推陳出新：重新思考風險評估過程

新監管規定層出不窮，威脅態勢不斷改變，公司企業需要採用新方法來評估安全風險。

過去2年中世界發生了很大變化，網路安全風險評估的規則也發生了巨變。數字滲透的增加、風險界面的擴大、網路威脅影響的加重，讓風險管理變得更加複雜而重要。

然而，風險管理是當今企業運營重要組成部分的概念卻尚未深入人心。據普華永道的調查研究，40%的愛爾蘭公司沒有進行任何風險評估。

Gartner去年夏天的IT風險管理報告試圖解決風險管理領域越來越複雜的問題，將市場劃分成了7個不同部分，包括：審計、供應商風險管理和運營風險。 該諮詢公司畫出了包含ServiceNow、Dell/RSA Archer等10家供應商的魔力象限圖，發現因為IT客戶希望有更全面的解決方案可以部署到多種情況和工作流上，風險管理市場正在飛速發展。

事物發展太快，以致剛出才1年的報告都有些過時了。我們可以探索以下幾個發生改變的方面，討論該怎麼改善過程、調整組織架構和更好地了解及解決公司未來的網路風險。

改變 1 ：安全是每個人責任

信息安全如今是整個企業都應考慮的事，不再僅僅是IT部門的專屬領域。直到1年半之前，大多數公司都還將網路相關風險視為自身IT部門的責任。現在的情況則大不一樣了，信息安全對今天的企業而言是個跨部門的挑戰，意味著風險管理變得越來越複雜，以往那種由IT部門全權負責的做法不再適用。

隨著公司企業將越來越多的服務和產品推上線，風險影響也波及到了全公司範圍。服務如今由公司不同部門託管，數據不再孤立，風險愈趨複雜。除此之外，惡意軟體威脅也越來越高端，更具針對性，更難以檢測，而數據泄露會影響到公司每一個人，摧毀客戶及合作夥伴關係，傷及上市公司股價。

改變 2：公司企業受到政府更嚴格的監管

政府監管變嚴推升了數據泄露事件的風險賭注和最終損失。公司企業將面臨更巨額的罰款，公共形象和信譽損失也不可小覷。這並不意味著公司企業應僅出於合規目的而管理風險，這種幾年前的普遍做法如今已不合時宜。風險管理應成為公司整體運營基因中的一環。

改變 3：網路風險評估需要特殊的技能集

雖然全世界的商科大學都在教授整體風險管理，理解網路風險卻仍需要特殊的技術與經驗的結合。網路風險管理橫跨多個學科，IT安全經理不應僅負責可接受風險等級的決策。公司企業應投入大量時間和精力來確定該怎麼做才能保足夠安全，了解其中所涉及的過程。

脫離上下文談安全對公司毫無益處。關鍵就是找到掌握了該上下文的員工。風險評估往往是在項目結束時而不是開始時才做，這樣是不對的。評估太過專業化，從未被當成真正的業務價值增長點來看待。

改善過程以更好地評估風險

IT安全管理人員如今必須從整體業務和安全上下文的角度更好地理解風險。為此，他們需與其他利益相關者協作，恰當地劃分風險優先順序，重定義各自在量化和監視風險工作中所擔負的角色職能。可以按下列步驟實施該過程：

第一步：得到管理層支持

包括董事會在內的公司高層需更好地支持風險管理工作。可採取多步驟措施繪製公司資產分布圖，建立起所有利益相關者都首肯的「風險登記簿」。風險管理應區別於CISO的日常工作。

公司企業在這方面應做更多核查與平衡。可以設立「首席風險官」職位，直接向CEO或CIO報告，並列席董事會會議。首席風險官的任務是找出公司的關鍵風險指標，設立公司可接受風險閾值。

網路風險管理應融入到所有其他業務風險中，CISO需找到交付風險管理服務和安全的方法。很多公司只從技術角度處理網路風險問題，但網路風險應納入總體風險管理當中，並受到高管的領導。

另外，購入新風險管理工具也需要來自高層的支持。人都有惰性，害怕改變，但作為CISO卻不得不學習怎樣闡述風險管理的重要性，學會贏得高層支持，幫助所屬機構保護好各項資產，並展現出自身工作的價值。

第二步：定期評估漏洞

這個階段應在整個企業範圍內實現持續的風險評估了。了解公司業務情況是管理風險的最佳因素，包括網路風險管理也需要了解業務情況。比如，要知道是什麼在驅動公司業務發展，哪些風險對公司業務有嚴重影響等等。

漏洞評估不過是個空洞的潮詞。如果不持續評估，不了解該評估些什麼，那漏洞評估就沒有意義。理想情況下，評估應更為細緻，不僅僅展現出那些設備打了補丁，還應具體到設備的配置是否正確。風險管理是一項複雜而長期的工作，需要專註與自律。

第三步：執行持續統一的風險評估

對很多企業而言，管理風險的主要軟體工具就是微軟Excel電子表格中的項目列表，手動更新，位置不定。但這種做法已不適應當今商業社會。公司企業不再是每季度發布一次產品的靜態實體，如今他們與客戶的互動更頻繁，互動方式也橫跨網站和手機等不同設備。軟體更新頻率發展至每天甚至每小時一次。早上才推出的App，吃午飯時可能已不再是原來的代碼。這意味著必須進行持續的風險評估。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！