RSA號召世界頂尖安全執行長,規畫風險管理策略扭轉恐懼趨勢
EMC公司(NYSE: EMC)訊息安全事業部門-RSA,今天公佈兩項最新研究成果顯示,企業裡的IT安全風險阻礙了業務創新,甚至於有80%受訪者表示,他們的企業因為IT安全而放棄了創新的機會,由此不難想見維護IT安全的重要性。
為了深入瞭解資訊安全和業務創新之間的緊繃關係,RSA委託全球資訊科技、電信及消費科技產業的專業市場分析公司IDC(國際數據資訊)進行兩項研究調查,第一項調查目的是為了瞭解IT安全和業務創新之間產生了何種分歧,並調查這樣的情形是否對領先全球的公司的業務發展造成任何影響;另一項研究則是針對將近兩百名IT安全主管及安全專家組成的精英團體,希望能以先進的資訊風險管理策略組合,來消除IT安全和業務創新之間的分歧。
「事實上,安全和創新之間存在著密不可分的關係,組織也仍然為如何在市場推出創新和建立有效的IT安全規畫間,取得適當的平衡而掙扎著。」RSA總裁Art Coviello說,「長久以來,IT安全一直是全球性產業都需要面對的問題,這項研究告訴我們,對於今天的高階管理團隊來說,安全問題是最重要的事情;再也沒有更好的時機是當公司進行文化、哲學和技術上的轉變時,能與安全和業務創新策略齊頭並進」。
IDC調查顯示:IT安全風險是值得注意的創新障礙
受到RSA的委託,IDC針對200名企業高階主管和安全專家進行「創新和安全:合作還是鬥爭」*調查後結果顯示,大多數組織認為創造適合從事業務創新的環境,對在競爭中保持領先地位來說非常重要。不過受訪者表示,儘管這是他們一致的看法,但IT安全風險確實阻礙了業務創新。實際上,80%的受訪者承認他們的組織,因為資訊安全問題而放棄了創新機會。
IDC還發現,儘管80%的CEO們,相信自己的安全團隊,已為增加業績和業務創新做出了貢獻,但卻只有44%的安全主管人員相信公司瞭解他們為創新所做出的貢獻。這個發現顯示,CEO們和專業安全人員的期望有落差。儘管大家都認可需要把IT安全策略和業務創新的目標串連在一起,但只有21%的受訪者認為他們的組織已經成功轉變成可以同時積極主動和業務同步,促進而非阻礙業務創新發展。
「如果缺少一種實現創新的健康環境,現今的企業就不可能獲得成長」IDC副總裁Chris Christiansen說,「很明顯的,儘管取得了一些好的進展,但創新和安全之間的關係仍然十分緊張。事實是創新和安全不需要相互競爭;它們是可以互補的。最後,我們相信那些很早在業務創新活動中將IT包含進來,並為他們的安全團隊佈置了清晰的業務創新衡量標準的組織,具有更多的機會去實現他們的總體組織目標。」
消除鴻溝:安全主管人員急需風險管理的新方法
RSA今天同時發佈了業務創新安全委員會的最新報告,這個委員會由10名來自全球各地知名企業的頂尖資訊安全人才組成。這份名為「掌握風險/回報方程式:優化資訊風險,最大化業務創新回報」的報告,討論了為什麼前人留下來的資訊安全風險評估方法不能在今天網路發達的世界中使用。在現今網路發達的世界中,任何業務創新都具有一定程度上的資訊風險。從這個角度上來講,安全的重點必須要從僅作減緩風險轉移到同時能夠獲得業務上的最大報酬率。在這些頂尖安全執行長精選的最佳實踐基礎上,這份報告為風險/回報的計算提供了藍圖,有助於驅動業務價值,並確保他們能夠執行和控制,以使企業走向成功。
「在現今的時代,任何企業要面對的最大風險並不是某一個特定的資訊被洩露出去,或特定的平台發生癱瘓,而是公司不能滿足客戶的預期」,摩托羅拉資訊安全和保護部門公司副總裁Bill Boni說,「為了達成業務利益,公司必須去計算風險和相信安全評估是適合他們的」。
