進(jìn)入新的一年，企業(yè)面對(duì)數(shù)據(jù)泄密事故、日益復(fù)雜的攻擊和對(duì)其控制的持續(xù)監(jiān)管，現(xiàn)在是時(shí)候重新審視其風(fēng)險(xiǎn)管理戰(zhàn)略了。雖然每個(gè)企業(yè)都是獨(dú)特的，風(fēng)險(xiǎn)管理專家認(rèn)為有些風(fēng)險(xiǎn)管理辦法值得企業(yè)關(guān)注。下面我們列出了5個(gè)風(fēng)險(xiǎn)管理辦法，風(fēng)險(xiǎn)管理者可以在新的一年利用這些辦法來(lái)改善其風(fēng)險(xiǎn)管理：

No.1：改善第三方風(fēng)險(xiǎn)管理

隨著第三方導(dǎo)致的越來(lái)越多的數(shù)據(jù)泄露和安全事故見(jiàn)諸報(bào)端，企業(yè)和監(jiān)管機(jī)構(gòu)開始關(guān)注供應(yīng)商及合作伙伴帶來(lái)的風(fēng)險(xiǎn)。根據(jù)Qualys公司首席安全官Andrew Wild表示，在今年，第三方風(fēng)險(xiǎn)管理將是IT風(fēng)險(xiǎn)專業(yè)人士需要關(guān)注的關(guān)鍵領(lǐng)域。

“對(duì)于第三方的日益增長(zhǎng)的依賴，企業(yè)需要一個(gè)成熟的第三方風(fēng)險(xiǎn)管理機(jī)制來(lái)確保風(fēng)險(xiǎn)得到控制、評(píng)估和管理，”Wild在談到美國(guó)貨幣監(jiān)理局針對(duì)銀行業(yè)金融機(jī)構(gòu)提出的新的監(jiān)管要求時(shí)表示，“然而，沒(méi)有監(jiān)管或合規(guī)要求的企業(yè)正面臨著越來(lái)越多客戶對(duì)第三方風(fēng)險(xiǎn)管理的更嚴(yán)格的審查。”

No.2：調(diào)整風(fēng)險(xiǎn)管理以獲得更大的靈活性和響應(yīng)度

有針對(duì)性的隱形攻擊將繼續(xù)推動(dòng)安全從業(yè)人員改變應(yīng)對(duì)攻擊的辦法。

Coalfire公司首席安全戰(zhàn)略官Rich Dakin表示：“這些有針對(duì)性攻擊帶來(lái)的傷害將足以讓企業(yè)從靜態(tài)邊界保護(hù)和基于訪問(wèn)控制的安全做法，轉(zhuǎn)移到動(dòng)態(tài)的做法，即每天分析新的威脅和風(fēng)險(xiǎn)，并進(jìn)行升級(jí)、更新和系統(tǒng)變更。”

當(dāng)然，這意味著風(fēng)險(xiǎn)分析需要超越簡(jiǎn)單的年度風(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)管理人員需要作出有意義的計(jì)算來(lái)推動(dòng)對(duì)IT基礎(chǔ)設(shè)施和流程的決策。企業(yè)不僅需要尋求更好的辦法來(lái)將實(shí)時(shí)信息整合到風(fēng)險(xiǎn)評(píng)估，而且還需要想辦法來(lái)更快地調(diào)整現(xiàn)有技術(shù)以響應(yīng)評(píng)估結(jié)果，而不是簡(jiǎn)單地購(gòu)買新設(shè)備。

CyberArk Software公司咨詢服務(wù)主管Gerrit Lansing表示：“企業(yè)總是認(rèn)為他們需要新的控制來(lái)解決后續(xù)風(fēng)險(xiǎn)，但很多時(shí)候，他們可以調(diào)整現(xiàn)有控制來(lái)解決新的風(fēng)險(xiǎn)。”

No.3：使用更多的數(shù)據(jù)來(lái)評(píng)估風(fēng)險(xiǎn)

更好的風(fēng)險(xiǎn)評(píng)估需要更多的數(shù)據(jù)。從安全技術(shù)和IT基礎(chǔ)設(shè)施挖掘出的數(shù)據(jù)對(duì)風(fēng)險(xiǎn)評(píng)估非常重要，“很多企業(yè)沒(méi)有利用其環(huán)境中存在的事實(shí)和數(shù)據(jù)，”Bringa公司首席執(zhí)行官Amad Fida表示，“他們錯(cuò)過(guò)了分析和關(guān)聯(lián)這些安全數(shù)據(jù)與他們部署的控制的機(jī)會(huì)。”

No.4：與業(yè)務(wù)用戶協(xié)作，以確保更全面的風(fēng)險(xiǎn)管理

安全從業(yè)人員早就強(qiáng)調(diào)了IT安全做法和業(yè)務(wù)之間需要更好地協(xié)調(diào)。MetricStream公司副總裁Yo Delmar表示，這首先需要企業(yè)內(nèi)部外部的風(fēng)險(xiǎn)管理者與業(yè)務(wù)用戶之間對(duì)風(fēng)險(xiǎn)管理過(guò)程更好的協(xié)作。

“從本質(zhì)上講，風(fēng)險(xiǎn)、合規(guī)和安全功能將涉及防御前線的業(yè)務(wù)用戶、供應(yīng)商、加盟商等，”Delmar表示，并解釋說(shuō)，這意味著要為這些用戶的廣泛用途提供一個(gè)風(fēng)險(xiǎn)管理平臺(tái)，“風(fēng)險(xiǎn)管理將越來(lái)越多地與績(jī)效管理結(jié)合，將成為企業(yè)用戶的行動(dòng)‘點(diǎn)’。例如，如果一家公司正在與高風(fēng)險(xiǎn)供應(yīng)商合作，企業(yè)不僅需要對(duì)該供應(yīng)商定期進(jìn)行評(píng)估，還應(yīng)該系統(tǒng)地將性能指標(biāo)和續(xù)約談判與該供應(yīng)商的風(fēng)險(xiǎn)評(píng)估緊密結(jié)合。”

No.5：平衡預(yù)防性控制與檢測(cè)控制

大多數(shù)企業(yè)應(yīng)該想辦法提高預(yù)防性控制和檢測(cè)控制之間的平衡。“在過(guò)去，很多企業(yè)幾乎完全依賴于預(yù)防性控制，而這不是100%有效的，”他解釋說(shuō)，“正因?yàn)榇耍髽I(yè)應(yīng)該同時(shí)利用檢測(cè)控制來(lái)發(fā)現(xiàn)、控制和修復(fù)沒(méi)有預(yù)防的安全事故。”

最終，穩(wěn)定的基于風(fēng)險(xiǎn)管理的安全框架將推動(dòng)這種平衡。