雖然很多企業(yè)管理者已經(jīng)發(fā)現(xiàn)安全風險管理的意義，但是并非所有的風險管理機制都可以杜絕風險，正相反，一旦引入不良的風險處理方法則可能會使企業(yè)危機重重。為了更好的理解企業(yè)在安全風險管理方面的誤區(qū)，本文根據(jù)CSO們的親身經(jīng)歷總結(jié)了六大失誤，相信會給您帶來一些啟發(fā)。

企業(yè)管理者們深知自己面臨安全風險，但他們往往不清楚這些風險究竟是什么，或者說會給業(yè)務帶來怎樣的影響。安全風險管理機制的作用恰恰在于消除主觀推斷，幫助企業(yè)以更明智的方式制定決策。正如信息風險分析師協(xié)會(簡稱SIRA)副總裁Jay Jacobs所說，“安全風險管理對于企業(yè)而言只是一種決策輔助系統(tǒng)，它的存在是為了引導業(yè)務決策始終保持在正確軌道之上。”

遺憾的是，專家們發(fā)現(xiàn)大多數(shù)企業(yè)出于善意的努力都并不符合標準，甚至可能由于不良習慣的引入而提高企業(yè)面臨的風險。

SIRA總裁Jeff Lowder告訴我們，“有一種錯誤的觀念，即安全專業(yè)知識等同于風險管理專業(yè)知識。事實上，我見過很多自稱風險管理專家的安全技術(shù)人員，但他們根本不具備處理風險管理工作的能力。安全管理與風險管理是兩個獨立的學科，一般情況下安全風險管理專家能勝任安全管理工作，但安全管理專家則不能勝任風險管理工作。”

為了更好地理解企業(yè)在哪些方面犯下差錯，筆者咨詢了幾位業(yè)界專家，探詢他們親身經(jīng)歷過的安全風險管理失誤。“我們親眼目睹許多企業(yè)從錯誤的角度出發(fā)選擇內(nèi)部安全風險管理框架。這樣做還不如拋硬幣來決定，那樣至少有二分之一的正確機率，”Lowder回憶道。

下面我們就一起來看看那些最常見的、導致好心辦壞事的風險管理失誤：

風險管理失誤一：一切從頭開始？別迷信專家!

很多安全專家都希望能從頭開始重塑安全風險管理制度。

幸運的是，風險分析的基本內(nèi)容已經(jīng)相當規(guī)范，其中包括如何征求專家意見及如何對無法確定的風險模式提出質(zhì)疑等。然而正如Jacobs與Lowder所解釋，很多人仍然沒有意識到正確實施才是獲得良好效果的關(guān)鍵。推倒重來的粗暴方案不僅沒能建立起更好的新機制，反而保留了很多原先就無法克服的嚴重缺點。

“最知名的管理模式在于挑選幾種似乎比較重要的‘風險’因素，根據(jù)其重要程度進行排序并打分，然后通過基本的推算或者矩陣模型推導其后果，”Jacobs指出。但事實上，這樣的推算結(jié)果很可能根本靠不住，除非決策制定者擁有豐富的管理經(jīng)驗以及懷疑一切的審慎態(tài)度，否則企業(yè)必然會由此受到嚴重影響。

風險管理失誤二：照搬審計部門流程?小心雞同鴨講!

作為某家大型企業(yè)運營風險及管理事務主管，Alex Hutton與我們分享了他的經(jīng)驗。某些企業(yè)會照搬審計部門的運作流程，并以此作為安全風險管理規(guī)劃的主干，這同樣無法達到預期效果。

“雖然兩者之間存在相似之處，但企業(yè)風險管理團隊與審計部門之間仍然屬于完全不同的角色定位”Hutton指出。審計部門的關(guān)注重點在于事故是否會導致安全控制機制陷入癱瘓，而風險管理團隊則需要關(guān)注IT風險的潛在發(fā)生頻度與影響。另外，審計部門的角色在于幫助企業(yè)理解控制機制的實施方式，而風險管理團隊則需要決定如何才能讓針對安全控制及相關(guān)流程的投資達到理想效果。

“大多數(shù)企業(yè)的風險管理規(guī)劃都無法實現(xiàn)這一目標，因為他們僅僅負責執(zhí)行政策、而沒能幫助企業(yè)了解哪些控制機制有效哪些沒有”Hutton表示。

“審計部門本身并不一定關(guān)心安全威脅，也不需要費心了解風險報告與總體狀況。對威脅、資產(chǎn)、控制及影響等因素的全局掌控才是風險管理團隊的工作。”Hutton總結(jié)稱。

風險管理失誤三：誰說無法將安全風險歸結(jié)為數(shù)字?別將準確與精確混為一談!

