Gartner顧問Heather Levy、Gartner研究總監(jiān) Owen Chen

　　當(dāng)您簡(jiǎn)單地吃過午飯回來(lái)后，原以為會(huì)看到在前臺(tái)與您辦公室之間，大家都在像往常一樣工作，但卻意外地發(fā)現(xiàn)，人們驚慌失措，辦公區(qū)充斥著低低的喧鬧聲，人們的手指似乎都不在鍵盤上，眼睛也沒有盯著電腦顯示屏。所有的電腦與通信硬件均原封未動(dòng)，看起來(lái)好像一切照舊。但事實(shí)上，軟件與數(shù)據(jù)已經(jīng)全部消失。公司所有電腦與磁盤中的數(shù)據(jù)都蕩然無(wú)存。

　　“恭喜您”！貴公司已成為全球第四家遭遇最新型黑客攻擊的受害者。

　　管理邊界外風(fēng)險(xiǎn)

　　首席信息官及其風(fēng)險(xiǎn)與安全團(tuán)隊(duì)正面臨兩大變化。首先是移動(dòng)、社交與云將業(yè)務(wù)數(shù)據(jù)及流程移出了邊界，且超出了傳統(tǒng)的企業(yè)控制范圍。其次，這些都是不具備穩(wěn)定性或可預(yù)測(cè)性的動(dòng)態(tài)環(huán)境。在這種環(huán)境下，需要采用新方法管理相應(yīng)程度的風(fēng)險(xiǎn)。昨天還在借助新型平板電腦，而到明天，部分副總裁將要求通過其新的Google Glass收發(fā)郵件。

　　“如今，各業(yè)務(wù)部門接受風(fēng)險(xiǎn)，首席信息官們已意識(shí)到風(fēng)險(xiǎn)，而首席信息安全官正對(duì)此憂心忡忡。”

　　由于業(yè)務(wù)對(duì)技術(shù)的依賴程度越來(lái)越高，并且威脅程度與復(fù)雜度都在不可避免的提高，因此，到2020年，安全性將不再只是IT問題，而會(huì)演變成一個(gè)商業(yè)問題。明智的首席信息官會(huì)讓業(yè)務(wù)主管盡早地參與其中，并將網(wǎng)絡(luò)風(fēng)險(xiǎn)定義為商業(yè)范疇的主要運(yùn)營(yíng)風(fēng)險(xiǎn)。實(shí)際上，三分之一的首席信息安全官現(xiàn)在已不向IT部門匯報(bào)工作。

　　首席信息官應(yīng)該如何幫助其所在的企業(yè)推動(dòng)數(shù)字業(yè)務(wù)創(chuàng)新，同時(shí)為企業(yè)構(gòu)建必要且適當(dāng)?shù)娘L(fēng)險(xiǎn)控制模型？

　　是時(shí)候重置企業(yè)安全性了

　　為了應(yīng)對(duì)新挑戰(zhàn)，安全與風(fēng)險(xiǎn)團(tuán)隊(duì)正在重新設(shè)定價(jià)值實(shí)現(xiàn)的方式。采購(gòu)團(tuán)隊(duì)與云廠商制定了能夠提高安全性的協(xié)議；安全管理人員也在改進(jìn)數(shù)據(jù)分類機(jī)制以確保云中的關(guān)鍵數(shù)據(jù)能夠始終得到保護(hù)。各組織使用新工具作為對(duì)傳統(tǒng)安全方法的補(bǔ)充，包括將基于語(yǔ)境的算法用于身份管理、通過移動(dòng)容器進(jìn)行數(shù)據(jù)隔離、以及全部有助于實(shí)現(xiàn)業(yè)務(wù)收益并同時(shí)限制風(fēng)險(xiǎn)的權(quán)限管理工具與新監(jiān)測(cè)功能。

　　新風(fēng)險(xiǎn)需要采用以人為本的安全方案

　　但這種對(duì)控制權(quán)的稀釋也需要采用創(chuàng)新型方法管理企業(yè)的內(nèi)部風(fēng)險(xiǎn)。最終，技術(shù)將變得非常自然且無(wú)處不在，甚至無(wú)需將其掌控在自己手中。未來(lái)的知識(shí)工作者可能會(huì)將其公司、工作、家庭與個(gè)人等全部的信息存儲(chǔ)到虛擬世界，并可通過任意設(shè)備或應(yīng)用查看。人們將能夠隨時(shí)隨地訪問這些信息，因此，邊界的定義將繼續(xù)演化。大量的信息將通過即時(shí)且無(wú)處不在的實(shí)時(shí)分析應(yīng)用加以收集與處理。

　　換言之，人們將被賦權(quán)。風(fēng)險(xiǎn)與安全專家無(wú)法剝奪人們的這些權(quán)利，但可以影響其行為方式。Gartner正在開創(chuàng)一種我們稱之為“以人為本的安全方案”（PCS）技術(shù)，它能夠使信息安全與社會(huì)科學(xué)有機(jī)的融為一體，給予人們一系列權(quán)利與責(zé)任，鼓勵(lì)人們制定更好的安全決策，而非通過獨(dú)斷的政策與控制措施限制人們的行為。

　　例如，用戶有權(quán)將自己的iPad與公司的郵件系統(tǒng)相連。雖然這將提高其生活便利性，但同時(shí)也意味著用戶應(yīng)承擔(dān)相關(guān)責(zé)任，比如不得在iPad中存儲(chǔ)敏感數(shù)據(jù)。如果違反了責(zé)任要求，用戶通過iPad收發(fā)公司郵件的權(quán)利和便捷性將會(huì)被剝奪。實(shí)質(zhì)上，這也是在促使他們以恰當(dāng)?shù)姆绞阶稣�確的事。

　　對(duì)業(yè)務(wù)決策的影響

　　隨著大品牌數(shù)據(jù)泄漏與遭受黑客攻擊的新聞層出不窮，非IT人員（尤其是董事會(huì)）也正日益關(guān)注IT的風(fēng)險(xiǎn)與安全。他們應(yīng)積極利用風(fēng)險(xiǎn)管理與安全的力量影響業(yè)務(wù)決策。

　　企業(yè)與風(fēng)險(xiǎn)的新型關(guān)系意味著風(fēng)險(xiǎn)與安全專家：

• 不再試圖阻止每一次潛在威脅，而是評(píng)估并區(qū)分風(fēng)險(xiǎn)等級(jí)，以此來(lái)選擇采取哪些措施應(yīng)對(duì)威脅。
• 不再局限于IT領(lǐng)域，而是明悉IT風(fēng)險(xiǎn)對(duì)其它業(yè)務(wù)結(jié)果的影響。
• 不再完全依賴于那些知道如何應(yīng)對(duì)風(fēng)險(xiǎn)的聰明人，而是通過可重復(fù)、可執(zhí)行與可度量的流程制定計(jì)劃。

　　在過去10年間，信息技術(shù)與互聯(lián)網(wǎng)通信已拓展至商業(yè)的各個(gè)領(lǐng)域，但更多的風(fēng)險(xiǎn)也隨之而來(lái)。這些風(fēng)險(xiǎn)已不容忽視。管理風(fēng)險(xiǎn)以保護(hù)企業(yè)業(yè)務(wù)運(yùn)營(yíng)已不是什么新鮮事。業(yè)務(wù)主管與經(jīng)理們需要立即在管理組合中添加更多的風(fēng)險(xiǎn)級(jí)別。