首席信息官面临IT风险新挑战

首席信息官面临IT风险新挑战

文/陈勇
Christian Byrnes Paul Proctor

首席信息官应该如何帮助其所在的企业推动数字业务创新，同时为企业构建必要且适当的风险控制模型？

当您简单地吃过午饭回来后，原以为会看到在前台与您办公室之间，大家都在像往常一样有条不紊地工作，但却意外地发现，人们惊慌失措，办公区充斥着低低的喧闹声，人们的手指似乎都不在键盘上，眼睛也没盯着电脑的显示屏。所有的电脑与通信硬件均原封未动，看起来好似一切照旧。但事实上，软件与数据已全部消失。公司所有电脑与磁盘中的数据都荡然无存。

“恭喜您”！贵公司已成为全球第四家遭遇最新型黑客攻击的受害者。

重置企业安全性

首席信息官及其风险与安全团队正面临着

陈勇

GartnerCIO研究总监

Christian Byrnes

Gartner管理副总裁

Paul Proctor

Gartner副总裁兼杰出分析师两大变化。首先是移动、社交与云将业务数据及流程移出了边界，且超出了传统的企业控制范围。其次是这些都是不具备稳定性或可预测性的动态环境。在这种环境下，需要采用新方法管理相应程度的风险。昨天还在借助新型平板电脑，而到明天，部分副总裁将要求通过其新的Google Glass收发邮件。

如今，各业务部门接受风险，首席信息官们已意识到风险，而首席信息安全官正对此忧心忡忡。

至2020年，安全性将不再只是IT问题，而会演变成一个商业问题。明智的首席信息官会让业务主管尽早地参与其中，并将网络风险定义为商业范畴的主要运营风险。实际上，三分之一的首席信息安全官现在已不向IT部门汇报工作。

首席信息官应该如何帮助其所在企业推动数字业务的创新，同时为企业构建必要且适当的风险控制模型？

针对潜在威胁的情境规划

Gartner的全球12名思想领袖分别于2013年和2015年召开了两次会议，旨在分享、审视并规划长期安全与风险管理实践的未来。他们开展了一项情境规划工作，以为截止2020年的IT安全提供前瞻性指导。

我们着眼于两大主要力量：攻击对象以及权威拥有者。

第一个力量是攻击对象，其范围从企业跨越至个体。尽管企业一直以来都是易攻击的对象，但攻击正日益瞄准软目标和个人（如：员工、客户和公民）。

第二个力量—权威（比如政府和一些协会），是指控制力。权威可以代表攻击者或保护，范围从单一实体（或政府）到群体（或称“集体”）。在单一实体方面，我们将政府监管视为保护手段，但也注意到国家黑客行为，两者都是权威的表现形式。

在群体权威方面，我们将BITS和支付卡行业（PCI）安全标准委员会等联盟视为保护手段，但我们也看到诸如Anonymous、LulzSec或任何其他黑客组织这样的自主攻击者群体。

当我们将这些力量交叉排列，即创建出企业在未来十年将会遇到的四个情境。确认哪个情境与你的现实相匹配可以为你建立新的规划指导奠定基础：

情境1：风险监管。该情境以强大的政府权威和企业目标为特点。政府试图通过监管确保企业及自身的安全。

情境2：联盟规则。攻击者继续聚焦于企业，同时不再重视中央权威，因为规章制度被认为是无效的。我们看到自主雇佣黑客的卡特尔集团继续扩散，黑客行为也在逐步升级。

情境3：控制型母体。针对个人日益增加的攻击将迫使政府采取行动，利用犯罪分子使用的数据挖掘技术来识别潜在的受害者，并制定强有力的隐私规则。控制型母体是指插手保护个体的政府，但它也会扰乱既定规则和限制企业的商机。

情境4：邻里监督组织。日益减少的监管表明政府干预难以实际影响对个体的攻击。电子自卫队（E-militias）将应运而生，以防止极端无政府黑客行为。企业和公共利益团体会蓬勃发展。

这些情境看起来似乎有些极端，但请注意我们有证据表明，每一种及所有情境现在正在发生。

现实总是介于极端之间。大多数企业机构将会遇到多个情境，不过需稍作冷静，找出适用于贵企业的情形。

采用以人为本的安全方案

在一个由关系驱动的世界里，人们获得或多或少的权利。风险和安全专家无法剥夺人们的这些权利，但却可以对人们的行为施加影响。

Gartner正率先推出一种我们称之为“以人为本的安全性”（people-centric Security，PCS）技术，它将信息安全与社会科学有机地融合为一体，给予人们一系列权利与责任，鼓励人们制定更佳的安全决策，而非通过独断的政策与控制措施试图限制人们的行为。