很多安全專家都無法將IT安全風險與漏洞歸結(jié)為直觀數(shù)字。

“我們常常聽到人們抱怨稱自己無法拿出精確的匯總報表，或者沒有足夠的數(shù)據(jù)來形成一份有價值的評估材料，”Lowder指出。“他們顯然是把準確與精確兩個概念給搞混了。要讓評估結(jié)果精確到一定程度當然是異想天開，但我們完全可以給出一個比較準確的數(shù)值浮動范圍。”

提供具備可操作性的信息，并不意味著安全風險管理人員需要對出現(xiàn)負面狀況的可能性做出精確預測。

“數(shù)字的作用在于正確指導決策，從而幫助企業(yè)獲得較為清晰的前進方向，”Lowder表示。“我們完全可以通過有力的論據(jù)證明當前機制發(fā)生意外的概率為60%到90%，這樣足矣。”

風險管理失誤四：過分強調(diào)風險登記冊的作用!別總盯著百年一遇的風險!

Hutton告訴我們，許多企業(yè)在對當前風險進行評估時都會執(zhí)著于列出一份包含所有潛在問題的清單，這就是所謂風險登記冊。

“創(chuàng)建風險登記冊的問題在于，人們根本不知道應該記到哪里才算結(jié)束。他們會不斷發(fā)掘潛在風險，甚至將那些極為罕見的情況包括在內(nèi)。夸張點說，有些人甚至會把飛機從屋頂墜入數(shù)據(jù)中心這類荒謬的例子作為考量對象”他無奈地指出。

“可能性極低的情況雖然也會構(gòu)成風險，但我們實在沒必要把這些百年不遇的事態(tài)也登記起來”他表示。Hutton建議企業(yè)建立一分安全問題登記冊，將所有遇到過的意外情況列入其中，這能夠更加真實地反映實際情況、同時幫助企業(yè)重視那些發(fā)生頻率最高的安全風險。

風險管理失誤五：誤解風險級別和等級分類：別靠想像來理解風險等級

安全風險管理者們往往將威脅與漏洞以幾項簡單的標準加以衡量：低、中、高——這樣粗放的劃分方式實在太過兒戲，而且也成了引發(fā)故障的導火索。

歸根結(jié)底，低、中、高到底是什么意思?“這只是三個量級，而且沒有任何直觀表現(xiàn)形式，”Lowder評價道。

“當我們要求大家根據(jù)事件的發(fā)生頻率為其進行高、中、低標準界定時，似乎沒人能給出準確的答案。這樣一來，大家對于結(jié)論就只能通過想象來理解。這簡直比硬性定結(jié)論更加危險，”Lowder指出。

舉例來說，當我們發(fā)現(xiàn)某事件的發(fā)生機率為低，有些管理者會認為其機率應該在10%左右，但有些則認為這一門檻應該是33%。“雖然我們沒必要對數(shù)字太過較真，但要讓交流能在清晰的基礎上進行，我們還是應該拿出一些有說服力的數(shù)字”Lowder總結(jié)道。

談到等級分類，Lowder表示：“這又是一項需要嚴格杜絕的失誤。”舉例來說，如果船A最先到達終點、船B位列第二，船C則最后抵達，那么僅靠這些信息我們根本無法得到三艘船完成比賽的平均時間。我們所了解的只是船A最快而船C最慢。“這也正是等級分類機制的最大弱點，僅憑第一、第二、第三或者高、中、低這種模糊的說法根本不足以幫助企業(yè)進行風險評估。”

等級分類只對數(shù)值進行簡單排序，但對于這些數(shù)值所代表的含義只字不提。“這樣的劃分機制簡直毫無用處。什么高、中、低這樣的標準根本無法幫助我們計算出風險管理因素的具體情況”Lowder解釋道。

風險管理失誤六： 缺乏風險智能規(guī)劃：隨時監(jiān)控狀態(tài)改變

“這是個相當嚴重的問題，”Hutton表示。“如果將IT安全風險根據(jù)信息類型分為四種——即威脅、控制、資產(chǎn)與影響——那么其中任何一項狀態(tài)的改變都可能會給企業(yè)的風險形勢帶來影響。”遺憾的是，目前的風險管理標準還沒有給出一套明確的風險智能規(guī)劃或者功能的重要程度界定。風險管理人員也無法給出有效的風險智能來源或者對可能影響企業(yè)風險形勢的新信息進行正確處理。

Hutton指出，實現(xiàn)智能化管理功能的途徑比企業(yè)想象的更加簡單，我們需要做的只是監(jiān)控那些能夠?qū)︼L險產(chǎn)生影響的變化因素。

“舉例來說，一旦入侵檢測/防御方面的專家決定辭職，那么這方面的技能鴻溝一時之間恐怕很難填補，這就相當于增加了企業(yè)的安全風險。與此相似，對于大量采用OSX系統(tǒng)平臺的企業(yè)而言，該平臺曝出新型惡意軟件的消息也可能衍生出安全威脅，”Hutton解釋稱：如果大家不關(guān)注這些變化，也就無法對風險進行有效控制。

總之，風險管理工作難度很高，但任意胡來造成的后果可能比袖手旁觀更加惡劣。“企業(yè)管理者可能會根據(jù)錯誤的信息、錯誤的流程以及錯誤的計算方式制定決策，三者結(jié)合起來必然會讓最終解決方案變得一塌糊涂，”Jacbos告訴我們。