首席信息官面臨IT風(fēng)險(xiǎn)新挑戰(zhàn)

文/陳勇
Christian Byrnes Paul Proctor

首席信息官應(yīng)該如何幫助其所在的企業(yè)推動(dòng)數(shù)字業(yè)務(wù)創(chuàng)新，同時(shí)為企業(yè)構(gòu)建必要且適當(dāng)?shù)娘L(fēng)險(xiǎn)控制模型？

當(dāng)您簡單地吃過午飯回來后，原以為會(huì)看到在前臺(tái)與您辦公室之間，大家都在像往常一樣有條不紊地工作，但卻意外地發(fā)現(xiàn)，人們驚慌失措，辦公區(qū)充斥著低低的喧鬧聲，人們的手指似乎都不在鍵盤上，眼睛也沒盯著電腦的顯示屏。所有的電腦與通信硬件均原封未動(dòng)，看起來好似一切照舊。但事實(shí)上，軟件與數(shù)據(jù)已全部消失。公司所有電腦與磁盤中的數(shù)據(jù)都蕩然無存。

“恭喜您”！貴公司已成為全球第四家遭遇最新型黑客攻擊的受害者。

重置企業(yè)安全性

首席信息官及其風(fēng)險(xiǎn)與安全團(tuán)隊(duì)正面臨著

陳勇

GartnerCIO研究總監(jiān)

Christian Byrnes

Gartner管理副總裁

Paul Proctor

Gartner副總裁兼杰出分析師兩大變化。首先是移動(dòng)、社交與云將業(yè)務(wù)數(shù)據(jù)及流程移出了邊界，且超出了傳統(tǒng)的企業(yè)控制范圍。其次是這些都是不具備穩(wěn)定性或可預(yù)測性的動(dòng)態(tài)環(huán)境。在這種環(huán)境下，需要采用新方法管理相應(yīng)程度的風(fēng)險(xiǎn)。昨天還在借助新型平板電腦，而到明天，部分副總裁將要求通過其新的Google Glass收發(fā)郵件。

如今，各業(yè)務(wù)部門接受風(fēng)險(xiǎn)，首席信息官們已意識(shí)到風(fēng)險(xiǎn)，而首席信息安全官正對(duì)此憂心忡忡。

至2020年，安全性將不再只是IT問題，而會(huì)演變成一個(gè)商業(yè)問題。明智的首席信息官會(huì)讓業(yè)務(wù)主管盡早地參與其中，并將網(wǎng)絡(luò)風(fēng)險(xiǎn)定義為商業(yè)范疇的主要運(yùn)營風(fēng)險(xiǎn)。實(shí)際上，三分之一的首席信息安全官現(xiàn)在已不向IT部門匯報(bào)工作。

首席信息官應(yīng)該如何幫助其所在企業(yè)推動(dòng)數(shù)字業(yè)務(wù)的創(chuàng)新，同時(shí)為企業(yè)構(gòu)建必要且適當(dāng)?shù)娘L(fēng)險(xiǎn)控制模型？

針對(duì)潛在威脅的情境規(guī)劃

Gartner的全球12名思想領(lǐng)袖分別于2013年和2015年召開了兩次會(huì)議，旨在分享、審視并規(guī)劃長期安全與風(fēng)險(xiǎn)管理實(shí)踐的未來。他們開展了一項(xiàng)情境規(guī)劃工作，以為截止2020年的IT安全提供前瞻性指導(dǎo)。

我們著眼于兩大主要力量：攻擊對(duì)象以及權(quán)威擁有者。

第一個(gè)力量是攻擊對(duì)象，其范圍從企業(yè)跨越至個(gè)體。盡管企業(yè)一直以來都是易攻擊的對(duì)象，但攻擊正日益瞄準(zhǔn)軟目標(biāo)和個(gè)人（如：員工、客戶和公民）。

第二個(gè)力量—權(quán)威（比如政府和一些協(xié)會(huì)），是指控制力。權(quán)威可以代表攻擊者或保護(hù)，范圍從單一實(shí)體（或政府）到群體（或稱“集體”）。在單一實(shí)體方面，我們將政府監(jiān)管視為保護(hù)手段，但也注意到國家黑客行為，兩者都是權(quán)威的表現(xiàn)形式。

在群體權(quán)威方面，我們將BITS和支付卡行業(yè)（PCI）安全標(biāo)準(zhǔn)委員會(huì)等聯(lián)盟視為保護(hù)手段，但我們也看到諸如Anonymous、LulzSec或任何其他黑客組織這樣的自主攻擊者群體。

