雖然很多企業(yè)管理者已經(jīng)發(fā)現(xiàn)安全風(fēng)險(xiǎn)管理的意義，但是并非所有的風(fēng)險(xiǎn)管理機(jī)制都可以杜絕風(fēng)險(xiǎn)，正相反，一旦引入不良的風(fēng)險(xiǎn)處理方法則可能會(huì)使企業(yè)危機(jī)重重。為了更好的理解企業(yè)在安全風(fēng)險(xiǎn)管理方面的誤區(qū)，本文根據(jù)CSO們的親身經(jīng)歷總結(jié)了六大失誤，相信會(huì)給您帶來(lái)一些啟發(fā)。

企業(yè)管理者們深知自己面臨安全風(fēng)險(xiǎn)，但他們往往不清楚這些風(fēng)險(xiǎn)究竟是什么，或者說(shuō)會(huì)給業(yè)務(wù)帶來(lái)怎樣的影響。安全風(fēng)險(xiǎn)管理機(jī)制的作用恰恰在于消除主觀推斷，幫助企業(yè)以更明智的方式制定決策。正如信息風(fēng)險(xiǎn)分析師協(xié)會(huì)(簡(jiǎn)稱SIRA)副總裁Jay Jacobs所說(shuō)，“安全風(fēng)險(xiǎn)管理對(duì)于企業(yè)而言只是一種決策輔助系統(tǒng)，它的存在是為了引導(dǎo)業(yè)務(wù)決策始終保持在正確軌道之上。”

遺憾的是，專家們發(fā)現(xiàn)大多數(shù)企業(yè)出于善意的努力都并不符合標(biāo)準(zhǔn)，甚至可能由于不良習(xí)慣的引入而提高企業(yè)面臨的風(fēng)險(xiǎn)。

SIRA總裁Jeff Lowder告訴我們，“有一種錯(cuò)誤的觀念，即安全專業(yè)知識(shí)等同于風(fēng)險(xiǎn)管理專業(yè)知識(shí)。事實(shí)上，我見過(guò)很多自稱風(fēng)險(xiǎn)管理專家的安全技術(shù)人員，但他們根本不具備處理風(fēng)險(xiǎn)管理工作的能力。安全管理與風(fēng)險(xiǎn)管理是兩個(gè)獨(dú)立的學(xué)科，一般情況下安全風(fēng)險(xiǎn)管理專家能勝任安全管理工作，但安全管理專家則不能勝任風(fēng)險(xiǎn)管理工作。”

為了更好地理解企業(yè)在哪些方面犯下差錯(cuò)，筆者咨詢了幾位業(yè)界專家，探詢他們親身經(jīng)歷過(guò)的安全風(fēng)險(xiǎn)管理失誤。“我們親眼目睹許多企業(yè)從錯(cuò)誤的角度出發(fā)選擇內(nèi)部安全風(fēng)險(xiǎn)管理框架。這樣做還不如拋硬幣來(lái)決定，那樣至少有二分之一的正確機(jī)率，”Lowder回憶道。

下面我們就一起來(lái)看看那些最常見的、導(dǎo)致好心辦壞事的風(fēng)險(xiǎn)管理失誤：

風(fēng)險(xiǎn)管理失誤一：一切從頭開始？別迷信專家!

很多安全專家都希望能從頭開始重塑安全風(fēng)險(xiǎn)管理制度。

幸運(yùn)的是，風(fēng)險(xiǎn)分析的基本內(nèi)容已經(jīng)相當(dāng)規(guī)范，其中包括如何征求專家意見及如何對(duì)無(wú)法確定的風(fēng)險(xiǎn)模式提出質(zhì)疑等。然而正如Jacobs與Lowder所解釋，很多人仍然沒有意識(shí)到正確實(shí)施才是獲得良好效果的關(guān)鍵。推倒重來(lái)的粗暴方案不僅沒能建立起更好的新機(jī)制，反而保留了很多原先就無(wú)法克服的嚴(yán)重缺點(diǎn)。

“最知名的管理模式在于挑選幾種似乎比較重要的‘風(fēng)險(xiǎn)’因素，根據(jù)其重要程度進(jìn)行排序并打分，然后通過(guò)基本的推算或者矩陣模型推導(dǎo)其后果，”Jacobs指出。但事實(shí)上，這樣的推算結(jié)果很可能根本靠不住，除非決策制定者擁有豐富的管理經(jīng)驗(yàn)以及懷疑一切的審慎態(tài)度，否則企業(yè)必然會(huì)由此受到嚴(yán)重影響。

風(fēng)險(xiǎn)管理失誤二：照搬審計(jì)部門流程?小心雞同鴨講!

