Gartner顧問Heather Levy、Gartner研究總監(jiān) Owen Chen

　　當您簡單地吃過午飯回來后，原以為會看到在前臺與您辦公室之間，大家都在像往常一樣工作，但卻意外地發(fā)現(xiàn)，人們驚慌失措，辦公區(qū)充斥著低低的喧鬧聲，人們的手指似乎都不在鍵盤上，眼睛也沒有盯著電腦顯示屏。所有的電腦與通信硬件均原封未動，看起來好像一切照舊。但事實上，軟件與數(shù)據(jù)已經(jīng)全部消失。公司所有電腦與磁盤中的數(shù)據(jù)都蕩然無存。

　　“恭喜您”！貴公司已成為全球第四家遭遇最新型黑客攻擊的受害者。

　　管理邊界外風險

　　首席信息官及其風險與安全團隊正面臨兩大變化。首先是移動、社交與云將業(yè)務數(shù)據(jù)及流程移出了邊界，且超出了傳統(tǒng)的企業(yè)控制范圍。其次，這些都是不具備穩(wěn)定性或可預測性的動態(tài)環(huán)境。在這種環(huán)境下，需要采用新方法管理相應程度的風險。昨天還在借助新型平板電腦，而到明天，部分副總裁將要求通過其新的Google Glass收發(fā)郵件。

　　“如今，各業(yè)務部門接受風險，首席信息官們已意識到風險，而首席信息安全官正對此憂心忡忡。”

　　由于業(yè)務對技術的依賴程度越來越高，并且威脅程度與復雜度都在不可避免的提高，因此，到2020年，安全性將不再只是IT問題，而會演變成一個商業(yè)問題。明智的首席信息官會讓業(yè)務主管盡早地參與其中，并將網(wǎng)絡風險定義為商業(yè)范疇的主要運營風險。實際上，三分之一的首席信息安全官現(xiàn)在已不向IT部門匯報工作。

　　首席信息官應該如何幫助其所在的企業(yè)推動數(shù)字業(yè)務創(chuàng)新，同時為企業(yè)構建必要且適當?shù)娘L險控制模型？

　　是時候重置企業(yè)安全性了

　　為了應對新挑戰(zhàn)，安全與風險團隊正在重新設定價值實現(xiàn)的方式。采購團隊與云廠商制定了能夠提高安全性的協(xié)議；安全管理人員也在改進數(shù)據(jù)分類機制以確保云中的關鍵數(shù)據(jù)能夠始終得到保護。各組織使用新工具作為對傳統(tǒng)安全方法的補充，包括將基于語境的算法用于身份管理、通過移動容器進行數(shù)據(jù)隔離、以及全部有助于實現(xiàn)業(yè)務收益并同時限制風險的權限管理工具與新監(jiān)測功能。

　　新風險需要采用以人為本的安全方案

　　但這種對控制權的稀釋也需要采用創(chuàng)新型方法管理企業(yè)的內(nèi)部風險。最終，技術將變得非常自然且無處不在，甚至無需將其掌控在自己手中。未來的知識工作者可能會將其公司、工作、家庭與個人等全部的信息存儲到虛擬世界，并可通過任意設備或應用查看。人們將能夠隨時隨地訪問這些信息，因此，邊界的定義將繼續(xù)演化。大量的信息將通過即時且無處不在的實時分析應用加以收集與處理。

　　換言之，人們將被賦權。風險與安全專家無法剝奪人們的這些權利，但可以影響其行為方式。Gartner正在開創(chuàng)一種我們稱之為“以人為本的安全方案”（PCS）技術，它能夠使信息安全與社會科學有機的融為一體，給予人們一系列權利與責任，鼓勵人們制定更好的安全決策，而非通過獨斷的政策與控制措施限制人們的行為。

　　例如，用戶有權將自己的iPad與公司的郵件系統(tǒng)相連。雖然這將提高其生活便利性，但同時也意味著用戶應承擔相關責任，比如不得在iPad中存儲敏感數(shù)據(jù)。如果違反了責任要求，用戶通過iPad收發(fā)公司郵件的權利和便捷性將會被剝奪。實質上，這也是在促使他們以恰當?shù)姆绞阶稣�確的事。

　　對業(yè)務決策的影響

　　隨著大品牌數(shù)據(jù)泄漏與遭受黑客攻擊的新聞層出不窮，非IT人員（尤其是董事會）也正日益關注IT的風險與安全。他們應積極利用風險管理與安全的力量影響業(yè)務決策。

　　企業(yè)與風險的新型關系意味著風險與安全專家：

• 不再試圖阻止每一次潛在威脅，而是評估并區(qū)分風險等級，以此來選擇采取哪些措施應對威脅。
• 不再局限于IT領域，而是明悉IT風險對其它業(yè)務結果的影響。
• 不再完全依賴于那些知道如何應對風險的聰明人，而是通過可重復、可執(zhí)行與可度量的流程制定計劃。

　　在過去10年間，信息技術與互聯(lián)網(wǎng)通信已拓展至商業(yè)的各個領域，但更多的風險也隨之而來。這些風險已不容忽視。管理風險以保護企業(yè)業(yè)務運營已不是什么新鮮事。業(yè)務主管與經(jīng)理們需要立即在管理組合中添加更多的風險級別。