當(dāng)我們將這些力量交叉排列，即創(chuàng)建出企業(yè)在未來十年將會(huì)遇到的四個(gè)情境。確認(rèn)哪個(gè)情境與你的現(xiàn)實(shí)相匹配可以為你建立新的規(guī)劃指導(dǎo)奠定基礎(chǔ)：

情境1：風(fēng)險(xiǎn)監(jiān)管。該情境以強(qiáng)大的政府權(quán)威和企業(yè)目標(biāo)為特點(diǎn)。政府試圖通過監(jiān)管確保企業(yè)及自身的安全。

情境2：聯(lián)盟規(guī)則。攻擊者繼續(xù)聚焦于企業(yè)，同時(shí)不再重視中央權(quán)威，因?yàn)橐?guī)章制度被認(rèn)為是無效的。我們看到自主雇傭黑客的卡特爾集團(tuán)繼續(xù)擴(kuò)散，黑客行為也在逐步升級(jí)。

情境3：控制型母體。針對(duì)個(gè)人日益增加的攻擊將迫使政府采取行動(dòng)，利用犯罪分子使用的數(shù)據(jù)挖掘技術(shù)來識(shí)別潛在的受害者，并制定強(qiáng)有力的隱私規(guī)則。控制型母體是指插手保護(hù)個(gè)體的政府，但它也會(huì)擾亂既定規(guī)則和限制企業(yè)的商機(jī)。

情境4：鄰里監(jiān)督組織。日益減少的監(jiān)管表明政府干預(yù)難以實(shí)際影響對(duì)個(gè)體的攻擊。電子自衛(wèi)隊(duì)（E-militias）將應(yīng)運(yùn)而生，以防止極端無政府黑客行為。企業(yè)和公共利益團(tuán)體會(huì)蓬勃發(fā)展。

這些情境看起來似乎有些極端，但請(qǐng)注意我們有證據(jù)表明，每一種及所有情境現(xiàn)在正在發(fā)生。

現(xiàn)實(shí)總是介于極端之間。大多數(shù)企業(yè)機(jī)構(gòu)將會(huì)遇到多個(gè)情境，不過需稍作冷靜，找出適用于貴企業(yè)的情形。

采用以人為本的安全方案

在一個(gè)由關(guān)系驅(qū)動(dòng)的世界里，人們獲得或多或少的權(quán)利。風(fēng)險(xiǎn)和安全專家無法剝奪人們的這些權(quán)利，但卻可以對(duì)人們的行為施加影響。

Gartner正率先推出一種我們稱之為“以人為本的安全性”（people-centric Security，PCS）技術(shù)，它將信息安全與社會(huì)科學(xué)有機(jī)地融合為一體，給予人們一系列權(quán)利與責(zé)任，鼓勵(lì)人們制定更佳的安全決策，而非通過獨(dú)斷的政策與控制措施試圖限制人們的行為。

事實(shí)上，技術(shù)解決方案為企業(yè)提供的安全性非常有限。過多限制人們使用方式的安全技術(shù)，實(shí)際上降低了保護(hù)級(jí)別。同樣，試圖阻止員工使用某些設(shè)備或禁止某些行為的做法往往適得其反。這一戰(zhàn)略性的信息安全方法強(qiáng)調(diào)個(gè)人問責(zé)與信任，不再過分強(qiáng)調(diào)限制性、預(yù)防性的安全控制。

激勵(lì)安全行為

PCS是基于一組加強(qiáng)個(gè)人權(quán)利及相關(guān)責(zé)任的關(guān)鍵原則。PCS的前提是員工具有一定的權(quán)利，但這些權(quán)利明確地與特定責(zé)任相關(guān)聯(lián)。

這些權(quán)利和責(zé)任基于這樣一種認(rèn)知，即：如果個(gè)體不履行自己的責(zé)任，或不尊重其他同事以及企業(yè)利益相關(guān)者的權(quán)利而行事，那么該個(gè)體就會(huì)失去某些權(quán)利并接受懲罰。由于個(gè)體行為與結(jié)果息息相關(guān)，因此他們將樂于正確行事。

