)。他說,“我們面臨各種配置問題。”
第2步:進(jìn)行更多的定期漏洞評(píng)估
Layton表示:“了解商業(yè)環(huán)境是管理風(fēng)險(xiǎn)的最佳因素,包括基于網(wǎng)絡(luò)的風(fēng)險(xiǎn)。這意味著要知道什么會(huì)推動(dòng)企業(yè)的業(yè)務(wù)以及對(duì)其業(yè)務(wù)影響最大的風(fēng)險(xiǎn)。”
“漏洞評(píng)估只是一個(gè)毫無意義的流行語。”亞利桑那州的Lettman說,“沒有人一貫使用它,人們需要了解活動(dòng)中實(shí)際包含的內(nèi)容。在理想情況下,其評(píng)估應(yīng)更詳細(xì),并告訴其哪些設(shè)備進(jìn)行了修補(bǔ)和正確應(yīng)用,而且設(shè)備的配置是否已得到糾正。風(fēng)險(xiǎn)管理更多的是有意識(shí)的、一致的和復(fù)雜的活動(dòng),它需要奉獻(xiàn)和紀(jì)律。”
第3步:進(jìn)行連續(xù)的、非離散的風(fēng)險(xiǎn)評(píng)估
對(duì)于許多企業(yè)而言,用于管理風(fēng)險(xiǎn)的主要軟件工具是Microsoft Excel中的一個(gè)項(xiàng)目列表,該列表可以人工更新并不規(guī)則地分發(fā)。“對(duì)于大多數(shù)企業(yè)來說,我們遠(yuǎn)沒有達(dá)到這個(gè)水平。”Jacco說,“我們的大多數(shù)客戶正在開始沿著這條路線前進(jìn)。問題在于企業(yè)不再是每季度都有獨(dú)立產(chǎn)品發(fā)布的靜態(tài)實(shí)體。如今,他們更頻繁地與客戶進(jìn)行交互,并通過網(wǎng)絡(luò)和移動(dòng)設(shè)備等不同設(shè)備進(jìn)行交互。人們還可以看到每日甚至每小時(shí)的軟件更新。兩個(gè)小時(shí)之前推出的應(yīng)用程序與先前制作的代碼不同,這意味著企業(yè)需要必須不斷評(píng)估風(fēng)險(xiǎn)。”
京公網(wǎng)安備 11010502049343號(hào)