作為某家大型企業(yè)運(yùn)營(yíng)風(fēng)險(xiǎn)及管理事務(wù)主管，Alex Hutton與我們分享了他的經(jīng)驗(yàn)。某些企業(yè)會(huì)照搬審計(jì)部門的運(yùn)作流程，并以此作為安全風(fēng)險(xiǎn)管理規(guī)劃的主干，這同樣無(wú)法達(dá)到預(yù)期效果。

“雖然兩者之間存在相似之處，但企業(yè)風(fēng)險(xiǎn)管理團(tuán)隊(duì)與審計(jì)部門之間仍然屬于完全不同的角色定位”Hutton指出。審計(jì)部門的關(guān)注重點(diǎn)在于事故是否會(huì)導(dǎo)致安全控制機(jī)制陷入癱瘓，而風(fēng)險(xiǎn)管理團(tuán)隊(duì)則需要關(guān)注IT風(fēng)險(xiǎn)的潛在發(fā)生頻度與影響。另外，審計(jì)部門的角色在于幫助企業(yè)理解控制機(jī)制的實(shí)施方式，而風(fēng)險(xiǎn)管理團(tuán)隊(duì)則需要決定如何才能讓針對(duì)安全控制及相關(guān)流程的投資達(dá)到理想效果。

“大多數(shù)企業(yè)的風(fēng)險(xiǎn)管理規(guī)劃都無(wú)法實(shí)現(xiàn)這一目標(biāo)，因?yàn)樗麄儍H僅負(fù)責(zé)執(zhí)行政策、而沒能幫助企業(yè)了解哪些控制機(jī)制有效哪些沒有”Hutton表示。

“審計(jì)部門本身并不一定關(guān)心安全威脅，也不需要費(fèi)心了解風(fēng)險(xiǎn)報(bào)告與總體狀況。對(duì)威脅、資產(chǎn)、控制及影響等因素的全局掌控才是風(fēng)險(xiǎn)管理團(tuán)隊(duì)的工作。”Hutton總結(jié)稱。

風(fēng)險(xiǎn)管理失誤三：誰(shuí)說(shuō)無(wú)法將安全風(fēng)險(xiǎn)歸結(jié)為數(shù)字?別將準(zhǔn)確與精確混為一談!

很多安全專家都無(wú)法將IT安全風(fēng)險(xiǎn)與漏洞歸結(jié)為直觀數(shù)字。

“我們常常聽到人們抱怨稱自己無(wú)法拿出精確的匯總報(bào)表，或者沒有足夠的數(shù)據(jù)來(lái)形成一份有價(jià)值的評(píng)估材料，”Lowder指出。“他們顯然是把準(zhǔn)確與精確兩個(gè)概念給搞混了。要讓評(píng)估結(jié)果精確到一定程度當(dāng)然是異想天開，但我們完全可以給出一個(gè)比較準(zhǔn)確的數(shù)值浮動(dòng)范圍。”

提供具備可操作性的信息，并不意味著安全風(fēng)險(xiǎn)管理人員需要對(duì)出現(xiàn)負(fù)面狀況的可能性做出精確預(yù)測(cè)。

“數(shù)字的作用在于正確指導(dǎo)決策，從而幫助企業(yè)獲得較為清晰的前進(jìn)方向，”Lowder表示。“我們完全可以通過(guò)有力的論據(jù)證明當(dāng)前機(jī)制發(fā)生意外的概率為60%到90%，這樣足矣。”

風(fēng)險(xiǎn)管理失誤四：過(guò)分強(qiáng)調(diào)風(fēng)險(xiǎn)登記冊(cè)的作用!別總盯著百年一遇的風(fēng)險(xiǎn)!

Hutton告訴我們，許多企業(yè)在對(duì)當(dāng)前風(fēng)險(xiǎn)進(jìn)行評(píng)估時(shí)都會(huì)執(zhí)著于列出一份包含所有潛在問(wèn)題的清單，這就是所謂風(fēng)險(xiǎn)登記冊(cè)。

“創(chuàng)建風(fēng)險(xiǎn)登記冊(cè)的問(wèn)題在于，人們根本不知道應(yīng)該記到哪里才算結(jié)束。他們會(huì)不斷發(fā)掘潛在風(fēng)險(xiǎn)，甚至將那些極為罕見的情況包括在內(nèi)?？鋸堻c(diǎn)說(shuō)，有些人甚至?xí)扬w機(jī)從屋頂墜入數(shù)據(jù)中心這類荒謬的例子作為考量對(duì)象”他無(wú)奈地指出。

“可能性極低的情況雖然也會(huì)構(gòu)成風(fēng)險(xiǎn)，但我們實(shí)在沒必要把這些百年不遇的事態(tài)也登記起來(lái)”他表示。Hutton建議企業(yè)建立一分安全問(wèn)題登記冊(cè)，將所有遇到過(guò)的意外情況列入其中，這能夠更加真實(shí)地反映實(shí)際情況、同時(shí)幫助企業(yè)重視那些發(fā)生頻率最高的安全風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)管理失誤五：誤解風(fēng)險(xiǎn)級(jí)別和等級(jí)分類：別靠想像來(lái)理解風(fēng)險(xiǎn)等級(jí)