例如，用戶有在不受任何強(qiáng)制性安全防護(hù)的限制下，有權(quán)將個(gè)人的iPad與公司郵件系統(tǒng)相連，這將提高其生活便利性，但同時(shí)也意味著該用戶將承擔(dān)相關(guān)責(zé)任，確保在使用iPad時(shí)不會(huì)泄露任何機(jī)密數(shù)據(jù)。IT部門將提供安全保護(hù)解決方案，但用戶可自行決定是否接受該保護(hù)措施。

如果用戶丟失了數(shù)據(jù)，他們的權(quán)利以及通過iPad收發(fā)公司郵件的便捷性將會(huì)被剝奪。實(shí)質(zhì)上，這是在促使他們以恰當(dāng)?shù)姆绞秸_行事。

提高培訓(xùn)

大多數(shù)風(fēng)險(xiǎn)和安全計(jì)劃確立諸多優(yōu)先事項(xiàng)，公司將有限的資源用于保護(hù)最重要的資產(chǎn)。通常，那些忽視安全政策的員工違規(guī)行為，并未列入企業(yè)機(jī)構(gòu)的風(fēng)險(xiǎn)與安全計(jì)劃的優(yōu)先事項(xiàng)。

進(jìn)一步而言，安全計(jì)劃應(yīng)加強(qiáng)旨在教育用戶了解為圖一時(shí)方便而冒險(xiǎn)所引發(fā)的風(fēng)險(xiǎn)的重視程度。

相比將數(shù)百萬元資金投入到讓用戶痛苦不堪的復(fù)雜技術(shù)上，簡單的行為改變或許更能保護(hù)企業(yè)安全。有些用戶會(huì)立即放棄考慮不周的技術(shù)解決方案，從而使更多的數(shù)據(jù)處于險(xiǎn)境，應(yīng)避免這種不良后果的發(fā)生。

考慮以下PCS屬性將幫助你的企業(yè)機(jī)構(gòu)改進(jìn)整體的風(fēng)險(xiǎn)狀況：

·PCS權(quán)責(zé)協(xié)議在員工之間建立一種集體依存關(guān)系，充分利用了企業(yè)內(nèi)部的現(xiàn)有社會(huì)資本。

·PCS原則強(qiáng)調(diào)偵測性和反應(yīng)性控制，以及透明的預(yù)防性控制，而不是采用侵入性的預(yù)防控制。

·PCS在鼓勵(lì)個(gè)人自主權(quán)和主動(dòng)性的文化環(huán)境中效果最佳。

·PCS以開放且相互信任的企業(yè)文化為基礎(chǔ)，并需要相關(guān)管理層的關(guān)注和支持。

·PCS原則假定個(gè)人具備相應(yīng)的知識(shí)，以了解他們的權(quán)利、責(zé)任及相關(guān)決策。

圖 Gartner2020年安全情境規(guī)劃

·PCS并非替代常識(shí)性的深度安全防護(hù)措施，也不是降低安全要求或行為標(biāo)準(zhǔn)。但它認(rèn)識(shí)到傳統(tǒng)的以控制為中心的信息安全方法在快速發(fā)展且更加復(fù)雜的技術(shù)、業(yè)務(wù)及風(fēng)險(xiǎn)環(huán)境中越來越站不住腳。

將安全性納入2020年網(wǎng)絡(luò)安全情境考慮因素

隨著物聯(lián)網(wǎng)（IoT）的崛起，物理安全和網(wǎng)絡(luò)安全的融合勢在必行，這將迫使各行業(yè)的安全領(lǐng)導(dǎo)者承擔(dān)起保護(hù)生活安全的責(zé)任，而此前這可能超出了其權(quán)限范圍。

為此，數(shù)字業(yè)務(wù)需要在G a r t n e r安全模型中添加一個(gè)新的也是第四個(gè)元素：安全性。G a r t ner C I A模型（即：機(jī)密性Confidentiality、完整性Integrity和可用性Ava ila bilit y）如今又增加了“安全性”(Security)，作為安全計(jì)劃的一個(gè)重要組成部分。

安全性對(duì)于管理物聯(lián)網(wǎng)的安全而言變得至關(guān)重要。在向物聯(lián)網(wǎng)的過渡過程中，安全實(shí)踐發(fā)生了深刻的變化，安全性已成為一個(gè)主要問題。

