首席信息官与IT风险的新关系

标签:关系IT风险首席信息官

访客:34004  发表于:2015-07-01 11:02:36

当您简单地吃过午饭回来后,原以为会看到在前台与您办公室之间,大家都在像往常一样工作,但却意外地发现,人们惊慌失措,办公区充斥着低低的喧闹声,人们的手指似乎都不在键盘上,眼睛也没有盯着电脑显示屏。所有的电脑与通信硬件均原封未动,看起来好像一切照旧。但事实上,软件与数据已经全部消失。公司所有电脑与磁盘中的数据都荡然无存。

“恭喜您”!贵公司已成为全球第四家遭遇最新型黑客攻击的受害者。

管理边界外风险

首席信息官及其风险与安全团队正面临两大变化。首先是移动、社交与云将业务数据及流程移出了边界,且超出了传统的企业控制范围。其次,这些都是不具备稳定性或可预测性的动态环境。在这种环境下,需要采用新方法管理相应程度的风险。昨天还在借助新型平板电脑,而到明天,部分副总裁将要求通过其新的Google Glass收发邮件。

“如今,各业务部门接受风险,首席信息官们已意识到风险,而首席信息安全官正对此忧心忡忡。”

由于业务对技术的依赖程度越来越高,并且威胁程度与复杂度都在不可避免的提高,因此,到2020年,安全性将不再只是IT问题,而会演变成一个商业问题。明智的首席信息官会让业务主管尽早地参与其中,并将网络风险定义为商业范畴的主要运营风险。实际上,三分之一的首席信息安全官现在已不向IT部门汇报工作。

首席信息官应该如何帮助其所在的企业推动数字业务创新,同时为企业构建必要且适当的风险控制模型?

是时候重置企业安全性了

为了应对新挑战,安全与风险团队正在重新设定价值实现的方式。采购团队与云厂商制定了能够提高安全性的协议;安全管理人员也在改进数据分类机制以确保云中的关键数据能够始终得到保护。各组织使用新工具作为对传统安全方法的补充,包括将基于语境的算法用于身份管理、通过移动容器进行数据隔离、以及全部有助于实现业务收益并同时限制风险的权限管理工具与新监测功能。

新风险需要采用以人为本的安全方案

但这种对控制权的稀释也需要采用创新型方法管理企业的内部风险。最终,技术将变得非常自然且无处不在,甚至无需将其掌控在自己手中。未来的知识工作者可能会将其公司、工作、家庭与个人等全部的信息存储到虚拟世界,并可通过任意设备或应用查看。人们将能够随时随地访问这些信息,因此,边界的定义将继续演化。大量的信息将通过即时且无处不在的实时分析应用加以收集与处理。

换言之,人们将被赋权。风险与安全专家无法剥夺人们的这些权利,但可以影响其行为方式。Gartner正在开创一种我们称之为“以人为本的安全方案”(PCS)技术,它能够使信息安全与社会科学有机的融为一体,给予人们一系列权利与责任,鼓励人们制定更好的安全决策,而非通过独断的政策与控制措施限制人们的行为。

例如,用户有权将自己的iPad与公司的邮件系统相连。虽然这将提高其生活便利性,但同时也意味着用户应承担相关责任,比如不得在iPad中存储敏感数据。如果违反了责任要求,用户通过iPad收发公司邮件的权利和便捷性将会被剥夺。实质上,这也是在促使他们以恰当的方式做正确的事。

对业务决策的影响

随着大品牌数据泄漏与遭受黑客攻击的新闻层出不穷,非IT人员(尤其是董事会)也正日益关注IT的风险与安全。他们应积极利用风险管理与安全的力量影响业务决策。

企业与风险的新型关系意味着风险与安全专家:

不再试图阻止每一次潜在威胁,而是评估并区分风险等级,以此来选择采取哪些措施应对威胁。

不再局限于IT领域,而是明悉IT风险对其它业务结果的影响。

不再完全依赖于那些知道如何应对风险的聪明人,而是通过可重复、可执行与可度量的流程制定计划。

在过去10年间,信息技术与互联网通信已拓展至商业的各个领域,但更多的风险也随之而来。这些风险已不容忽视。管理风险以保护企业业务运营已不是什么新鲜事。业务主管与经理们需要立即在管理组合中添加更多的风险级别。(作者:Gartner图书项目咨询顾问Heather Levy & Gartner CIO研究总监陈勇)

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");