让安全成为企业功能的一部分

引言：企业中的风险无处不在，并会以多种方式影响到企业运行。如果IT想真正地减轻风险并避免问题，业务和IT团队就需要协同工作，加强交流。保障公司安全的首要一步就是，确保所有部门中的雇员都理解自己在风险管理过程中的作用。为有助于解决问题，公司需要使信息安全成为一种需要优先考虑的影响业务质量的问题，并且理解信息安全并不是简单地由技术解决的问题。

企业中的风险几乎无处不在，并会以多种方式影响到企业运行。如果IT想真正地减轻风险并避免问题，业务和IT团队就需要协同工作，加强交流。保障公司安全的首要一步就是，确保所有部门中的雇员都理解自己在风险管理过程中的作用。

为有助于解决问题，公司需要使信息安全成为一种需要优先考虑的影响业务质量的问题，并且理解信息安全并不是简单地由技术解决的问题。公司需要确保风险是一个优先考虑的问题，并且将其包含在每一个策略和过程中，从而在最大程度上减轻风险。

理解风险

在业务和IT团队的会话开始之后，企业就可以着手确定风险的定义，并将其扩展到整个企业。

首要的一步，是理解风险和安全实际上是业务问题，而不是软件或技术问题。为此，企业不妨考虑站在IT之外看安全，将安全从IT中迁移出来，并使其成为企业功能的一部分。利用这种方法，企业就可以查明风险，而IT也可以部署软件和技术，从而使这些风险最小化。终极的安全和风险责任必须在业务线上确立。业务线上的员工必须负有最终责任，正是这些人将开发、运营、安全人员招集到一起解决其产品、服务以及最终的业务安全问题。

建议企业准备好业务培训项目，从而使安全和运营人员可以全面深入地理解其产品、服务、顾客、竞争者、市场。然后，企业可以利用培训和教育资源来确保每个人都专注于保护业务。这样做还可以促进社交协作项目，其中业务线的雇员与IT雇员可以更好地交流，并就如何管理风险交换意见。

不遵循基于风险的方法招致的危险

如果没有准备好一套适当的风险管理策略，公司就会面临大量的潜在问题，因而在不同方面影响到企业和业务。例如，不管理风险的最明显和最基本的结果就是经济损失，其表现形式可能是业务损失、丧失客户信任、无法在最后期限交付产品或服务、被竞争者击溃等。经济损失还会导致品牌认可度和信任的丢失。如果攻击者攻击了公司并窃取了信息，公司的声誉和品牌将遭受沉重打击。除了经济损失和商誉损失，你还要考虑由于不正确的风险管理而导致的故障会影响到工作团队。由于风险的发生造成的故障会促使企业采取大量行动，从而影响到公司的效率。所以，公司中的每个人不管其职位如何，都应当持续地关注风险。

风险管理的概念建立在这个观念的基础上：你做出的每一个决策、部署的每个策略、实施的每个方案都应当是为了以某种方式来减轻风险。即使你认为有些问题就如搭一条电话线一样简单，企业在部署这种技术时也要避免客户或顾客无法联系的风险。这听起来也许简单明确，但是不将风险管理作为业务过程的一部分就会使企业易于遭受攻击、数据泄露或其它安全风险。例如，如果贵公司属于健康保健行业，而公司又没有部署DLP（数据泄露预防）系统，公司就有可能存在你并不了解的漏洞。数据泄露并不总是以病毒窃取信息或某人攻击企业系统和查看敏感数据为表现形式。数据泄露有时也可能是人为错误的结果。所以，笔者建议无论是什么项目或过程，公司都要牢记风险观念。

你的一切操作都应当是为了减轻风险。你面临风险就必须减轻风险，并创建一种控制。然后，就需要审计和测试，看看这种控制是否可以减轻风险。如果控制并不能与风险实现关联，你实施控制有何意义呢？而这正是采用基于风险的方法所招致的安全问题。

需要考虑的技术和策略

在确立了大方向和概念后，就可以关注一些有助于风险管理过程的技术。有些公司使用调查工具从雇员得到关于哪些系统、过程或潜在的问题使其忧心忡忡的反馈。员工们会向公司反馈一些事实和材料，而你作为管理员只需将这些材料整理一下，并着手探查那些要求你关注的领域，然后再考虑使用什么技术。

例如，如果公司必须考虑合规问题，你可能需要实施GRC（治理风险合规）平台来监视工作流程和进行事件管理，并在整个过程中实施跟踪。你还可以发现一些包含财务处理和安全事务监视的GRC平台，这可以使你深入地监视企业和潜在的风险。这些GRC平台根据行业的不同而不同，还有一些平台却可以使企业用于应对各种潜在的问题。

但软件并不能解决一切问题。如果企业部署了风险管理系统，内部却没有人可以验证或理解如何使用这种系统，那么企业未必可以收获其真正的价值。对有些公司来说，IT部门有着举足轻重的地位,公司都需要强大的QA（质量保证）功能以及一套结构化的程序质量标准，并且在开发、测试、生产过程的整个阶段都进行检查。

还要强调将QA作为业务连续性过程的一部分，其中还可能涉及到你对基础架构做出改变时会发生的问题。你必须能够评估这些改变对运营或应用程序或对重大业务过程的改变，评估这些改变影响到公司从问题中恢复的能力，例如，软件或服务器的故障，或是存储阵列空间不足，或是一个与数据中心有关的重大问题，或是断电问题。