主要特征如下：

·物理基礎(chǔ)設(shè)施的復(fù)雜性/自動(dòng)化使風(fēng)險(xiǎn)增加。

·危險(xiǎn)識(shí)別與控制現(xiàn)已涵蓋網(wǎng)絡(luò)需求。

·網(wǎng)絡(luò)攻擊可以造成物理影響。

圖 Gartner安全模型

你的工作將是保護(hù)企業(yè)機(jī)構(gòu)免遭致命的危害。一家醫(yī)院的首席信息官曾經(jīng)告訴我們，首席醫(yī)療官曾要求他在兩年內(nèi)實(shí)現(xiàn)“網(wǎng)絡(luò)設(shè)備能夠?yàn)槲覀兊幕颊吖┧帯保?jì)算機(jī)將確定往血液里注射的藥量。換句話說，物聯(lián)網(wǎng)不僅僅只是感應(yīng)所發(fā)生的事情，它還改變所發(fā)生的事情，它改變了現(xiàn)實(shí)的世界。

網(wǎng)絡(luò)安全情境：優(yōu)勢競爭

Gartner 2020年網(wǎng)絡(luò)安全情境將透明度和安全性新增為企業(yè)所需的“優(yōu)勢競爭”。對(duì)于安全專家而言，因?yàn)槟阏芾砀咏髽I(yè)和個(gè)人使用優(yōu)勢的技術(shù)，所以這意味著從左下象限的以封閉方式管理核心業(yè)務(wù)的技術(shù)轉(zhuǎn)向增加透明度。

保護(hù)拳頭部門

它主要表現(xiàn)為企業(yè)不愿與政府共享、使用商業(yè)秘密進(jìn)行競爭，以及抱有一種“圍墻花園”的心態(tài)。

擴(kuò)大疆域

這是許多企業(yè)機(jī)構(gòu)默認(rèn)的發(fā)展方向。它往往發(fā)展為一個(gè)不受約束的“優(yōu)勢競爭”，但未必是最佳選擇。它的特點(diǎn)在于具有安全包的關(guān)鍵基礎(chǔ)設(shè)施組織、物理安全或許多“笨重”設(shè)備，以及物聯(lián)網(wǎng)項(xiàng)目不協(xié)調(diào)的企業(yè)機(jī)構(gòu)。

共享財(cái)富

Byrnes先生指出，在缺乏安全措施的情況下，社交媒體供應(yīng)商將提供幫助。競爭優(yōu)勢不足的企業(yè)機(jī)構(gòu)可能仍面臨透明度壓力。如果你能有效地管理風(fēng)險(xiǎn)，該象限將使你的生活更加便捷。

領(lǐng)導(dǎo)變革

對(duì)于愿意向諸如大規(guī)模消費(fèi)市場這個(gè)方向努力的企業(yè)機(jī)構(gòu)，透明度和安全性即上升為領(lǐng)導(dǎo)力問題。企業(yè)從上下文數(shù)據(jù)中獲得高效杠桿作用。Byrnes先生認(rèn)為：“該象限是你 的理想狀態(tài)，這是物聯(lián)網(wǎng)革命的目標(biāo)象限?！?/p>

幾十年來，人們常說經(jīng)營有風(fēng)險(xiǎn)，風(fēng)險(xiǎn)和安全團(tuán)隊(duì)隨后，對(duì)業(yè)務(wù)用戶苦口婆心，告誡種種“禁忌”和“危險(xiǎn)”。伴隨著每一次安全行動(dòng)，風(fēng)險(xiǎn)和安全人員都會(huì)告訴企業(yè)“我們控制風(fēng)險(xiǎn)”。

風(fēng)險(xiǎn)與安全團(tuán)隊(duì)不應(yīng)是好壞的評(píng)判者，也不應(yīng)是企業(yè)機(jī)構(gòu)的防護(hù)兵，他們應(yīng)該是保護(hù)企業(yè)機(jī)構(gòu)和業(yè)務(wù)運(yùn)營之間的平衡推動(dòng)者。無論你是一個(gè)技術(shù)專家或是首席風(fēng)險(xiǎn)官（CRO），這一定理都適用。

企業(yè)與風(fēng)險(xiǎn)的新型關(guān)系意味著風(fēng)險(xiǎn)與安全專家：

·不再試圖阻止每一次潛在威脅，而是評(píng)估并區(qū)分風(fēng)險(xiǎn)等級(jí)，以此來選擇采取哪些措施應(yīng)對(duì)威脅。

·不再局限于IT領(lǐng)域，而是明悉IT風(fēng)險(xiǎn)對(duì)其它業(yè)務(wù)結(jié)果的影響。

·不再完全依賴于那些知道如何應(yīng)對(duì)風(fēng)險(xiǎn)的聰明人，而是通過可重復(fù)、可執(zhí)行與可度量的流程制定計(jì)劃。

