风险 独自面对风险的首席信息官们

ZDNet安全频道原创翻译 转载请以文字链形式注明出处

作者：威尔·史特格登

对IT风险进行管理是首席信息官的责任，还是全公司的义务？威尔·史特格登认为，应该属于后者，与此同时，他还对设置首席风险官的必要性作了说明。

IT风险管理绝对不仅仅是IT部门的责任。

首席信息官拥有可以对移动存储设备或即时通讯应用进行必要管理的资源，但举例来说，他或她倾向于怎么做？这样做是否正确，原因是什么？首席信息官是否与人力资源经理熟悉人事政策一样，了解相关的法律法规？

企业也可能会就下面的部分或者所有问题进行咨询：公司是否需要确保数据在传输的时间都进行了加密？公司是否需要封锁Skype？VoIP是不是取代PBX的一种可行的选择？是否容许员工开设Blog?是否应该将呼叫中心，数据中心外包，或使用一个安全管理服务？软件作为服务是否可行？

“首席执行官始终是风险管理者最后的依靠。”
                                                           ——BP集团首席信息安全官，保罗·道雷

首席信息官应该在商业利益和法律责任之间取得平衡，不应该让IT部门陷入孤立无援的状态中。

IT风险管理流程形态需要从了解环境开始，而确定相关人员是否受到培训是关键。它需要全公司的支持，是整体安全的组成部分之一。

没有其它问题的话，通过引进更严格的规则以及对高级行政人员进行监控可以提高整个系统的安全性。

Peapod Consulting的总监罗宾·霍林顿告诉silicon.com ：“在进行风险管理的时间，所有的管理和利益相关者都必须被包括进来，只有全公司范围内都认识到，才能保证风险管理的有效性。”

EMC已经率先在公司内部实行业务连续性的管理，蒂莫西·科茨认为这是一个共识。“太多的公司将这个任务丢给IT部门，并希望所有的情况都被关注了。”

“IT部门只能对它了解的情况作出反应。”

因此，IT规划和风险管理都必须与整个业务流程无缝集成。

BP集团首席信息安全官保罗·道雷，告诉silicon.com：“在IT技术支持的商业环境中，你不能脱离IT范畴来谈论问题。”ZDNet安全频道

实际上，如果按照条款确定相关责任的话，道雷说：“首席执行官始终是风险管理者最后的依靠。”

应该意识到，风险是一个高难度的游戏而首席执行官则是其中的关键。因此，尽管IT风险管理方面的投资是呈不断增加的趋势，但让董事会理解新的观念也需要努力。

根据今年早些时候由Atos Origin公司发布的研究报告显示，企业面临的风险是呈增长趋势的。

但是仍有百份之七十的的公司表示，将重点放在风险上的是它们的IT领导；而只有百份之五十的企业称，它们的董事会开始涉及这个领域。ZDNet安全频道

尽管在首席信息官和其它业务之间还存在一些隔膜。但根据Atos的调查结果显示，结果还是积极的，不断增长的财政预算证实了这一点。ZDNet安全频道

因为高级行政人员的工作，涵盖了风险管理规划的更多部分；因此，他们认为在预算相应增加的情况下，他们应该负责更大的责任。ZDNet安全频道

CA负责安全的高级副总裁西蒙·佩里认为，对于“更具前瞻性思维”的公司来说，它们已经认识到风险管理需要和专业情况相结合，以缩小各个业务部门之间的差距。

佩里告诉silicon.com ： “企业必须确保他们的安全状况符合实际风险水平的要求，为此，我们看到了更具前瞻性思维的公司已经在考虑任命一名首席风险官（ CRO ） ，以便对风险管理活动进行监督。”

“通常情况下，我们设想首席风险官将会与IT部门进行紧密的合作，以确保在整个管理过程中实现更好的效果。”他补充说。

此项任命也将影响到其它业务领导并让他们明白，他们也有象首席信息官一样的责任，向首席风险官汇报，并及时地采取措施。

不论在什么公司中，首席信息官通常都非常重视自己的领域。随着风险管理成为业务规划中一个重要的组成部分，许多企业认识到有必要以更专注的精力或更多的资源关注IT以外部门的风险管理情况。

尽管，任命一位首席风险官这样的做法，可能超出了一些公司的财政预算或需求；但是，将风险在全公司的范围内进行统一管理，而不是放在某个部分，是至关重要的；这样才可以尽可能有效地为企业经营创造无风险的环境。