安全風(fēng)險(xiǎn)管理者們往往將威脅與漏洞以幾項(xiàng)簡(jiǎn)單的標(biāo)準(zhǔn)加以衡量：低、中、高——這樣粗放的劃分方式實(shí)在太過(guò)兒戲，而且也成了引發(fā)故障的導(dǎo)火索。

歸根結(jié)底，低、中、高到底是什么意思?“這只是三個(gè)量級(jí)，而且沒有任何直觀表現(xiàn)形式，”Lowder評(píng)價(jià)道。

“當(dāng)我們要求大家根據(jù)事件的發(fā)生頻率為其進(jìn)行高、中、低標(biāo)準(zhǔn)界定時(shí)，似乎沒人能給出準(zhǔn)確的答案。這樣一來(lái)，大家對(duì)于結(jié)論就只能通過(guò)想象來(lái)理解。這簡(jiǎn)直比硬性定結(jié)論更加危險(xiǎn)，”Lowder指出。

舉例來(lái)說(shuō)，當(dāng)我們發(fā)現(xiàn)某事件的發(fā)生機(jī)率為低，有些管理者會(huì)認(rèn)為其機(jī)率應(yīng)該在10%左右，但有些則認(rèn)為這一門檻應(yīng)該是33%。“雖然我們沒必要對(duì)數(shù)字太過(guò)較真，但要讓交流能在清晰的基礎(chǔ)上進(jìn)行，我們還是應(yīng)該拿出一些有說(shuō)服力的數(shù)字”Lowder總結(jié)道。

談到等級(jí)分類，Lowder表示：“這又是一項(xiàng)需要嚴(yán)格杜絕的失誤。”舉例來(lái)說(shuō)，如果船A最先到達(dá)終點(diǎn)、船B位列第二，船C則最后抵達(dá)，那么僅靠這些信息我們根本無(wú)法得到三艘船完成比賽的平均時(shí)間。我們所了解的只是船A最快而船C最慢。“這也正是等級(jí)分類機(jī)制的最大弱點(diǎn)，僅憑第一、第二、第三或者高、中、低這種模糊的說(shuō)法根本不足以幫助企業(yè)進(jìn)行風(fēng)險(xiǎn)評(píng)估。”

等級(jí)分類只對(duì)數(shù)值進(jìn)行簡(jiǎn)單排序，但對(duì)于這些數(shù)值所代表的含義只字不提。“這樣的劃分機(jī)制簡(jiǎn)直毫無(wú)用處。什么高、中、低這樣的標(biāo)準(zhǔn)根本無(wú)法幫助我們計(jì)算出風(fēng)險(xiǎn)管理因素的具體情況”Lowder解釋道。

風(fēng)險(xiǎn)管理失誤六： 缺乏風(fēng)險(xiǎn)智能規(guī)劃：隨時(shí)監(jiān)控狀態(tài)改變

“這是個(gè)相當(dāng)嚴(yán)重的問(wèn)題，”Hutton表示。“如果將IT安全風(fēng)險(xiǎn)根據(jù)信息類型分為四種——即威脅、控制、資產(chǎn)與影響——那么其中任何一項(xiàng)狀態(tài)的改變都可能會(huì)給企業(yè)的風(fēng)險(xiǎn)形勢(shì)帶來(lái)影響。”遺憾的是，目前的風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)還沒有給出一套明確的風(fēng)險(xiǎn)智能規(guī)劃或者功能的重要程度界定。風(fēng)險(xiǎn)管理人員也無(wú)法給出有效的風(fēng)險(xiǎn)智能來(lái)源或者對(duì)可能影響企業(yè)風(fēng)險(xiǎn)形勢(shì)的新信息進(jìn)行正確處理。

Hutton指出，實(shí)現(xiàn)智能化管理功能的途徑比企業(yè)想象的更加簡(jiǎn)單，我們需要做的只是監(jiān)控那些能夠?qū)︼L(fēng)險(xiǎn)產(chǎn)生影響的變化因素。

“舉例來(lái)說(shuō)，一旦入侵檢測(cè)/防御方面的專家決定辭職，那么這方面的技能鴻溝一時(shí)之間恐怕很難填補(bǔ)，這就相當(dāng)于增加了企業(yè)的安全風(fēng)險(xiǎn)。與此相似，對(duì)于大量采用OSX系統(tǒng)平臺(tái)的企業(yè)而言，該平臺(tái)曝出新型惡意軟件的消息也可能衍生出安全威脅，”Hutton解釋稱：如果大家不關(guān)注這些變化，也就無(wú)法對(duì)風(fēng)險(xiǎn)進(jìn)行有效控制。

總之，風(fēng)險(xiǎn)管理工作難度很高，但任意胡來(lái)造成的后果可能比袖手旁觀更加惡劣。“企業(yè)管理者可能會(huì)根據(jù)錯(cuò)誤的信息、錯(cuò)誤的流程以及錯(cuò)誤的計(jì)算方式制定決策，三者結(jié)合起來(lái)必然會(huì)讓最終解決方案變得一塌糊涂，”Jacbos告訴我們。