IDC:IT信息风险 阻碍80%组织业务创新

10月1号,RSA(EMC信 息安全事业部)发布了最新的两项权威报告,分别名为“创新和安全:合作还是斗争”与“掌握风险/回报方程式:优化信息风险,最大化业务创新回报”。旨在探 讨信息安全和业务创新之间多变的关系,以及有效的解决方法,为全球企业提供一种普遍的可借鉴的管理思路。

在RSA的支持下,全球性市场调研公司IDC的得出了第一项报告,揭示了安全和创新 间存在着扩大化的鸿沟,并调查了安全与创新的分离对全球领先公司所造成的业务影响。同期发布的第二项研究,则挑选了由众多安全执行官组成的精英团体,进一 步探讨如何有效消除安全与创新的差距,并定义了首个行业内先进的信息风险管理策略组合。

RSA总裁亚瑟·科维洛表示,业务创新已成为业务发展战略的重要组成部分,以及企业 保持竞争优势的决定性因素。信息风险和业务创新间存在着密不可分的关系,企业在向市场推出新的创新时,必然面临着新的安全风险。如何在业务创新和建立有效 的IT安全实践间取得平衡是个难题。如今,IT安全问题越发重要,已升级为全球性的业务问题;对于企业高级管理团队来说,IT安全问题已成为最重要的事 情;对于企业而言,也是进行文化、技术转变的最好时机,以更好地将企业IT安全和业务创新战略同步。

IT信息风险,创新的巨大障碍

第一份报告“创新和安全:合作还是斗争”,是通过对近200名顶级业务执行官和安全专家在线调查得出的。目的是衡量信息安全机制对业务创新的影响程度,并且研究是否有方法可以调和二者的关系。

为了保证调查结果的公正性与代表性,近200名被调查者都经过RSA的精心筛选。其中,80%受调查公司收入在1亿美元之上;73%受调查者的职位是副总裁执行官或更高职位;60%受调查公司的雇员规模超过了5000名。

调查显示,大多数企业认为,理想的创新环境对在竞争中保持领先地位非常重要。但受访 者普遍认为,IT信息风险已成为业务创新单一的最大抑制因素。实际上,高达80%的受调查者承认,企业曾因信息风险问题而放弃新的创新机会。对于企业而 言,信息风险管理与业务创新似乎是水火不相容的关系。

尽管IT信息风险对于业务创新的影响巨大,但企业对于信息安全部门的重视明显不足。 IDC发现,尽管80%的CEO认为安全团队为业务增长和创新做出了贡献,但只有44%的安全领导认为企业对他们为创新做出的贡献进行了衡量。表明在C层 管理层的预期和安全专业人员的优先次序之间缺乏一种同步。且仅有部分企业采取一种积极的态度以平衡二者的关系,调查显示,只有21%的受调查者认为企业已 成功过渡到信息风险管理积极主动和业务同步,促进而非阻碍着创新的开展。

IDC副总裁ChrisChristiansen表示,创新和安全之间的关系尽管已 取得了一些进展,但依然不容乐观。正确的观念是创新和安全是互补关系,而不是相互竞争。企业在业务创新过程中,应该兼顾IT信息风险,并为企业安全团队布 置足够清晰的业务创新衡量标准,将有助于企业在实现总体目标方面更具竞争力。

消除鸿沟,亟需风险管理新方法

尽管业务创新与IT安全风险之间的鸿沟正渐渐扩大,形势不容乐观。但事实上,业务创 新与IT信息风险的矛盾并非不可调和。如何在消除IT信息风险的同时,实现业务创新,也是摆在世界领先企业的信息安全官面前的难题。全球企业亟需一种有效 的信息风险管理方法,以阻止鸿沟的继续扩大。第二项报告则提供了行之有效的解决方法。

在RSA的组织下,业务创新安全委员会发布了名为“掌握风险/回报方程式:优化信息风险,最大化业务创新回报”的报告,以协助全球企业推动信息安全的发展。业务创新安全委员会由全球1000名安全执行官中的10个高度成功的领袖人物组成,委员会成员包括:

Anish Bhimani,JP摩根大通银行IT风险管理副总裁;

BillBoni,摩托罗拉副总裁兼首席安全官;

DaveCullinane,易趣副总裁兼首席信息安全官;

RolandCloutier,EMC副总裁兼首席安全官;

Dr.PaulDorey,BP副总裁兼数字安全及首席信息安全官;

ReneeGuttmann,时代华纳副总裁;

DavidKent,健赞副总裁;

Dr.ClaudiaNatanson,帝亚吉欧首席信息安全官;

CraigShumard,信诺公司首席信息安全官;

AndreasWuchner,诺华公司IT风险管理及安全与法规遵从领导。

信息安全官普遍认为,任何新的业务创新天生具有一定程度的信息风险。安全的重点是在降低信息风险的同时,实现业务回报最大化。在报告中,这些世界顶级安全执行官还提供了各自的最佳实践,以供参考。

其中,摩托罗拉信息安全保护部副总裁BillBoni认为,企业所存在的最大风险, 不是某一特定的信息被泄露,或特定的平台发生瘫痪,而是企业的创新能力不能满足客户的预期需求。因不满足业务需求而产生的安全成本,不是制裁或罚款,也不 是知识产权的损失或其他犯罪行为,而是没能力适应客户的需求并做出响应。因此,信息风险必须经过精确计算,才能真正实现企业的商业优势。

同时,这份委员会报告建议企业的思维和行为应作一些转变,包括:

1.) 将安全团队的重点从“信息安全”转移到“信息风险管理”,其目标是达到一个可接受的风险水平;

2.) 使用一种跨组织的方法来理解和标准化企业的风险偏好;

3.) 建立一个风险假设模型以说明风险决策责任由谁来承担;

4.) 创立一个可重复的,循序渐进的流程,以对新的业务举措进行风险/回报计算,并确保它能够在整个企业中展开。

这份报告的意义在于,为企业实施风险/回报公式的计算提供了蓝图,有助于企业更好地 驱动业务价值,并确保得到有效执行和控制,最终使企业走向成功。当企业尝试更加全面的看待风险管理时,信息风险评估也必须纳入到所有的风险管理工作中。因 此,报告还采用了来自于JuliaAllen的文献,其是卡内基梅隆大学的CERT®(计算机网络安全事件应急小组)企业安全和管理领域的主要研究员之 一。

此次报告是业务创新安全委员会发布的第二份报告。第一份报告“就是现在:制定信息安 全战略进行业务创新”发布于今年早期,为信息安全对业务创新更具战略性提供了七条建议。“成为风险对比回报的专家”是在第一份报告中概述的主要建议之一, 也为此次公布的深度调查结果奠定了基础。