遗憾的是,很多企业还没有弄清楚风险管理是当今商业运作的重要组成部分。根据Silicon Republic公司通过普华永道公司开展的这项研究,40%的爱尔兰公司没有做任何风险评估。
调研机构Gartner公司在去年夏季的IT风险管理报告中试图阐述这个领域日益复杂的问题,并将市场分为七个不同的部分,其中包括审计、供应商风险管理和运营风险。它提供了10个供应商的魔力象限,其中包括ServiceNow,戴尔/RSA Archer等。他们认识到,市场正在迅速发展,因为购买者正在寻找更广泛的解决方案,可以在广泛的条件和工作流程中进行部署。
事情发展得如此之快,甚至一年前的调查报告已经过时了。以下来看看这些变化,然后讨论企业可以采取哪些措施来改进流程,更改组织结构,并且更好地理解,以应对未来网络风险。
变化#1:安全现在是每个人都关心的问题
信息安全现在是很多企业关心的问题,不再是IT部门的专属领域。“在18个月前,大多数公司都将网络风险严格视为其IT部门的职责范围,”毕马威公司安全服务业务负责人Charles Jacco说。
风险管理供应商ServiceNow公司安全业务部门副总裁兼总经理Sean Convery说:“这确实是当今业务的最终跨越职能挑战。这意味着IT部门的风险管理已经变得比以往更加复杂。”
随着企业将更多的业务和产品转移到网上,其后果已成为企业范围内的问题。“服务现在由企业的不同部门管理,这意味着数据孤岛正在结束,风险变得越来越复杂。”Convery说。除此之外,恶意软件威胁也正在变得越来越复杂,更具针对性并且更难以发现,而数据泄露可能会影响业务中的每个人,破坏客户和合作伙伴关系,并损害企业的股东价值。
变化#2:企业越来越受到更严格的控制
这会提高风险预测以及发生数据泄漏时的最终价格。企业可能面临巨额罚款,更不用说公众的指责和企业的声誉损失。但这并不意味着企业应该仅仅为了合规的原因来管理风险,这是几年前的典型行为。它需要成为任何企业整体运营DNA的一部分。
变化#3:网络风险评估现在需要独特的技能
虽然全球各地的所有商学院都在教授商业风险管理知识,但企业的工作人员理解网络风险需要将技能和经验结合起来。风险分析供应商Risk Based Security公司副总裁Inga Goddijn说:“这跨越了多条线路。IT安全管理人员不应该为可接受风险水平的战略决策承担全部责任。组织需要投入大量的时间和思想去做足够安全的事情,并理解所涉及的过程。”
经常就这个主题发表博客的David Froud表示,“安全离境并没有商业利益。”目前的挑战是寻找那些已经具备这种背景的人员。他还抱怨说,风险评估通常是在项目结束时完成的,而不是在项目开始时进行。“它过于专业化,从未被视为真正的商业增值。”
流程改进以更好地评估风险
IT安全管理人员现在必须更好地了解整体业务和安全环境方面的风险。为此,他们需要与其他利益相关者合作,妥善安排这些风险的优先次序,并重新界定他们在量化和监控风险方面发挥的作用。这将采取以下步骤的形式:
第1步:获得管理层的认可
包括董事会在内的企业高层需要对此认可。Froud提出了一个多步骤程序,将企业的业务资产映射到流程,以此作为建立所有利益相关方都能达成共识的“风险登记簿”的一种方式。“我们需要将风险管理与首席安全信息官的日常运营工作分开。企业需要更多的检查和平衡。”毕马威公司安全服务业务负责人Charles Jacco说。他建议设立一个名为“首席风险官”的新职位,直接向首席执行官或首席信息官报告,并始终是企业董事会成员。这个成员的任务应该是确定企业的关键风险指标,并设定企业可以接受的门槛。
“我们需要将网络风险管理纳入其他所有业务风险之中,然后首席安全信息官需要弄清楚如何提供这种服务和安全级别。”风险管理服务提供商Secuvant安全服务公司首席执行官Ryan Layton表示,“许多企业正从技术角度解决网络安全问题。我们认为这需要在风险管理和行政领导下进行。”
亚利桑那州首席信息安全官的Mike Lettman表示,当他购买新的风险管理工具时,他需要尽早从所有的州政府机构负责人那里获得支持。“每个人都很难改变,但是必须学会如何讲述这个重要事件,以及如何讲述这个事情的整个故事,并且能够建立信任,以帮助组织机构保护他们自己的资产,并展示其所尝试的价值。”在安装风险管理系统之后,在IT网络中就发现了2万多个易受攻击的系统。他说,“我们面临各种配置问题。”
第2步:进行更多的定期漏洞评估
Layton表示:“了解商业环境是管理风险的最佳因素,包括基于网络的风险。这意味着要知道什么会推动企业的业务以及对其业务影响最大的风险。”
“漏洞评估只是一个毫无意义的流行语。”亚利桑那州的Lettman说,“没有人一贯使用它,人们需要了解活动中实际包含的内容。在理想情况下,其评估应更详细,并告诉其哪些设备进行了修补和正确应用,而且设备的配置是否已得到纠正。风险管理更多的是有意识的、一致的和复杂的活动,它需要奉献和纪律。”
第3步:进行连续的、非离散的风险评估
对于许多企业而言,用于管理风险的主要软件工具是Microsoft Excel中的一个项目列表,该列表可以人工更新并不规则地分发。“对于大多数企业来说,我们远没有达到这个水平。”Jacco说,“我们的大多数客户正在开始沿着这条路线前进。问题在于企业不再是每季度都有独立产品发布的静态实体。如今,他们更频繁地与客户进行交互,并通过网络和移动设备等不同设备进行交互。人们还可以看到每日甚至每小时的软件更新。两个小时之前推出的应用程序与先前制作的代码不同,这意味着企业需要必须不断评估风险。”
京公网安备 11010502049343号