信息是企業(yè)的命脈，有價值的企業(yè)數(shù)據可供員工、業(yè)務伙伴和承包商通過本地、云計算和虛擬環(huán)境來訪問， 提供對非公開重要信息的即時訪問。但是，員工經常在未經允許的情況下加載第三方軟件或者應用程序到他們的筆記本和智能手機上，并且這些設備都被連接到企業(yè)網絡和數(shù)據存儲中。

“信息無處不在”帶來便利和創(chuàng)造商業(yè)價值的同時，也帶來風險。雖然企業(yè)想要支持設備、軟件和應用程序使員工能夠順利完成工作，但企業(yè)也必須非常仔細地監(jiān)督和管理與使用這些信息和IT有關的業(yè)務風險。

針對信息無處不在的解決方案就是信息安全無處不在，但是這是不切實際且無法實現(xiàn)的。企業(yè)需要確定什么時候便利會導致很大的風險以及應該怎樣做來限制風險。這是一個很大的挑戰(zhàn)，特別當你考慮到大多數(shù)企業(yè)都不能回答這個簡單的問題，“我們企業(yè)現(xiàn)在的信息風險是什么?”

根據IT Policy Compliance Group關于與信息使用和IT資源有關的企業(yè)風險的研究顯示，政策合規(guī)只有8%的企業(yè)可以確定目前企業(yè)的信息風險情況。此外，2%的企業(yè)根本無法回答這個問題，或者9個月或9個月以上才能給出答案，70%的企業(yè)不能在3個月內回答這個問題，20%需要一個星期到三個月。定義不清的企業(yè)風險、不適當?shù)男畔⑹占?、裝備不良的報告系統(tǒng)和非優(yōu)先控制都是導致這些不合理延誤的原因。

合理分配優(yōu)先級別

IT Policy Compliance Group發(fā)現(xiàn)在企業(yè)為迎接信息無處不在的挑戰(zhàn)而做的充足準備與定義和管理企業(yè)風險之間存在明顯差異。與使用IT資源有關的風險***的企業(yè)能夠馬上回答其企業(yè)目前的信息風險情況，因為他們部署了正確的企業(yè)流程、控制和報告系統(tǒng)。

這些企業(yè)通常是從上自下來定義業(yè)務風險，然后再確定其優(yōu)先次序。風險主要來自日常業(yè)務職能的執(zhí)行，它們包括管理現(xiàn)金、采購風險、帳號安全、信用風險、法律風險、市場集中風險、監(jiān)管風險、競爭風險、聲譽風險和操作風險。

最成功的企業(yè)會利用多個部門和職能的技能來定義和管理與使用IT資源有關的業(yè)務風險。更多利益相關者的參與能夠幫助企業(yè)優(yōu)先考慮外部壓力、業(yè)務風險，確定與使用信息和IT資源有關的核心企業(yè)風險，并使用報告系統(tǒng)來更好地監(jiān)控、管理和平衡政策、風險、異常和控制的平衡。

關于IT控制和操作流程，業(yè)務風險***的企業(yè)通常部署了幾個獨特的做法。幾乎有四分之三的企業(yè)會定期對敏感信息資產進行分類，并根據對關鍵信息的訪問權來確定IT資產，幾乎有三分之二會對敏感信息的存儲位置進行存檔，檢測或預防敏感信息的泄漏，并使用信息安全控制來保護敏感信息。

此外，IT Policy Compliance Group還發(fā)現(xiàn)，企業(yè)間選擇評估的風險和控制比率也十分不同。風險和控制的評估的間隔時間以及運行時間都與最終結果有直接的關系，業(yè)務風險***的企業(yè)部署了最頻繁的風險和控制評估，并且在評估(每周到每兩個月)間的運行之間也很短，而頻率是每季度或者間隔更長的企業(yè)則風險***。

