新監(jiān)管規(guī)定層出不窮，威脅態(tài)勢不斷改變，公司企業(yè)需要采用新方法來評估安全風(fēng)險。

過去2年中世界發(fā)生了很大變化，網(wǎng)絡(luò)安全風(fēng)險評估的規(guī)則也發(fā)生了巨變。數(shù)字滲透的增加、風(fēng)險界面的擴大、網(wǎng)絡(luò)威脅影響的加重，讓風(fēng)險管理變得更加復(fù)雜而重要。

然而，風(fēng)險管理是當今企業(yè)運營重要組成部分的概念卻尚未深入人心。據(jù)普華永道的調(diào)查研究，40%的愛爾蘭公司沒有進行任何風(fēng)險評估。

Gartner去年夏天的IT風(fēng)險管理報告試圖解決風(fēng)險管理領(lǐng)域越來越復(fù)雜的問題，將市場劃分成了7個不同部分，包括：審計、供應(yīng)商風(fēng)險管理和運營風(fēng)險。 該咨詢公司畫出了包含ServiceNow、Dell/RSA Archer等10家供應(yīng)商的魔力象限圖，發(fā)現(xiàn)因為IT客戶希望有更全面的解決方案可以部署到多種情況和工作流上，風(fēng)險管理市場正在飛速發(fā)展。

事物發(fā)展太快，以致剛出才1年的報告都有些過時了。我們可以探索以下幾個發(fā)生改變的方面，討論該怎么改善過程、調(diào)整組織架構(gòu)和更好地了解及解決公司未來的網(wǎng)絡(luò)風(fēng)險。

改變 1 ：安全是每個人責任

信息安全如今是整個企業(yè)都應(yīng)考慮的事，不再僅僅是IT部門的專屬領(lǐng)域。直到1年半之前，大多數(shù)公司都還將網(wǎng)絡(luò)相關(guān)風(fēng)險視為自身IT部門的責任?，F(xiàn)在的情況則大不一樣了，信息安全對今天的企業(yè)而言是個跨部門的挑戰(zhàn)，意味著風(fēng)險管理變得越來越復(fù)雜，以往那種由IT部門全權(quán)負責的做法不再適用。

隨著公司企業(yè)將越來越多的服務(wù)和產(chǎn)品推上線，風(fēng)險影響也波及到了全公司范圍。服務(wù)如今由公司不同部門托管，數(shù)據(jù)不再孤立，風(fēng)險愈趨復(fù)雜。除此之外，惡意軟件威脅也越來越高端，更具針對性，更難以檢測，而數(shù)據(jù)泄露會影響到公司每一個人，摧毀客戶及合作伙伴關(guān)系，傷及上市公司股價。

改變 2：公司企業(yè)受到政府更嚴格的監(jiān)管

政府監(jiān)管變嚴推升了數(shù)據(jù)泄露事件的風(fēng)險賭注和最終損失。公司企業(yè)將面臨更巨額的罰款，公共形象和信譽損失也不可小覷。這并不意味著公司企業(yè)應(yīng)僅出于合規(guī)目的而管理風(fēng)險，這種幾年前的普遍做法如今已不合時宜。風(fēng)險管理應(yīng)成為公司整體運營基因中的一環(huán)。

改變 3：網(wǎng)絡(luò)風(fēng)險評估需要特殊的技能集

雖然全世界的商科大學(xué)都在教授整體風(fēng)險管理，理解網(wǎng)絡(luò)風(fēng)險卻仍需要特殊的技術(shù)與經(jīng)驗的結(jié)合。網(wǎng)絡(luò)風(fēng)險管理橫跨多個學(xué)科，IT安全經(jīng)理不應(yīng)僅負責可接受風(fēng)險等級的決策。公司企業(yè)應(yīng)投入大量時間和精力來確定該怎么做才能保足夠安全，了解其中所涉及的過程。

