從業務方面理解安全

■

業務和IT團隊需要協作

這句話聽起來確實很有道理，公司的IT和業務方面確實可以在風險管理問題上進行交流。

公司應當首先從上至下都重視濃厚的安全文化，并且每個人都清楚地理解自己的角色。高級管理部門強調安全并且使每個人都清楚自己的風險和安全責任是非常關鍵的。如果在整個公司的不同層次中達不成一致，公司的某個人就有可能不理解自己在風險管理和風險減輕鏈條中的重要性。

管理部門強調安全確實很重要，但問題并不是管理層如何高調地強調風險管理。公司應當成立由不同部門（其中包括技術領班、首席安全官、求助臺的雇員以及將風險管理作為其日常工作一部分的任何人）的重要成員組成的委員會，進行全方位的商討和研究。

由此，我們可以使風險評估成為整個企業中每個過程的一部分。在進行變更管理或事件管理時，如果我們沒有進行風險評估，也沒有在IT中充分利用此過程，就有可能遺漏某些關鍵方面。一旦我們理解了風險，就可以管理它。

業務方面需要承擔更多責任

企業中的一個重大問題和挑戰是，對于本應由業務方面處理的風險管理過程，IT團隊有時承擔了其中的太多責任。

從本質上說，風險和安全是業務問題，而非技術問題，而且也不是軟件問題。安全和風險問題是可以由技術和軟件支持并解決的，但從本質上說，風險是一個業務問題。因而，業務方面需要對風險管理承擔最終的責任。建議企業首先將安全從IT功能中移除出去，因為安全應當成為首席風險官或CFO的責任。

那些在IT內部實現的安全功能其有效性最終將大打折扣，并且成本高昂，無法真正解決企業今天面臨的全部業務風險問題。

那些將安全功能完全交給IT的公司在觀念上已經落伍了，這些公司需要努力將安全定位為一種價值和業務的促進者，使安全真正成為一種可以使業務成長和繁榮的利器。一旦此觀念得到認可和執行，業務將更容易支持基礎架構的變更或新安全措施的施行，從而更好地減輕業務風險。技術不應成為最后的措施

對于風險管理和安全而言，技術可能很重要，但技術需要遵循策略和文化。多數公司甚至無需接觸軟件即可達到三級水平的安全，只有那些需要最高級安全特性和風險管理技術的公司才需要軟件和其它方案，才能達到更高級的安全成熟水平。

但是，有些方案可有助于風險管理過程。例如，公司可以使用GRC（管理、風險和合規）平臺來確保事件和風險管理的跟蹤。

公司可以部署質量保證系統來幫助維護操作標準和變更管理等過程。關鍵是，你首先要理解公司面臨的風險，并保證所有相關雇員都知道自己的角色，然后你需要利用可用的技術來支持策略。