風險管理 重質不重量

風險管理使你更趨近於企業營運，但你必須了解，風險可不是下注的賭盤。

　　從1980年末，我開始進入IT領域，保護電腦的紀律和觀念養成，很明確地被稱為電腦安全。在90年代中期，我們已熱烈討論過資訊安全這個專有名詞的適當性。就在幾年前，大部分的供應商在較早前，決定修正他們的市場定位，與法規議題的市場並列，把他們的商品像資安產品一樣地銷售。差不多同時間，因為敝人利用此專欄提倡安全是風險管理作用，引起熱烈討論。而今天要上的主菜是GRC，代表治理(Governance)、風險(Risk)與法規(Compliance)。

　　安全是個專業的任務，如果狹隘的集中在特定的弱點上，將有被潛在弱點攻擊的可能。實際上，大部分的安全專家真正做的，比狹隘的定義來得更多，他們會把注意力放在完整性與可用性上，然後與機密性並列。但是，風險管理是通曉各門知識的敲門磚，包含安全，而且比它更源遠流長；試著去了解可能出現哪些不需要的東西，並且事前設定好優先順序排列。

　　不管任何特定與資訊相關的事，你可能都有機會被委派處理。如果你不了解在這張大拼圖裡，你自己適合的定位，還有為什麼資安漸漸地會被描述成風險管理，那麼你永遠都無法適當地管理。

　　一般對風險管理常見的誤解是，它總是牽涉到風險統計學的量化問題（現行的全球財務系統危機，又再一次的表現愚蠢行徑，相信充分複雜的統計模式可消弭風險）。事實上，風險管理程序通常都是質的呈現，而且大多數的組織都會以他們自己的方式，朝向成熟的資訊安全發展，假如他們可以精確指出他們前1/5最容易受損害的伺服器的話。

　　風險管理是以程序為導向的方法，它會選擇決策模式與可利用的資訊一起運作。定義資訊以達成營運目標格外的重要，包括法規遵從，及找到具成本效益的方法，以超越系統保護的底線水準。迄今對許多公司而言，因為內部人員而導致的資料遺失，已被認為是最急需被解決的資訊風險之一。

　　愈來愈多的組織發現，風險管理技術通常是質的呈現；它不只是一個可判定輕重緩急、優先順序有效的方式，而且自然地就會與企業營運的關係更緊密。新的技術持續帶來新商品，規範與契約上的要求亦持續地增加，有時兩者無法和諧共存。隨著生活愈來愈複雜，相對地，我們也必須盡力發展綜合設施，以降低損失。假如我們不想被邊緣化，就必須以一種能和企業營運產生共鳴的語言溝通。業務經理不說安全語言，他們只講風險。

Jay Heiser是在倫敦Gartner研究機構的副總裁。