Goerlich認為，如果安全企業(yè)想要改變這種局面，他們必須在他們的決策框架中嵌入風險管理的原則。以下是安全專家總結的IT安全需要風險管理的四個原因：

幫助優(yōu)先關鍵系統(tǒng)

Goerlich表示，由于企業(yè)信息安全專業(yè)人員太少，而需要管理的系統(tǒng)又太多，傳統(tǒng)的方法使他們很難決定應該優(yōu)先哪些系統(tǒng)。

“此外，滾巨石上山并不是安全的目標，其目標是確保企業(yè)能完成其使命，”他表示，“風險管理是一項重要的技術，它側(cè)重于確保企業(yè)完成其目標，以及優(yōu)先考慮關鍵系統(tǒng)。”

Entrust首席技術官Jon Callas表示，風險分析以及基于這種分析的管理能夠幫助企業(yè)“少花錢多辦事”。

他表示：“通過分析威脅類型，以及衡量任何類型安全故障的后果，你能夠更好地了解你正在做的工作以及為什么這么做的原因。”

幫助將安全翻譯成業(yè)務語言

AlienVault公司研究工程師Conrad Constantine表示，風險管理能夠讓信息安全與整個企業(yè)相關聯(lián)。

他表示：“沒有風險管理的安全消耗著企業(yè)的資源，并且沒有實際作用。”

風險管理的方法并不是安排信息安全人員去抵御最可怕的威脅，而是采用了純經(jīng)濟的方法，讓IT回到實際問題中，即保護企業(yè)在信息系統(tǒng)方面的投資。

“你會花2000美元來保護價值2000美元的東西嗎?這毫無意義。如果沒有風險評估，你無法評估你的風險，因而，你也無法評估你應該花多少錢，”Network Box USA公司首席技術官Pierluigi Stella表示，“適當?shù)娘L險評估是很重要的，它能夠幫助你評估你應該花多少錢。你正在保護什么?它值得你這樣做嗎?如果你丟失這個信息或者信息落入壞人手中，你的公司會面臨怎樣的影響?對這些問題進行評估，然后進行管理。”

根據(jù)BT Global Services的Bryan Fite表示，風險評估其實有點名不副實。

“它應該被稱為風險及獎勵管理，因為它關系著企業(yè)的業(yè)務決策。為了讓業(yè)務部門了解這些問題，你必須用業(yè)務的語言來解釋，”BT Global Services的Bryan Fite表示，“采用規(guī)范化和被接受的語言，安全專業(yè)人士可以更有效地與那些控制預算和決策的人進行溝通。”

幫助評估技術

通過將談話焦點放在業(yè)務優(yōu)先事項上，風險管理自然地將IT安全視野擴展到了技術以外的地方，從長期來看，這將提高企業(yè)的抵御成功率。

“單靠安全技術是不夠的，”FireMon首席技術官兼總裁Jody Brazil表示，“如果技術沒有進行有效地配置，它將無法提供預期的安全性。風險管理能夠?qū)夹g的有效性進行評估，同時能夠?qū)芾碓摷夹g的人員和流程進行評估。”

安全漏洞往往是因為糟糕的流程和糟糕的決策造成的，而不是糟糕的技術。

“太多公司認為安全只是他們部署的一些硬件，而沒有意識到他們并不清楚自己的薄弱環(huán)節(jié)是什么，以及他們沒有適當?shù)牧鞒毯统绦騺泶_保他們花在技術上的錢沒有白花，”Stella表示。

將IT安全加入業(yè)務的大藍圖中

也許最重要的一點事，風險管理能夠幫助將IT安全加入到業(yè)務的大藍圖中，讓企業(yè)了解IT安全對業(yè)務的影響力，以及能夠確保業(yè)務不斷創(chuàng)新和發(fā)展的能力。

“太多公司將安全視為只屬于IT部門的東西，而風險評估和管理是業(yè)務流程，屬于所有業(yè)務部門，”Stella表示，“適當?shù)娘L險管理，意味著IT只是項目經(jīng)理，而每個業(yè)務部門都需要貢獻自己的業(yè)務知識，這需要從高層開始，從C級管理人員開始。”他表示，但這也可能是為什么很多企業(yè)沒有開始進行IT風險管理的原因。

“C級管理人員太忙了，而業(yè)務部門不理解他們參與的重要性，IT總是忙于保護企業(yè)，”他表示，“IT部門做了什么呢?他們購買技術，然后宣布完成。但是真正的問題并沒有解決，因為沒有人進行了徹底的風險評估，導致最后沒有什么可管理。”

zhangcun

<sub id="317ho"></sub>