具有權(quán)限的風(fēng)險(xiǎn)與安全決策人員必須更好地了解其所在企業(yè)機(jī)構(gòu)期望的業(yè)務(wù)成果。

5年前，Gartner分析師已為“如何將業(yè)務(wù)環(huán)境作為風(fēng)險(xiǎn)數(shù)據(jù)之一？”給出了答案。風(fēng)險(xiǎn)管理和公司績效分析師之間的協(xié)作產(chǎn)生了一個(gè)稱之為“風(fēng)險(xiǎn)調(diào)整值管理”（Risk-Adjusted Value Management，RVM）的方法，它將IT風(fēng)險(xiǎn)直接與公司績效相掛鉤。

首先，應(yīng)確定哪些業(yè)務(wù)流程支持目標(biāo)結(jié)果；然后，決定哪些業(yè)務(wù)流程依賴于IT；最后，確認(rèn)基于IT的安全和風(fēng)險(xiǎn)。

主動(dòng)抵御IT風(fēng)險(xiǎn)的方法之一就是增加業(yè)務(wù)價(jià)值，這遠(yuǎn)比簡單的“與業(yè)務(wù)相協(xié)調(diào)”更有意義。

例如：歐洲的一家汽車公司有一條生產(chǎn)線，每90秒鐘生產(chǎn)一輛汽車，那么由IT故障造成的一小時(shí)停機(jī)等于損失40輛汽車的庫存。該公司向董事會(huì)報(bào)告損失的汽車庫存，而非IT停機(jī)時(shí)間，因?yàn)槎聲?huì)關(guān)心的是汽車而非IT。

為了引起非IT部門高管的關(guān)注，必須了解其匯報(bào)對(duì)象每天所做的決定—包括IT操作人員、申請(qǐng)部門主管、主管單位、業(yè)務(wù)負(fù)責(zé)人或董事會(huì)。

人們常說經(jīng)營有風(fēng)險(xiǎn)，風(fēng)險(xiǎn)和安全團(tuán)隊(duì)隨后，對(duì)業(yè)務(wù)用戶苦口婆心，告誡種種“禁忌”和“危險(xiǎn)”。伴隨著每一次安全行動(dòng)，風(fēng)險(xiǎn)和安全人員都會(huì)告訴企業(yè)“我們控制風(fēng)險(xiǎn)”。

同時(shí)，你又能通過哪些方式影響他們的決策？

大多數(shù)風(fēng)險(xiǎn)與安全組織分為安全操作和計(jì)劃管理兩部分。安全操作經(jīng)理主要管理技術(shù)，首席信息安全官負(fù)責(zé)管理計(jì)劃，同時(shí)具有監(jiān)督責(zé)任及大部分決策的權(quán)力。安全操作經(jīng)理專注于IT工作，與此同時(shí)，首席信息安全官越來越多地不再涉及IT工作。

當(dāng)首席信息安全官和IT部門不能有效合作時(shí)，這種模式即會(huì)被打破。這種體現(xiàn)在不同方面，取決于組織結(jié)構(gòu)，但很多時(shí)候它卻意味著首席信息安全官開始做出不利于IT部門的決策。最糟糕的情形是首席信息安全官具備很高的技術(shù)水平，但卻不清楚他們的行為會(huì)對(duì)業(yè)務(wù)產(chǎn)生的影響。例如，此類首席信息安全官可能會(huì)盲目攻擊基礎(chǔ)架構(gòu)，在工作時(shí)間內(nèi)取消關(guān)鍵性業(yè)務(wù)服務(wù)，以證明IT是不安全的。

在過去10年間，信息技術(shù)與互聯(lián)網(wǎng)通信已拓展至商業(yè)的各個(gè)領(lǐng)域，但更多的風(fēng)險(xiǎn)也隨之而來，這些風(fēng)險(xiǎn)已不容忽視。管理風(fēng)險(xiǎn)以保護(hù)企業(yè)業(yè)務(wù)運(yùn)營已不是什么新鮮事，業(yè)務(wù)主管與經(jīng)理們需要立即在管理組合中添加更多的風(fēng)險(xiǎn)級(jí)別。

責(zé)任編輯：程夢(mèng)瑤

chengmy@softic.com.cn