您的位置: 网界网 > 周报全文 > 正文

[周报全文]风险管理的抉择(上)

2007年10月30日 15:45:16 | 作者:张琳 编译 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:越来越多的企业CIO已经认识到,抵御日益复杂的网络威胁是一项长期而艰巨的任务,而风险管理将是这条曲折道路上最重要的指南针。

标签
风险管理
网络威胁
 

【CNW.com.cn 专稿】越来越多的企业CIO[注]已经认识到,抵御日益复杂的网络威胁是一项长期而艰巨的任务,而风险管理将是这条曲折道路上最重要的指南针。

什么是风险管理?

当说到“风险管理”,尤其是“安全风险管理”时,不同的人会有不同的反应。

在运营人员看来,风险管理意味着保障正常运行时间和配置,其重点在于使他们的设备遵从内部策略和法规,并且能维持其业务正常运转,即保持网络通畅。在审核人员看来,风险管理意味着遵从外部法规和内部规章制度,以便企业能够证明它遵从了相关管理法规;在安全专业人员看来,风险管理意味着最大限度地减少关键设备上的漏洞和威胁;对于企业老板而言,风险管理意味着确保业务连续性,能够继续开展业务和实现赢利。

站在他们各自角度上,给出的所有这些定义都没有错。然而,由于这些定义无法统一,造成了业务运营甚至管理上的摩擦。各团队都设置不同的优先级和策略来管理安全风险。这样做的结果,往好处说,他们的举措会促使策略的增强。从坏处讲,他们的做法会导致在 IT 监控和防护方面的投资发生冲突。这种情形会使业务资产面临危险,威胁到法规遵从性,并使企业浪费大量金钱,甚至是错失商机。这种观点上的分歧还导致在今后的IT 风险管理过程中,如果经历了灾难性的巨大失败,他们可能会相互指责。令人悲哀的是,他们本可以轻松地避免这种灾难的出现。

通过使 IT 安全更贴近所有人心目中的目标并将其整合到整体业务目标中,我们可以得到一个全面的企业风险管理战略。简而言之,IT 风险管理框架表明我们要综合考虑企业的各个级别和业务的各个方面。这是确保我们制定切实可行的 IT 风险管理决策的唯一途径。安全风险管理不能在“真空”中执行。一旦明确了这一点,企业就可以从业务的角度出发,围绕采取什么措施来保护企业的问题,着手制定一个战略。

实施中的挑战

对全面 IT 风险管理不成熟的断言导致人们对其产生普遍的困惑。曾几何时,风险管理实际上就意味着漏洞管理,然而,随着 IT 运营进入成熟阶段并开始使用ISOITIL之类的国际框架,风险管理的真实意义在不断延伸。

当把风险管理活动规划为风险管理框架时,我们发现,这些理念本身并不是新的。它们基于一些最佳实践(如ISO 27001),可以反映出运转正常的企业当前所进行的活动。而主要的差异体现在:前者是为活动开展指明方向和防止活动形成一个无效率的“漩涡”。而后者则通过将不同的团队统一在一个通用框架中,获取文化和企业方面的巨大优势。

在缺乏良好的规划与框架时,除非企业有能力及时根据具体情况调整IT安全方向,否则,大多数用户将会在这一点上泥足深陷。事实上,很多企业将发现自己的安全建设完全“脱离了正轨”,不得不做出更多的努力来重新引导自己回到正确的方向上来。

挑战的另一点来自于选择适合的风险管理方法,如果无法做到这一点,只是采取一种被动的威胁管理,企业最终会发现它们保护的业务将会脱离企业的控制。为了保护而保护是不够的,对于纯粹的安全技术,企业可以将这些任务外包给那些专业的安全服务提供商。

结束IT拉锯战

风险管理要求企业将IT安全与业务需求保持一致。企业必须将业务与安全准则结合起来,以确定什么是真正的业务风险,如何最大限度地降低风险。安全风险管理是一个流程,而不是一件可以购买的产品。它是一种为业务提供支持的方法(+微信关注网络世界),可帮助企业前瞻性地识别并消除漏洞,拦截攻击;管理法规遵从情况以及实施补救策略。

随着时间的流逝,当IT企业发展超越了其目前采用的威胁和漏洞管理方法时,它们需要把决策、行动及所支持的业务需求更加紧密地联系起来。这种战略融合正在从根本上颠覆人们对IT安全风险管理的理解。对于那些已经转变认识的企业来讲,它们会意识到,IT安全防护实质上只是企业整体风险管理和威胁缓解战略的一个方面。而那些还没有实现认识上转变的企业,今后将不可避免地要为一些乏味的技术支持任务所困。

那些选择基于标准的 IT 风险管理流程的企业将认识到它们可以与不同的团队协作,进而使其可以更贴近业务需求。通过这样做,IT 风险管理团队将发现自己与业务的联系更加紧密。而且,如果他们的举措行之有效并被视为关键业务要求,他们将在决策中占据一席之地。

对于企业所有者而言,进行安全风险管理的真正目的是为了保护数据——企业的命脉。具体而言,企业购买计算机并构建复杂的网络并不是因为它们喜欢技术,它们是要利用系统来管理、传输数据以及保障数据的安全。随着安全风险管理的发展,保护重要数据将成为重中之重。适应这种变化的管理方法将随之不断发展。那些无法适应这种变化的方法将停滞不前,而它们对企业的价值也将减少。

IT 运营和安全任务中涉及的各方必须证明它们能够应对这一新的挑战。安全主管们和 IT 运营人员必须在 CIO 的率领下采用一种新的合作议程,将 IT 风险管理放在企业资源风险规划、风险优先级确定和风险管理的最前沿。这支团队应该由管理层设立,并且直接在管理层领导下开展工作。硬将 IT 风险管理团队塞进传统基础架构是行不通的。这样的团队将变成一个烦人的特别委员会,成为成员日常工作的累赘,而不是企业的一支生力军。

相关链接

风险管理的权威定义

尽管市场上存在许多有关风险管理的定义,但 Treadway 委员会下属的发起组织委员会(Committee of Sponsoring Organizations, COSO) 提供的企业风险管理定义最适合如今的 IT 安全领域:“企业风险管理是一种流程,它受实体的董事会、管理层和其他人员的影响,应用于战略框架和整个企业中,旨在识别可能影响该实体的潜在事件,将风险控制在其风险承受能力内,为实现实体的目标提供合理的保障。”

为了更全面地了解 IT 安全,让我们使用来自Gartner 的定义对 COSO 框架加以补充:“安全风险管理是一种实践方法,可改善安全流程,自动完成法规遵从报告的某些方面,量化 IT安全风险和确定消除风险活动的优先级。”

参考资料

1.CIO:(Chief Information Officer),首席信息官,亦可称之为信息主管、信息总监等,是企业中信息化建设“统筹”人,是企业中不可或缺的高级主管职位之一,主要负责企业内部信息...详情>>

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]