自動化帶來更好的結果

收集信息以及生成關于信息風險和控制的報告的自動化水平也同樣與實現(xiàn)更好的結果有著直接關系。簡單地說，表現(xiàn)最差的企業(yè)部署著最少的自動化程序，而表現(xiàn)***的企業(yè)則部署了最多的自動化程序來收集信息和生成關于操作、財務、聲譽和品牌風險的報告。

業(yè)務風險***的企業(yè)將圍繞IT控制和企業(yè)流程的信息收集進行自動化處理，并且對業(yè)務風險和信息以及IT資源的使用生成報告。IT Policy Compliance Group發(fā)現(xiàn)，表現(xiàn)***的企業(yè)中，80%的企業(yè)都將信息收集流程和生成(與使用信息和IT資產有關的)業(yè)務風險報告進行了自動化。

相比之下，丟失數(shù)據或者被盜數(shù)據最多的企業(yè)通常都是業(yè)務停機時間最長和最難維持審計結果的企業(yè)，通常他們只有11%到12%的信息收集和生成報告流程是自動化的。

利用有效的報告來顯示風險情況

在業(yè)務風險***的企業(yè)，不僅具有更高度自動化的流程，而且還有更頻繁的報告，關于業(yè)務影響摘要、異常報告、重點報告和基于web的儀表板。

這些關于業(yè)務風險的企業(yè)報告主要根據優(yōu)先次序、涉及的IT資產類型以及各種IT控制，特別是關于IT資產配置檢查失敗來標記和確定信息和系統(tǒng)完整中存在的不一致性。

他們還包括管理總結報告中的IT有效性指標，來顯示IT服務水平的可用性、IT資產和信息的完整性、財務系統(tǒng)和信息的完整性、客戶數(shù)據的完整性、敏感企業(yè)數(shù)據的完整性，以及審計和信息安全控制的完整性。

IT Policy Compliance Group的研究還顯示，定期報告IT界互聯(lián)網安全威脅變化以及對業(yè)務部門和職能部門的影響的企業(yè)能夠獲得更高的安全性。他們使用這些信息來預測業(yè)務風險和控制間的平衡，從而來管理風險和確定早期警告來將信息丟失、盜竊和業(yè)務停機時間到合理的和可管理的水平。

知道信息的去向能夠更好地協(xié)助***執(zhí)行官、***信息官、***財務官、部門經理、業(yè)務部門經理、***信息安全官、IT運營經理和涉及管理信息使用的業(yè)務風險的有關人員來進行決策，這與報告同意重要，能夠為企業(yè)不同的決策者提供清晰明確的信息。Web數(shù)據表是管理業(yè)務風險***的格式，因為它們能夠提供這樣的優(yōu)勢，例如根據顏色來分類風險等。

開始回答問題

沒有快速準確判斷企業(yè)信息風險的能力，很多企業(yè)會在事故發(fā)生后發(fā)現(xiàn)，風險狀況以及信息安全方案和控制能夠減輕風險。

很顯然，能夠在一天內回答“信息風險狀況如何”的問題的8%的企業(yè)處理的方式完全不同，并且也得到了回報。這些企業(yè)有***的業(yè)務服務水平，***的(與使用信息和IT資產有關的)操作和財務風險，***的數(shù)據丟失或盜竊率，最少的業(yè)務停機時間，因為IT很少出現(xiàn)故障，并且只需要花最少的開支來維持監(jiān)管審計。

試圖阻止員工和業(yè)務伙伴使用新型強大的客戶設備是無望的，相反地，企業(yè)需要將重點放在確定風險上面，簡歷風險優(yōu)先次序、自動化流程來收集信息和生成可用的報告，并且是能夠向其他高級管理員說明問題的報告。

【編輯推薦】

1. 揭秘信息安全***利器
2. 下一代互聯(lián)網逐漸興起 企業(yè)信息安全面臨新挑戰(zhàn)
3. 天融信參展RSA2011美國信息安全大會
4. 創(chuàng)建規(guī)則遵從文化　促進信息安全合規(guī)管理和風險管理