https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1

觀點

風險管理 重質不重量

2009 / 07 / 21
JAY HEISER 譯 ■ 左恩燦
風險管理 重質不重量
風險管理使你更趨近於企業營運,但你必須了解,風險可不是下注的賭盤。

  從1980年末,我開始進入IT領域,保護電腦的紀律和觀念養成,很明確地被稱為電腦安全。在90年代中期,我們已熱烈討論過資訊安全這個專有名詞的適當性。就在幾年前,大部分的供應商在較早前,決定修正他們的市場定位,與法規議題的市場並列,把他們的商品像資安產品一樣地銷售。差不多同時間,因為敝人利用此專欄提倡安全是風險管理作用,引起熱烈討論。而今天要上的主菜是GRC,代表治理(Governance)、風險(Risk)與法規(Compliance)。

  安全是個專業的任務,如果狹隘的集中在特定的弱點上,將有被潛在弱點攻擊的可能。實際上,大部分的安全專家真正做的,比狹隘的定義來得更多,他們會把注意力放在完整性與可用性上,然後與機密性並列。但是,風險管理是通曉各門知識的敲門磚,包含安全,而且比它更源遠流長;試著去了解可能出現哪些不需要的東西,並且事前設定好優先順序排列。

  不管任何特定與資訊相關的事,你可能都有機會被委派處理。如果你不了解在這張大拼圖裡,你自己適合的定位,還有為什麼資安漸漸地會被描述成風險管理,那麼你永遠都無法適當地管理。

  一般對風險管理常見的誤解是,它總是牽涉到風險統計學的量化問題(現行的全球財務系統危機,又再一次的表現愚蠢行徑,相信充分複雜的統計模式可消弭風險)。事實上,風險管理程序通常都是質的呈現,而且大多數的組織都會以他們自己的方式,朝向成熟的資訊安全發展,假如他們可以精確指出他們前1/5最容易受損害的伺服器的話。

  風險管理是以程序為導向的方法,它會選擇決策模式與可利用的資訊一起運作。定義資訊以達成營運目標格外的重要,包括法規遵從,及找到具成本效益的方法,以超越系統保護的底線水準。迄今對許多公司而言,因為內部人員而導致的資料遺失,已被認為是最急需被解決的資訊風險之一。

  愈來愈多的組織發現,風險管理技術通常是質的呈現;它不只是一個可判定輕重緩急、優先順序有效的方式,而且自然地就會與企業營運的關係更緊密。新的技術持續帶來新商品,規範與契約上的要求亦持續地增加,有時兩者無法和諧共存。隨著生活愈來愈複雜,相對地,我們也必須盡力發展綜合設施,以降低損失。假如我們不想被邊緣化,就必須以一種能和企業營運產生共鳴的語言溝通。業務經理不說安全語言,他們只講風險。

Jay Heiser是在倫敦Gartner研究機構的副總裁。