风险管理并不是拿螺丝刀就能解决的。
本刊记者 李楠
北京一家软件企业很早就有了风险管理意识,比如把研发部门所有台式机的机箱都额外封加一个外壳,所有USB接口也都封锁,所有研发人员只能登录内网,不能浏览外网。“即使更换一个电脑鼠标,也必须告诉公司的IT部门,会有专门人员来进行更换。”在这家公司研发部门做了3年的王先生告诉记者,“公司内部为此还流传过一个笑话,新同事需要换鼠标,等IT部同事拿着螺丝刀三下五除二撬开外壳换好以后,新同事嘟囔了一句,“用螺丝刀一撬就开,也不安全啊!’,结果那IT部的同事嘿嘿笑着回了一句,‘可螺丝刀,你有么?’” 这个“螺丝刀”的故事,从安全角度反应出了这家公司的企业文化—不太信任员工。IBM(www.ibm.com.cn)治理与风险管理战略总监KristineLovejoy前不久在一次“IT治理峰会”上也提到,“从安全的角度看,企业的风险管理容易陷入两个极端,要么充分相信员工,所有的信息资源都共享;要么就是一点都不信任员工。”而从风险管理的实质来看,这些都非IT治理的初衷,风险管理和安全管理做到恰如其分,就会使企业业务流程更加自动化和有效。对现在的市场而言,推动任何一项技术和理念,技术足够经得起考验的同时,更加需要的是企业背后一种文化的改变。“成功的IT治理,很重要的一点就是需要用户本身的配合。”康明斯公司IT经理邓志超告诉《互联网周刊》。康明斯目前已经成功采用了IBM整套IT治理服务,但邓志超认为选择IBM提供的IT治理方案并非企业内部有什么急待解决的痛处,“只是业务流程需要改变,IT管理也需要及时更新。针对业务流程改造,企业就必须时刻存有风险管理意识。” Kristine就遇到过这样一件事情,在参观一家客户的数据中心时,她吃惊地发现这家客户把路由器随意放在衣架旁边,“我当时就在想,为什么他们不把这些重要的、有可能会出现安全问题的设备监管起来呢?”这也说明,很多企业还并没有对企业的安全或者风险管理引起重视,“所以企业内部的风险往往都是来自内部成员没有很好的遵循内部规范。”据研究统计表明,差不多有85%的安全或风险问题,都来自于企业内部,而其中很大一部分都是来自于企业内部跟IT相关的管理。Kristine提到的IT治理方案是希望可以帮助客户评估风险,然后作出分级,同时下一步可以帮助企业推出相应的方案,包括从企业内部,从用户的识别到应用,到基础架构等,然后对相应部门的人员提供相应的帮助。这些都是IBM服务体系更加完善后所承诺要带给用户的全新IT治理。 而对于IBM而言,有了安全产品的加入,这个IT巨头在未来为企业提供的服务体系无疑将更加生态链化,从2007年年初收购安全和法规性遵从管理公司Consul,加强了Tivoli在法规遵从方面的能力;到不久前完成了对网络应用安全公司Watchfire的收购,使Rational更加锦上添花;以及继前不久国外媒体《红鲱鱼》有关明年IBM在安全领域15亿美元投入数额的报道,2007年11月底,在“2007IBM亚太区IT治理与风险管理峰会”上,IBM在中国正式宣布了此消息。另一方面,新兴市场的扩充也不可避免的带来安全风险问题—怎样规避这些风险,你的企业风险管理是不是也要开始启动。