事实上，技术解决方案为企业提供的安全性非常有限。过多限制人们使用方式的安全技术，实际上降低了保护级别。同样，试图阻止员工使用某些设备或禁止某些行为的做法往往适得其反。这一战略性的信息安全方法强调个人问责与信任，不再过分强调限制性、预防性的安全控制。

激励安全行为

PCS是基于一组加强个人权利及相关责任的关键原则。PCS的前提是员工具有一定的权利，但这些权利明确地与特定责任相关联。

这些权利和责任基于这样一种认知，即：如果个体不履行自己的责任，或不尊重其他同事以及企业利益相关者的权利而行事，那么该个体就会失去某些权利并接受惩罚。由于个体行为与结果息息相关，因此他们将乐于正确行事。

例如，用户有在不受任何强制性安全防护的限制下，有权将个人的iPad与公司邮件系统相连，这将提高其生活便利性，但同时也意味着该用户将承担相关责任，确保在使用iPad时不会泄露任何机密数据。IT部门将提供安全保护解决方案，但用户可自行决定是否接受该保护措施。

如果用户丢失了数据，他们的权利以及通过iPad收发公司邮件的便捷性将会被剥夺。实质上，这是在促使他们以恰当的方式正确行事。

提高培训

大多数风险和安全计划确立诸多优先事项，公司将有限的资源用于保护最重要的资产。通常，那些忽视安全政策的员工违规行为，并未列入企业机构的风险与安全计划的优先事项。

进一步而言，安全计划应加强旨在教育用户了解为图一时方便而冒险所引发的风险的重视程度。

相比将数百万元资金投入到让用户痛苦不堪的复杂技术上，简单的行为改变或许更能保护企业安全。有些用户会立即放弃考虑不周的技术解决方案，从而使更多的数据处于险境，应避免这种不良后果的发生。

考虑以下PCS属性将帮助你的企业机构改进整体的风险状况：

·PCS权责协议在员工之间建立一种集体依存关系，充分利用了企业内部的现有社会资本。

·PCS原则强调侦测性和反应性控制，以及透明的预防性控制，而不是采用侵入性的预防控制。

·PCS在鼓励个人自主权和主动性的文化环境中效果最佳。

·PCS以开放且相互信任的企业文化为基础，并需要相关管理层的关注和支持。

·PCS原则假定个人具备相应的知识，以了解他们的权利、责任及相关决策。

图 Gartner2020年安全情境规划

·PCS并非替代常识性的深度安全防护措施，也不是降低安全要求或行为标准。但它认识到传统的以控制为中心的信息安全方法在快速发展且更加复杂的技术、业务及风险环境中越来越站不住脚。

将安全性纳入2020年网络安全情境考虑因素

随着物联网（IoT）的崛起，物理安全和网络安全的融合势在必行，这将迫使各行业的安全领导者承担起保护生活安全的责任，而此前这可能超出了其权限范围。

为此，数字业务需要在G a r t n e r安全模型中添加一个新的也是第四个元素：安全性。G a r t ner C I A模型（即：机密性Confidentiality、完整性Integrity和可用性Ava ila bilit y）如今又增加了“安全性”(Security)，作为安全计划的一个重要组成部分。

安全性对于管理物联网的安全而言变得至关重要。在向物联网的过渡过程中，安全实践发生了深刻的变化，安全性已成为一个主要问题。

主要特征如下：

·物理基础设施的复杂性/自动化使风险增加。

·危险识别与控制现已涵盖网络需求。

·网络攻击可以造成物理影响。

图 Gartner安全模型

你的工作将是保护企业机构免遭致命的危害。一家医院的首席信息官曾经告诉我们，首席医疗官曾要求他在两年内实现“网络设备能够为我们的患者供药”，计算机将确定往血液里注射的药量。换句话说，物联网不仅仅只是感应所发生的事情，它还改变所发生的事情，它改变了现实的世界。

