全新ＩＴ治理

風險管理并不是拿螺絲刀就能解決的。

IT是一家軟件企業很早就有了風險管理意識，比如把研發部門所有臺式機的機箱都額外封加一個外殼，所有USB接口也都封鎖，所有研發人員只能登錄內網，不能瀏覽外網。“即使更換一個電腦鼠標，也必須告訴公司的IT部門，會有專門人員來進行更換。”在這家公司研發部門做了3年的王先生告訴記者，“公司內部為此還流傳過一個笑話，新同事需要換鼠標，等IT部同事拿著螺絲刀三下五除二撬開外殼換好以后，新同事嘟囔了一句，”“用螺絲刀一撬就開，也不安全啊!”結果那IT部的同事嘿嘿笑著回了一句，“可螺絲刀，你有么?”

這個“螺絲刀”的故事，從安全角度反應出了這家公司的企業文化——不太信任員工。IBM(www.ibm.com.cn)治理與風險管理戰略總監Kristine Lovejoy前不久在一次“IT治理峰會”上也提到，“從安全的角度看，企業的風險管理容易陷入兩個極端，要么充分相信員工，所有的信息資源都共享；要么就是一點都不信任員工。”而從風險管理的實質來看，這些都非IT治理的初衷，風險管理和安全管理做到恰如其分，就會使企業業務流程更加自動化和有效。

對現在的市場而言，推動任何一項技術和理念，技術足夠經得起考驗的同時，更加需要的是企業背后一種文化的改變。“成功的IT治理，很重要的一點就是需要用戶本身的配合。”康明斯公司IT經理鄧志超告訴《互聯網周刊》。康明斯目前已經成功采用了IBM整套IT治理服務，但鄧志超認為選擇IBH提供的IT治理方案并非企業內部有什么急待解決的痛處，“只是業務流程需要改變，IT管理也需要及時更新。針對業務流程改造，企業就必須時刻存有風險管理意識。”

Kristine就遇到過這樣一件事情，在參觀一家客戶的數據中心時，她吃驚地發現這家客戶把路由器隨意放在農架旁邊，“我當時就在想，為什么他們不把這些重要的、有可能會出現安全問題的設備監管起來呢?”這也說明，很多企業還并沒有對企業的安全或者風險管理引起重視，“所以企業內部的風險往往都是來自內部成員沒有很好的遵循內部規范。”據研究統計表明，差不多有85％的安全或風險問題，都來自于企業內部，而其中很人一部分都是來自于企業內部跟IT相關的管理。Kristine提到的IT治理方案是希望可以幫助客戶評估風險，然后作出分級，同時下一步可以幫助企業推出相應的方案，包括從企業內部，從用戶的識別到應用，到基礎架構等，然后對相應部門的人員提供相應的幫助。這些都是IBM服務體系更加完善后所承諾要帶給用戶的全新IT治理。

而對于IBM而言，有了安全產品的加入，這個IT巨頭在未來為企業提供的服務體系無疑將更加生態鏈化，從2007年年初收購安全和法規性遵從管理公司Consul，加強了Tivoli在法規遵從方面的能力；到不久前完成了對網絡應用安全公司Watchfire的收購，使Ratlonal更加錦上添花；以及繼前不久國外媒體《紅鯡魚》有關明年IBH在安全領域15億美元投入數額的報道，2007年11月底，在“2007IBM亞太區IT治理與風險管理峰會”上，IBH在中國正式宣布了此消息。另一方面，新興市場的擴充也不可避免的帶來安全風險問題——怎樣規避這些風險，你的企業風險管理是不是也要開始啟動。