風險管理并不是拿螺絲刀就能解決的。

IT是一家軟件企業(yè)很早就有了風險管理意識，比如把研發(fā)部門所有臺式機的機箱都額外封加一個外殼，所有USB接口也都封鎖，所有研發(fā)人員只能登錄內網(wǎng)，不能瀏覽外網(wǎng)。“即使更換一個電腦鼠標，也必須告訴公司的IT部門，會有專門人員來進行更換。”在這家公司研發(fā)部門做了3年的王先生告訴記者，“公司內部為此還流傳過一個笑話，新同事需要換鼠標，等IT部同事拿著螺絲刀三下五除二撬開外殼換好以后，新同事嘟囔了一句，”“用螺絲刀一撬就開，也不安全啊!”結果那IT部的同事嘿嘿笑著回了一句，“可螺絲刀，你有么?”

這個“螺絲刀”的故事，從安全角度反應出了這家公司的企業(yè)文化——不太信任員工。IBM(www.ibm.com.cn)治理與風險管理戰(zhàn)略總監(jiān)Kristine Lovejoy前不久在一次“IT治理峰會”上也提到，“從安全的角度看，企業(yè)的風險管理容易陷入兩個極端，要么充分相信員工，所有的信息資源都共享；要么就是一點都不信任員工?！倍鴱娘L險管理的實質來看，這些都非IT治理的初衷，風險管理和安全管理做到恰如其分，就會使企業(yè)業(yè)務流程更加自動化和有效。

對現(xiàn)在的市場而言，推動任何一項技術和理念，技術足夠經(jīng)得起考驗的同時，更加需要的是企業(yè)背后一種文化的改變。“成功的IT治理，很重要的一點就是需要用戶本身的配合?！笨得魉构綢T經(jīng)理鄧志超告訴《互聯(lián)網(wǎng)周刊》。康明斯目前已經(jīng)成功采用了IBM整套IT治理服務，但鄧志超認為選擇IBH提供的IT治理方案并非企業(yè)內部有什么急待解決的痛處，“只是業(yè)務流程需要改變，IT管理也需要及時更新。針對業(yè)務流程改造，企業(yè)就必須時刻存有風險管理意識?！?/p>

Kristine就遇到過這樣一件事情，在參觀一家客戶的數(shù)據(jù)中心時，她吃驚地發(fā)現(xiàn)這家客戶把路由器隨意放在農架旁邊，“我當時就在想，為什么他們不把這些重要的、有可能會出現(xiàn)安全問題的設備監(jiān)管起來呢?”這也說明，很多企業(yè)還并沒有對企業(yè)的安全或者風險管理引起重視，“所以企業(yè)內部的風險往往都是來自內部成員沒有很好的遵循內部規(guī)范?！睋?jù)研究統(tǒng)計表明，差不多有85％的安全或風險問題，都來自于企業(yè)內部，而其中很人一部分都是來自于企業(yè)內部跟IT相關的管理。Kristine提到的IT治理方案是希望可以幫助客戶評估風險，然后作出分級，同時下一步可以幫助企業(yè)推出相應的方案，包括從企業(yè)內部，從用戶的識別到應用，到基礎架構等，然后對相應部門的人員提供相應的幫助。這些都是IBM服務體系更加完善后所承諾要帶給用戶的全新IT治理。

而對于IBM而言，有了安全產(chǎn)品的加入，這個IT巨頭在未來為企業(yè)提供的服務體系無疑將更加生態(tài)鏈化，從2007年年初收購安全和法規(guī)性遵從管理公司Consul，加強了Tivoli在法規(guī)遵從方面的能力；到不久前完成了對網(wǎng)絡應用安全公司W(wǎng)atchfire的收購，使Ratlonal更加錦上添花；以及繼前不久國外媒體《紅鯡魚》有關明年IBH在安全領域15億美元投入數(shù)額的報道，2007年11月底，在“2007IBM亞太區(qū)IT治理與風險管理峰會”上，IBH在中國正式宣布了此消息。另一方面，新興市場的擴充也不可避免的帶來安全風險問題——怎樣規(guī)避這些風險，你的企業(yè)風險管理是不是也要開始啟動。