网络安全情境：优势竞争

Gartner 2020年网络安全情境将透明度和安全性新增为企业所需的“优势竞争”。对于安全专家而言，因为你正管理更接近企业和个人使用优势的技术，所以这意味着从左下象限的以封闭方式管理核心业务的技术转向增加透明度。

保护拳头部门

它主要表现为企业不愿与政府共享、使用商业秘密进行竞争，以及抱有一种“围墙花园”的心态。

扩大疆域

这是许多企业机构默认的发展方向。它往往发展为一个不受约束的“优势竞争”，但未必是最佳选择。它的特点在于具有安全包的关键基础设施组织、物理安全或许多“笨重”设备，以及物联网项目不协调的企业机构。

共享财富

Byrnes先生指出，在缺乏安全措施的情况下，社交媒体供应商将提供帮助。竞争优势不足的企业机构可能仍面临透明度压力。如果你能有效地管理风险，该象限将使你的生活更加便捷。

领导变革

对于愿意向诸如大规模消费市场这个方向努力的企业机构，透明度和安全性即上升为领导力问题。企业从上下文数据中获得高效杠杆作用。Byrnes先生认为：“该象限是你 的理想状态，这是物联网革命的目标象限。”

几十年来，人们常说经营有风险，风险和安全团队随后，对业务用户苦口婆心，告诫种种“禁忌”和“危险”。伴随着每一次安全行动，风险和安全人员都会告诉企业“我们控制风险”。

风险与安全团队不应是好坏的评判者，也不应是企业机构的防护兵，他们应该是保护企业机构和业务运营之间的平衡推动者。无论你是一个技术专家或是首席风险官（CRO），这一定理都适用。

企业与风险的新型关系意味着风险与安全专家：

·不再试图阻止每一次潜在威胁，而是评估并区分风险等级，以此来选择采取哪些措施应对威胁。

·不再局限于IT领域，而是明悉IT风险对其它业务结果的影响。

·不再完全依赖于那些知道如何应对风险的聪明人，而是通过可重复、可执行与可度量的流程制定计划。

具有权限的风险与安全决策人员必须更好地了解其所在企业机构期望的业务成果。

5年前，Gartner分析师已为“如何将业务环境作为风险数据之一？”给出了答案。风险管理和公司绩效分析师之间的协作产生了一个称之为“风险调整值管理”（Risk-Adjusted Value Management，RVM）的方法，它将IT风险直接与公司绩效相挂钩。

首先，应确定哪些业务流程支持目标结果；然后，决定哪些业务流程依赖于IT；最后，确认基于IT的安全和风险。

主动抵御IT风险的方法之一就是增加业务价值，这远比简单的“与业务相协调”更有意义。

例如：欧洲的一家汽车公司有一条生产线，每90秒钟生产一辆汽车，那么由IT故障造成的一小时停机等于损失40辆汽车的库存。该公司向董事会报告损失的汽车库存，而非IT停机时间，因为董事会关心的是汽车而非IT。

为了引起非IT部门高管的关注，必须了解其汇报对象每天所做的决定—包括IT操作人员、申请部门主管、主管单位、业务负责人或董事会。

人们常说经营有风险，风险和安全团队随后，对业务用户苦口婆心，告诫种种“禁忌”和“危险”。伴随着每一次安全行动，风险和安全人员都会告诉企业“我们控制风险”。

同时，你又能通过哪些方式影响他们的决策？

大多数风险与安全组织分为安全操作和计划管理两部分。安全操作经理主要管理技术，首席信息安全官负责管理计划，同时具有监督责任及大部分决策的权力。安全操作经理专注于IT工作，与此同时，首席信息安全官越来越多地不再涉及IT工作。

当首席信息安全官和IT部门不能有效合作时，这种模式即会被打破。这种体现在不同方面，取决于组织结构，但很多时候它却意味着首席信息安全官开始做出不利于IT部门的决策。最糟糕的情形是首席信息安全官具备很高的技术水平，但却不清楚他们的行为会对业务产生的影响。例如，此类首席信息安全官可能会盲目攻击基础架构，在工作时间内取消关键性业务服务，以证明IT是不安全的。

在过去10年间，信息技术与互联网通信已拓展至商业的各个领域，但更多的风险也随之而来，这些风险已不容忽视。管理风险以保护企业业务运营已不是什么新鲜事，业务主管与经理们需要立即在管理组合中添加更多的风险级别。

责任编辑：程梦瑶

chengmy@softic.com.cn