企业重点的‘风险’该怎么处理？

ZDNet安全频道原创翻译 转载请以文字链形式注明出处

对于头部周围的‘风险’该怎么处理？
只是一个支配世界的游戏...

作者：威尔·史特格登

对于所有企业来说，了解存在风险的部分都将是一项挑战；因为新的需求、法律、技术和发展趋势总是不停地出现。在本文中，威尔就将和大家一起探讨相关的问题。

企业面临的问题经常被简单化处理。例如，近年来对于安全的期待，如果从一个二进制的角度来看的话，就只有‘安全’或‘不安全’的选项。

告诉技术人员这里存在可以容忍的不安全因素，就如同告诉素食主义者吃一点点肉是没有问题的一样。

不过，最近‘风险’被提及的情况是越来越多了。

如果你不了解风险分析，那么，又怎么能知道所花费的时间和金钱是否涵盖了真正的威胁，而并非只是的‘感觉到的威胁’呢？
                                                     ——安全顾问公司LogicaCMG，戴夫·马丁

企业已开始认识到，风险不只是工作有了什么安全漏洞或薄弱环节而必须予以加强，而是在法律责任中找到一个程度合适的平衡点。

安全顾问公司LogicaCMG的信息安全顾问戴夫·马丁认为，“如果你不了解风险分析，那么，又怎么能知道所花费的时间和金钱是否涵盖了真正的威胁，而并非只是的‘感觉到的威胁’呢？ ”ZDNet安全频道原创

因此，公司必须找出涉及到IT风险的所有领域。这个风险是不确定的，可能来自员工将笔记本电脑带回家，或者大量数据出现在第三方的数据中心上。因此，必须了解风险的构成，以及如何管理或减轻相关风险。 ZDNet安全频道原创

公司必须根据自身情况作出分析：一个危险的业务可能导致整个工作的停止吗？如果影响进一步扩大该如何处理？如果它涉及到知识产权损失，导致丧失了竞争优势，或失去客户资料该怎么办？而且，严重的损害赔偿条款，未来的业务、声誉，甚至可能的惩罚措施也应该被考虑在内？ZDNet安全频道原创

这些风险是长时间存在的，不可能通过审计或者尽职调查显示出来。但是，为了企业的利益，必须进行全面和结构化的风险评估，以保证其可以被控制。ZDNet安全频道原创

《资产业主的风险评估》一书的作者风险专家艾伦·考尔德，告诉silicon.com ：“风险评估的最佳做法包含了五个核心方面的要求。即‘由下而上’，整个公司基础设施的相关信息，硬件，软件和数据等部分。”

“它需要进行对面临的威胁和系统的脆弱性进行全面的分析，什么地方可能被利用，发生这样的情况会导致什么样的影响；而且，还需要重复进行，因为威胁会改变，因此控制方法需要进行重新评估。”

“在控制方面需要加以重视，这样才能在风险中取得平衡。它需要考虑到业务需要的资源，并确保需要的人获得相关的资源。”ZDNet安全频道原创

公司还必须认识到技术已不再是完全独立于其余的业务部门。举例来说，电子邮件归档就应该多考虑首席执行官和董事会的需求，而不仅仅是IT部门。

在员工违规使用即时通讯应用，违反电子邮件使用政策，在工作的时间使用iPod以及遗漏了重要的知识产权资料所有这些问题得到解决之前，IT部门必须象人力资源、法律和一线管理等部门一样到前台进行处理。ZDNet安全频道原创

虽然没有两家公司存在着相同的风险，但在知识型经济环境中有些风险是普遍的。

安全软件生产商赛门铁克的首席科学家盖伊·巴克表示，企业需要彻底了解它们做了什么，是如何做的以及什么样的数据是必须的。

接下来，他们需要了解，数据存储在什么位置，谁有权访问它，什么时间为什么以及如何利用它。

“一旦这些问题被解决，公司就可以对包括最新的数据泄漏在内可能出现的风险进行评估了。”巴克表示。

“随着技术的发展，公司需要找出面临的新威胁。举例来说，越来越多的公司使用移动通信设备发送电子邮件，这样就产生了对这一类数据进行保护的需求。此外，公司在其风险规划必须考虑无心之失带来的损失，象当有人通过电子邮件发出了错误的数据给某人以外的公司；以及恶意操作造成的危害，例如通过基于Web的电子邮件传送机密数据以获得个人的私利。”巴克补充说。ZDNet安全频道原创

对于新技术来说，必须从商业的角度对其风险和优势进行评估。在任何时候，两方面都是需要被考虑到的。

因为，举例来说，如果提供的东西没有可行的价值，而且会对业务构成了巨大风险，这项技术在公司中不可能就有自己的位置。或者，如果有提供了巨大的商业利益而不构成风险的技术，那还需要等什么，直接安装就可以了。但是，实际上在这两个极端之间是存在巨大的灰色地带的，因此，企业必须对技术进行评价已确保它们的适用性。ZDNet安全频道原创

这不是一个非黑即白的问题，因此，理解风险的意义是相当不容易的。但对于企业来说，它却是必不可少的。