作為一個重要的起點,這份委員會報告建議對組織的思維和行為作一些重點轉變,包括:
(1) 將安全團隊的重點從「資訊安全」轉移到「資訊風險管理」,其目標是建立一個可接受的風險水準 。
(2) 使用一種跨組織的方法來理解和標準化企業的風險偏好。
(3) 建立一個風險假設模型來說明風險決策責任在哪,由誰來承擔。
(4) 建立一個可重複的,循序漸進的流程,以對新的業務措施進行風險/回報計算,並確保它能夠在整個企業中展開。
業務創新安全委員會——個人經驗,集體遠見
業務創新安全委員會是由全球1,000名安全執行長中的10位傑出人士組成,他們分享他們各自的見解和經驗,以協助全球組織推動資訊安全的發展。
委員會成員包括:
(1) Anish Bhimani, JP摩根大通銀行風險管理部門董事總經理。
(2) Bill Boni, 摩托羅拉公司資訊安全和保護部門副總裁。
(3) Dave Cullinane, eBay副總裁和CISO。
(4) Roland Cloutier, EMC 公司副總裁,CSO。
(5) Dr. Paul Dorey, BP 數位安全部門副總裁和CISO。
(6) Renee Guttmann, 時代華納資訊安全部門副總裁。
(7) David Kent, 健贊安全部副總裁。
(8) Dr. Claudia Natanson, 帝亞吉歐,CISO
(9) Craig Shumard, 信諾公司,CISO
(10)Andreas Wuchner, 諾華公司. IT風險管理管理,安全和法規遵從。
如同企業試圖全面性考慮風險管理,對資訊風險評估的過程也必須和所有風險一樣,要去評估努力的成果。。這份報告中也有提到Julia Allen,這位來自卡內基美隆大學軟體工程研究中心電腦網路處理中心的企業安全研究與管理專家。
今天的報告是業務創新安全委員會發佈的第二份報告。系列報告中的第一份報告「就是現在:制定資訊安全策略進行業務創新」發佈於今年稍早時候,為資訊安全比業務創新更具戰略性,提供了七條建議。「成為風險評估專家」是在第一份報告概述中的一條主要建議,這份報告也為今日公佈的深度調查結果奠定了基礎。
有興趣瞭解更多關於業務創新安全委員會報告的讀者,可以訪問RSA思想領袖的網站RSA.com/securityforinnovation/,以查看和下載這兩份研究報告。
研究方法
IDC的調查目的在評估IT安全對業務創新的影響,調查結果公佈在今天發佈的IDC白皮書「創新和安全:合作還是鬥爭」裡。這項調查是由IDC透過網路執行,並在2008年第二季進行了資料收集和分析。經篩選過的受訪者都是直接參與IT安全工作,包括高階管理和業務線的經理。經過篩選大約有200人符合條件,並完成了這項調查。
受訪者身份:
(1)80%受訪者的公司營收超過1億美元以上
(2)73%受訪者的職位是執行副總裁或更高職位
(3)60%受訪者的公司職員超過5,000名
(4)73% 參與者來自北美; 14%來自英國; 2%來自印度; 6%來自澳大利亞,5%來自其他國家
完整的IDC白皮書「創新和安全:合作還是鬥爭」可以從此處下載和查看
RSA對委員會的所有成員還進行了深入的,一對一訪談,以此為基礎編著了每一份業務創新安全委員會的報告。這些報告反映了由10位世界上最具創新精神和最成功的安全領域領導人士,精選出來的經驗教訓、最佳實踐過程和深度見解。他們所提供的觀點將更有利於推動整個行業獲取更大的發展。RSA期待著在接下來的幾個月中能發佈更多委員會的原創報告
所有現有的業務創新安全委員會報告可以從這裏下載和查看。
沒有留言:
張貼留言