IDC：IT信息风险 阻碍80%组织业务创新

10月1号，RSA（EMC信 息安全事业部）发布了最新的两项权威报告，分别名为“创新和安全：合作还是斗争”与“掌握风险/回报方程式：优化信息风险，最大化业务创新回报”。旨在探 讨信息安全和业务创新之间多变的关系，以及有效的解决方法，为全球企业提供一种普遍的可借鉴的管理思路。

在RSA的支持下，全球性市场调研公司IDC的得出了第一项报告，揭示了安全和创新 间存在着扩大化的鸿沟，并调查了安全与创新的分离对全球领先公司所造成的业务影响。同期发布的第二项研究，则挑选了由众多安全执行官组成的精英团体，进一 步探讨如何有效消除安全与创新的差距，并定义了首个行业内先进的信息风险管理策略组合。

RSA总裁亚瑟·科维洛表示，业务创新已成为业务发展战略的重要组成部分，以及企业 保持竞争优势的决定性因素。信息风险和业务创新间存在着密不可分的关系，企业在向市场推出新的创新时，必然面临着新的安全风险。如何在业务创新和建立有效 的IT安全实践间取得平衡是个难题。如今，IT安全问题越发重要，已升级为全球性的业务问题；对于企业高级管理团队来说，IT安全问题已成为最重要的事 情；对于企业而言，也是进行文化、技术转变的最好时机，以更好地将企业IT安全和业务创新战略同步。

IT信息风险，创新的巨大障碍

第一份报告“创新和安全：合作还是斗争”，是通过对近200名顶级业务执行官和安全专家在线调查得出的。目的是衡量信息安全机制对业务创新的影响程度，并且研究是否有方法可以调和二者的关系。

为了保证调查结果的公正性与代表性，近200名被调查者都经过RSA的精心筛选。其中，80%受调查公司收入在1亿美元之上；73%受调查者的职位是副总裁执行官或更高职位；60%受调查公司的雇员规模超过了5000名。

调查显示，大多数企业认为，理想的创新环境对在竞争中保持领先地位非常重要。但受访 者普遍认为，IT信息风险已成为业务创新单一的最大抑制因素。实际上，高达80%的受调查者承认，企业曾因信息风险问题而放弃新的创新机会。对于企业而 言，信息风险管理与业务创新似乎是水火不相容的关系。

尽管IT信息风险对于业务创新的影响巨大，但企业对于信息安全部门的重视明显不足。 IDC发现，尽管80%的CEO认为安全团队为业务增长和创新做出了贡献，但只有44%的安全领导认为企业对他们为创新做出的贡献进行了衡量。表明在C层 管理层的预期和安全专业人员的优先次序之间缺乏一种同步。且仅有部分企业采取一种积极的态度以平衡二者的关系，调查显示，只有21%的受调查者认为企业已 成功过渡到信息风险管理积极主动和业务同步，促进而非阻碍着创新的开展。

IDC副总裁ChrisChristiansen表示，创新和安全之间的关系尽管已 取得了一些进展，但依然不容乐观。正确的观念是创新和安全是互补关系，而不是相互竞争。企业在业务创新过程中，应该兼顾IT信息风险，并为企业安全团队布 置足够清晰的业务创新衡量标准，将有助于企业在实现总体目标方面更具竞争力。

消除鸿沟，亟需风险管理新方法

尽管业务创新与IT安全风险之间的鸿沟正渐渐扩大，形势不容乐观。但事实上，业务创 新与IT信息风险的矛盾并非不可调和。如何在消除IT信息风险的同时，实现业务创新，也是摆在世界领先企业的信息安全官面前的难题。全球企业亟需一种有效 的信息风险管理方法，以阻止鸿沟的继续扩大。第二项报告则提供了行之有效的解决方法。

在RSA的组织下，业务创新安全委员会发布了名为“掌握风险/回报方程式：优化信息风险，最大化业务创新回报”的报告，以协助全球企业推动信息安全的发展。业务创新安全委员会由全球1000名安全执行官中的10个高度成功的领袖人物组成，委员会成员包括：

Anish Bhimani，JP摩根大通银行IT风险管理副总裁；

BillBoni，摩托罗拉副总裁兼首席安全官；

DaveCullinane，易趣副总裁兼首席信息安全官；

RolandCloutier，EMC副总裁兼首席安全官；

Dr.PaulDorey，BP副总裁兼数字安全及首席信息安全官；

ReneeGuttmann，时代华纳副总裁；

DavidKent，健赞副总裁；

Dr.ClaudiaNatanson，帝亚吉欧首席信息安全官；

CraigShumard，信诺公司首席信息安全官；

AndreasWuchner，诺华公司IT风险管理及安全与法规遵从领导。

信息安全官普遍认为，任何新的业务创新天生具有一定程度的信息风险。安全的重点是在降低信息风险的同时，实现业务回报最大化。在报告中，这些世界顶级安全执行官还提供了各自的最佳实践，以供参考。

其中，摩托罗拉信息安全保护部副总裁BillBoni认为，企业所存在的最大风险， 不是某一特定的信息被泄露，或特定的平台发生瘫痪，而是企业的创新能力不能满足客户的预期需求。因不满足业务需求而产生的安全成本，不是制裁或罚款，也不 是知识产权的损失或其他犯罪行为，而是没能力适应客户的需求并做出响应。因此，信息风险必须经过精确计算，才能真正实现企业的商业优势。

同时，这份委员会报告建议企业的思维和行为应作一些转变，包括：

1.) 将安全团队的重点从“信息安全”转移到“信息风险管理”，其目标是达到一个可接受的风险水平；

2.) 使用一种跨组织的方法来理解和标准化企业的风险偏好；

3.) 建立一个风险假设模型以说明风险决策责任由谁来承担；

4.) 创立一个可重复的，循序渐进的流程，以对新的业务举措进行风险/回报计算，并确保它能够在整个企业中展开。

这份报告的意义在于，为企业实施风险/回报公式的计算提供了蓝图，有助于企业更好地 驱动业务价值，并确保得到有效执行和控制，最终使企业走向成功。当企业尝试更加全面的看待风险管理时，信息风险评估也必须纳入到所有的风险管理工作中。因 此，报告还采用了来自于JuliaAllen的文献，其是卡内基梅隆大学的CERT®(计算机网络安全事件应急小组)企业安全和管理领域的主要研究员之 一。

此次报告是业务创新安全委员会发布的第二份报告。第一份报告“就是现在：制定信息安 全战略进行业务创新”发布于今年早期，为信息安全对业务创新更具战略性提供了七条建议。“成为风险对比回报的专家”是在第一份报告中概述的主要建议之一， 也为此次公布的深度调查结果奠定了基础。

未经允许不得转载：DOIT » IDC：IT信息风险 阻碍80%组织业务创新