当我们在考虑到“风险管理策略”时,其重要性真的是不言而喻的。在当前的信息时代,大多数的企业都应该具备一套相应的管理策略。然而,事实上,有相当一部分的企业却很随意的将风险管理策略制定的计划一拖再拖或者根本完全忽略了制定相关的管理政策。
对于那些风险管理策略早已过时、不完备、或者压根儿就没有制定过信息风险管理策略的企业来说,也许从这样一个最为基本的问题入手,会对他们对所帮助。即:到底何为信息风险管理策略?
咨询公司IPArchitects的总裁JohnPironti在接受采访时说:“我将其视为企业关于在遭受到相关信息丢失、中断或数据资产可用性问题等情况时的最大容忍度的对话。即当企业丢失这上述某些东西时,会遭受怎样严重的损失是企业所无法挽救的?”
有了这样的对话,就可以帮助企业定义处理的优先级,并以更明智的方法来保护和维护他们的信息。这将有助于当发生诸如财务损失、企业公关危机、生产力水平下降等等类似的事件时尽量减少其他潜在的麻烦。
在众多的信息风险管理在数字化时代是一款相当重要的工具的原因之中:一套全面的信息风险管理策略可以帮助企业捋清哪些信息是真正重要的;而哪些是次重要的。如果不能做出这样明确的区分,往往会导致资源的浪费,无效的策略或者决策不佳。
曾主持过Interop的信息安全和风险管理大会的Pironti先生为我们提出了这样几点关于企业如何建立高效的信息风险管理策略的建议。
1、注意区别“风险”和“威胁”之间的差异。
Pironti指出了关于信息风险管理领域的一个常见的误解:“我认为安全专家们,包括我自己在内,都花费了太多的时间,却没有很好的弄清楚“风险”和“威胁”之间的差异。虽然“威胁”可能适用于某些恶意软件或钓鱼诈骗等领域,但“风险”所涉及的应该包括数据丢失、损坏或停机等更为广泛的状况,而不管其引发的原因是什么。
一套完整的信息风险管理策略不只是针对那些有目标性的或不分青红皂白的安全攻击,同时还各种各样的风险:员工操作错误、技术故障、供应商的失误等。这些风险因素都会对企业的业务产生同样的恶劣影响。Pironti说。
2、企业的业务部门应该在风险管理策略过程中占据主导。
Pironti说:“你指望从那些业务部门的领导处获得关于:‘我们应该关心哪些风险问题及其原因’的资讯吗?”这可能说起来容易做起来难,Pironti补充说,因为通常这些企业的高管和经理们也承担着相当的风险。但Pironti的观点也得到了安全和隐私领域的其他人的认可。
虽然企业的信息安全专业人员应该引领该过程,但最终的具体操作应该是由业务部门来执行和维护的。“如果信息安全专业人员只是在业务部门转转,给出他们的观点,就期待业务部门能够遵照执行,他们的见解甚至可能不会被业务部门所采纳或视为是可信的。Pironti说:“其可能不会达到业务部门的高层领导或董事会层面,因为其将会被看作是一个业务回顾,而不是一个企业级审查”。
3、企业的信息风险管理需要选择合适的人选。
建立一套信息风险管理政策,企业需要涉及到雇佣合适的工作人员的问题。Pironti建议选择业务流程的主要负责人或数据所有者。如果你不确定在你的企业谁是业务流程的主要负责人,那就选择为业务的利润和损失承担责任的人。换句话说:如果发生信息相关事件,谁将最终对其负责?
4、目标并不是要包括一切。
对于那些资源有限的企业来说,试图兼顾到其所收集到的全部数据不仅是不明智的,而且甚至会是导致项目加速失败的快车道。不要忘记,建立信息风险管理政策就是要优先根据您企业的数据,及其对于企业营收的相对重要性、合规性和其他因素。
“找到那些关键业务流程,那些被认为是企业业务重要的操作;或影响到企业健康发展和安全的业务流程。”Pironti说。但这并不是说我们应该关注每件事物的每一个细节。
Pironti在这里强调了“适当照顾”的概念,例如:你的企业是否曾经采取过通过合理预期可以保护您企业数据的措施?“那是最起码的出发点,然后你的工作才能逐步推进。”Pironti说。如果我们能够通过采取某些预防措施来保护企业自身免于违法相关法律规定、遵循相关的合规性、免于遭受不良公众舆论的干扰,并确保我们的业务能够按我们期待的方式正常运转的话,不用其他人告诉我们,我们也知道这些预防措施是值得做的。
5、避免太多的麻烦事件。
没有人会愿意承认他们的数据或业务流程的优先级低于别的部门。在一个“出人头地”的文化大背景下,很少有人会心甘情愿地承认他们的职责范围从风险管理的角度来看并不重要。因此,企业在制定信息风险管理政策是需要有一位专业的信息安全专家来帮助您确定优先级,避免相关的麻烦。
Pironti提示:如果企业已经有一套业务连续性或灾难恢复计划,那么就从这里开始着手吧,其应该会带来一个很好的效果,因为其已经为企业的数据优先级进行了“排名”,它以帮助理顺任何麻烦的关系。
(责任编辑:安博涛)
