RSA 動員世界頂級保安行政人員制定漸進式風險管理策略

以扭轉令人憂慮的趨勢

EMC旗下信息安全部RSA今天公佈兩項全新調查結果，旨在探討資訊安全和業務創新之間瞬息萬變的關係。首項調查由全球市場研究公司IDC進行，揭示安全與創新之間愈來愈大的分歧，並調查這個趨勢對全球領先企業所造成的業務影響。今日同時公佈的第二項調查，則由保安行政人員所組成的精英團隊，制定業內首個先進的資訊風險管理策略組合，務求收窄此分歧。

RSA總裁Art Coviello表示：「安全與創新之間明顯有著不可分割的聯繫，但組織仍然掙扎如何在推動市場創新，以及建立有效的資訊科技安全措施兩者之間取得合適的平衡。一直以來，安全都是全球的業務問題，這項研究告訴我們，對於今天的高級管理團隊來說，安全問題是最重要的事情。從來沒有一個更好的時機，讓公司進行所需的文化、哲學和技術轉變，以更佳地將安全配合其業務創新策略。」

IDC調查結果揭示了資訊科技安全風險是影響創新發展的一個重要障礙

RSA委託IDC進行一項名為「Innovation and Security: Collaborative or Combative *」的調查，訪問近200名頂尖商界行政人員和安全專家，結果顯示大多數組織認為營造理想的創新環境，是在競爭中保持領先地位的關鍵。但受訪者表示，儘管這是他們最佳的意向，但資訊科技安全風險確實阻礙了業務創新。實際上，80%的受訪者承認他們的組織因為資訊安全問題而放棄了創新機會。

IDC亦發現，儘管80%的行政總裁相信他們的安全團隊為業務增長和創新作出了貢獻，只有44%的保安領導專才認為公司衡量過他們對創新所作出的貢獻。這項發現指出C層管理層的預期與保安專業人員的優先任務缺乏一致性。即使將資訊科技安全策略和業務目標直接聯繫的需要已被廣泛認同，但只有21%的受訪者認為他們的組織已成功地過渡至積極主動的態度，致力配合業務，促進而非阻礙創新發展。

IDC副總裁Chris Christiansen表示：「現今的企業，不能在一個缺乏實踐創新的健康環境下成長。儘管數據顯示我們已取得良好的進展，但創新和安全之間的關係仍然十分緊張。在現實中，創新和安全不一定是相互競爭的優先事項，反而它們實際上是互補的。最後，我們相信那些很早已在業務創新方面配合資訊科技，並為他們的保安團隊訂立了清晰的業務創新衡量標準的組織，擁有更多的機會去實現他們的總體組織目標。」

消除鴻溝：保安領導專才急需風險管理的新方法

RSA今日亦同時發佈了業務創新安全委員會的最新報告，該委員由來自世界各地上最大規模公司的10名資訊安全界頂尖智囊人物組成。這份名為「Mastering the Risk/Reward Equation: Optimizing Information Risks to Maximize Business Innovation Rewards」的報告，探討了為何一直以來的資訊安全風險評估方法，在現今的網絡世界中不再奏效，而在網絡世界中，任何嶄新的業務創新均具有一定程度的資訊風險。由此看來，安全重點必須由只專注在減低風險，延伸到能夠同時把業務回報提升至最高峰。憑藉這些領先安全行政人員集合而成的最佳實務作為基礎，這份報告為計算風險／回報提供了藍本，協助推動業務價值，並確保其被執行和監控，以達致企業成功。

Motorola資訊保安部企業副總裁Bill Boni表示：「任何企業所面對的最大風險，並不是某些資訊的外泄，或是個別平台停止運作，而是公司不能滿足客戶的期望。為取得業務上的優勢，公司必須相信所計算的風險，採取適當的安全措施。」

作為一個重要的起點，這份委員會報告建議對組織的思維和行為作一些轉變，包括：

(1) 將安全團隊的重點從「資訊安全」轉移到「資訊風險管理」，以表明目標是要達到一個可接受的風險水平

(2) 利用跨組織的方法去理解和制定企業的風險偏好。

(3) 建立一個風險假設模型以說明風險決策責任在哪及由誰來承擔

(4) 建立一個可重複的，循序漸進的流程，以對新的業務措施進行風險／回報計算，並確保它能夠在整個企業中展開。

業務創新安全委員會——個人經驗，集體遠見

業務創新安全委員會由全球1000名安全執行人員中的10位成功的Global 1000領導組成，他們將分享他們自己的見解和經驗，以協助全球組織推動資訊安全的發展。

委員會成員包括：

(1) JP摩根大通銀行風險管理董事總經理Anish Bhimani

(2) Motorola資訊保安副總裁Bill Boni

(3) eBay副總裁及首席資訊保安主任 (CISO) Dave Cullinane

(4) EMC副總裁兼首席保安主任(CSO)Roland Cloutier

(5) BP數碼安全副總裁兼首席資訊安全主任(CISO) Paul Dorey博士

(6) Time Warner資訊保安兼隱私副總裁 Renee Guttmann

(7) Genzyme保安部副總裁David Kent

(8) Diageo首席資訊保安主任 (CISO) Claudia Natanson博士

(9) Cigna Corporation首席資訊保安主任 (CISO) Craig Shumard

(10) Novartis安全和合規性資訊科技風險管理主管Andreas Wuchner

企業正嘗試更全面地瞭解風險管理，在評估資訊風險的過程，必須整合至整體資訊風險評估的成果。這份報告亦特別介紹一位企業保安及管理領域的專家Julia Allen之撰文。她來自Carnegie Mellon 大學軟件工程學系CERTR團隊。

今日的報告是業務創新安全委員會發佈的第二份報告。此報告系列中的第一份報告「The Time is Now: Making Information Security Strategic to Business Innovation」於今年較早時發表，為資訊安全對業務創新更具戰略性地提供了七項建議。「Becoming a risk vs. reward expert」是第一份報告中其中一條主要建議，為今日公佈的深入調查結果奠定了基礎。

有興趣了解更多關於業務創新安全委員會報告的人士，可以瀏覽RSA Thought Leadership網站RSA.com/securityforinnovation/，查看及下載這兩份研究報告。

方法

IDC的調查為評估資訊科技安全對業務創新的影響而設計。今天發佈的IDC白皮書「Innovation and Security: Collaborative or Combative」總結了調查結果。此項調查由IDC在網上進行，並於2008年第二季度進行有關的數據收集和分析。調查根據受訪者在資訊科技安全中的直接參與程度進行篩選，包括高級管理層和營業經理。經過篩選後，約有200人符合條件，並完成了這項調查。

§ 80%受訪公司收入為1億美元或以上

§ 73%受訪者的職位是副總裁行執人員或更高職位

§ 60%受訪公司的僱員規模超過500人

§ 73% 參與者來自北美，14%來自英國，2%來自英國，6%來自澳洲及5%來自其他國家

RSA對委員會的所有成員進行了深入的單對單訪問，在此基礎上編著每一份業務創新安全委員會的報告。這些報告反映了10個世界上最具創新精神和最成功的安全領袖，其經驗、最佳實務和深入見解。他們所提供的觀點將推動整個行業的進步，以取得更大的成就。RSA期望在未來幾個月中，能發佈更多的原創委員會報告。