歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
風險管理 重質不重量
2009 / 07 / 21
JAY HEISER 譯 ■ 左恩燦
風險管理使你更趨近於企業營運,但你必須了解,風險可不是下注的賭盤。
從1980年末,我開始進入IT領域,保護電腦的紀律和觀念養成,很明確地被稱為電腦安全。在90年代中期,我們已熱烈討論過資訊安全這個專有名詞的適當性。就在幾年前,大部分的供應商在較早前,決定修正他們的市場定位,與法規議題的市場並列,把他們的商品像資安產品一樣地銷售。差不多同時間,因為敝人利用此專欄提倡安全是風險管理作用,引起熱烈討論。而今天要上的主菜是GRC,代表治理(Governance)、風險(Risk)與法規(Compliance)。
安全是個專業的任務,如果狹隘的集中在特定的弱點上,將有被潛在弱點攻擊的可能。實際上,大部分的安全專家真正做的,比狹隘的定義來得更多,他們會把注意力放在完整性與可用性上,然後與機密性並列。但是,風險管理是通曉各門知識的敲門磚,包含安全,而且比它更源遠流長;試著去了解可能出現哪些不需要的東西,並且事前設定好優先順序排列。
不管任何特定與資訊相關的事,你可能都有機會被委派處理。如果你不了解在這張大拼圖裡,你自己適合的定位,還有為什麼資安漸漸地會被描述成風險管理,那麼你永遠都無法適當地管理。
一般對風險管理常見的誤解是,它總是牽涉到風險統計學的量化問題(現行的全球財務系統危機,又再一次的表現愚蠢行徑,相信充分複雜的統計模式可消弭風險)。事實上,風險管理程序通常都是質的呈現,而且大多數的組織都會以他們自己的方式,朝向成熟的資訊安全發展,假如他們可以精確指出他們前1/5最容易受損害的伺服器的話。
風險管理是以程序為導向的方法,它會選擇決策模式與可利用的資訊一起運作。定義資訊以達成營運目標格外的重要,包括法規遵從,及找到具成本效益的方法,以超越系統保護的底線水準。迄今對許多公司而言,因為內部人員而導致的資料遺失,已被認為是最急需被解決的資訊風險之一。
愈來愈多的組織發現,風險管理技術通常是質的呈現;它不只是一個可判定輕重緩急、優先順序有效的方式,而且自然地就會與企業營運的關係更緊密。新的技術持續帶來新商品,規範與契約上的要求亦持續地增加,有時兩者無法和諧共存。隨著生活愈來愈複雜,相對地,我們也必須盡力發展綜合設施,以降低損失。假如我們不想被邊緣化,就必須以一種能和企業營運產生共鳴的語言溝通。業務經理不說安全語言,他們只講風險。
Jay Heiser是在倫敦Gartner研究機構的副總裁。
IT
風險
營運
最新活動
2025.02.19
2025資安365年會
看更多活動
大家都在看
全球大規模暴力破解攻擊!280萬個IP鎖定防火牆、VPN等設備
MediaTek晶片的WLAN驅動程式最新漏洞影響數百萬裝置安全
台灣首例醫院大規模遭駭:馬偕醫院遭勒索軟體攻擊,資安署進駐協助
萬事達卡2030年前將取消16位卡號 改採生物辨識、網路權杖強化支付安全
Google、Discord、OpenAI攜手「ROOST計畫」免費開源工具建構AI安全網路
資安人科技網
文章推薦
美國 CISA 與 FBI 聚焦緩衝區溢位漏洞,籲開發者採用記憶體安全程式語言
中國 APT 組織走勒索攻擊路線!對受害企業索 200 萬美元贖金
中國駭客組織「鹽颱風」近期大規模攻擊思科設備,全球電信商成主要目標