脫離上下文談安全對公司毫無益處。關(guān)鍵就是找到掌握了該上下文的員工。風(fēng)險評估往往是在項目結(jié)束時而不是開始時才做，這樣是不對的。評估太過專業(yè)化，從未被當成真正的業(yè)務(wù)價值增長點來看待。

改善過程以更好地評估風(fēng)險

IT安全管理人員如今必須從整體業(yè)務(wù)和安全上下文的角度更好地理解風(fēng)險。為此，他們需與其他利益相關(guān)者協(xié)作，恰當?shù)貏澐诛L(fēng)險優(yōu)先級，重定義各自在量化和監(jiān)視風(fēng)險工作中所擔負的角色職能?？梢园聪铝胁襟E實施該過程：

第一步：得到管理層支持

包括董事會在內(nèi)的公司高層需更好地支持風(fēng)險管理工作?？刹扇《嗖襟E措施繪制公司資產(chǎn)分布圖，建立起所有利益相關(guān)者都首肯的“風(fēng)險登記簿”。風(fēng)險管理應(yīng)區(qū)別于CISO的日常工作。

公司企業(yè)在這方面應(yīng)做更多核查與平衡。可以設(shè)立“首席風(fēng)險官”職位，直接向CEO或CIO報告，并列席董事會會議。首席風(fēng)險官的任務(wù)是找出公司的關(guān)鍵風(fēng)險指標，設(shè)立公司可接受風(fēng)險閾值。

網(wǎng)絡(luò)風(fēng)險管理應(yīng)融入到所有其他業(yè)務(wù)風(fēng)險中，CISO需找到交付風(fēng)險管理服務(wù)和安全的方法。很多公司只從技術(shù)角度處理網(wǎng)絡(luò)風(fēng)險問題，但網(wǎng)絡(luò)風(fēng)險應(yīng)納入總體風(fēng)險管理當中，并受到高管的領(lǐng)導(dǎo)。

另外，購入新風(fēng)險管理工具也需要來自高層的支持。人都有惰性，害怕改變，但作為CISO卻不得不學(xué)習(xí)怎樣闡述風(fēng)險管理的重要性，學(xué)會贏得高層支持，幫助所屬機構(gòu)保護好各項資產(chǎn)，并展現(xiàn)出自身工作的價值。

第二步：定期評估漏洞

這個階段應(yīng)在整個企業(yè)范圍內(nèi)實現(xiàn)持續(xù)的風(fēng)險評估了。了解公司業(yè)務(wù)情況是管理風(fēng)險的最佳因素，包括網(wǎng)絡(luò)風(fēng)險管理也需要了解業(yè)務(wù)情況。比如，要知道是什么在驅(qū)動公司業(yè)務(wù)發(fā)展，哪些風(fēng)險對公司業(yè)務(wù)有嚴重影響等等。

漏洞評估不過是個空洞的潮詞。如果不持續(xù)評估，不了解該評估些什么，那漏洞評估就沒有意義。理想情況下，評估應(yīng)更為細致，不僅僅展現(xiàn)出那些設(shè)備打了補丁，還應(yīng)具體到設(shè)備的配置是否正確。風(fēng)險管理是一項復(fù)雜而長期的工作，需要專注與自律。

第三步：執(zhí)行持續(xù)統(tǒng)一的風(fēng)險評估

對很多企業(yè)而言，管理風(fēng)險的主要軟件工具就是微軟Excel電子表格中的項目列表，手動更新，位置不定。但這種做法已不適應(yīng)當今商業(yè)社會。公司企業(yè)不再是每季度發(fā)布一次產(chǎn)品的靜態(tài)實體，如今他們與客戶的互動更頻繁，互動方式也橫跨網(wǎng)站和手機等不同設(shè)備。軟件更新頻率發(fā)展至每天甚至每小時一次。早上才推出的App，吃午飯時可能已不再是原來的代碼。這意味著必須進行持續(xù)的風(fēng)險評估。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文