企業(yè)要上云備受數(shù)據(jù)丟失威脅，怎么做防范系統(tǒng)？

任何行業(yè)都無法避免這個(gè)問題，數(shù)據(jù)一旦泄露，在今天的數(shù)字世界，是非常嚴(yán)重和非?，F(xiàn)實(shí)的威脅。在國外一些地區(qū)，僅在醫(yī)學(xué)領(lǐng)域，客戶數(shù)據(jù)如果丟失，要承擔(dān)違約責(zé)任，甚至超過醫(yī)療事故的成本。 不過，保護(hù)數(shù)據(jù)、減少數(shù)據(jù)破壞的概率和影響的核心，是基于風(fēng)險(xiǎn)管理能力的提升。下面教你幾招。

01

Dec/2015

雖然很多企業(yè)已經(jīng)認(rèn)識(shí)到風(fēng)險(xiǎn)評(píng)估和管理的需要，還有傾向于把風(fēng)險(xiǎn)評(píng)估和管理同來做。 不過，要使一個(gè)風(fēng)險(xiǎn)管理計(jì)劃真正發(fā)揮作用，需要做好下面幾件事情:

1.企業(yè)級(jí)風(fēng)險(xiǎn)管理實(shí)踐。 從定位上來說，這個(gè)風(fēng)險(xiǎn)管理團(tuán)隊(duì)，需要是一個(gè)獨(dú)立的和得到授權(quán)的部門。并且需要在CXO級(jí)別進(jìn)行操作，意思是這個(gè)部門要和業(yè)務(wù)部門處于同等重要的位置。

2.IT級(jí)別的風(fēng)險(xiǎn)管理實(shí)踐。 這個(gè)團(tuán)隊(duì)要專注于研發(fā)、應(yīng)用適用于自身企業(yè)的應(yīng)用程序和測試風(fēng)險(xiǎn)管理框架，以及相關(guān)的控制與框架。

3.經(jīng)過認(rèn)證的、合格的風(fēng)險(xiǎn)管理專業(yè)人士。 目前來說，已經(jīng)有幾個(gè)行業(yè)認(rèn)證，比如CRISC(認(rèn)證和信息系統(tǒng)風(fēng)險(xiǎn)控制)和CRMP(注冊(cè)風(fēng)險(xiǎn)管理專業(yè))。慮到網(wǎng)絡(luò)安全已經(jīng)成為移動(dòng)互聯(lián)網(wǎng)時(shí)代運(yùn)營最重要的前提，公司需要給他們上大量的繼續(xù)教育培訓(xùn)課程，這是至關(guān)重要的。

其實(shí)，我們可以看到大部分企業(yè)只是采用了以上部分方法，很少能夠全部做到。

02

Dec/2015

風(fēng)險(xiǎn)評(píng)估沒必要當(dāng)作一個(gè)保密的事情來做。 一旦風(fēng)險(xiǎn)已經(jīng)確定，他們只能選擇下面這四種處理方式之一，具體選擇哪個(gè)，這取決于每個(gè)風(fēng)險(xiǎn)因素與對(duì)應(yīng)的業(yè)務(wù)的關(guān)聯(lián)性:

1.接受風(fēng)險(xiǎn)。 這適合于低概率和低風(fēng)險(xiǎn)的情況。

2.避免風(fēng)險(xiǎn)。舉個(gè)形象的例子來說，比如病人對(duì)醫(yī)生說：“因?yàn)槭裁丛?，我的胳膊受傷了?”醫(yī)生會(huì)說：“你不要這樣做就不會(huì)了?！?企業(yè)風(fēng)險(xiǎn)也是一樣，企業(yè)不應(yīng)該做具有風(fēng)險(xiǎn)性的業(yè)務(wù)，或者是不符合他們主要任務(wù)的，或者是不擅長的專業(yè)領(lǐng)域。 這是適合高概率和高風(fēng)險(xiǎn)的情況。

3.轉(zhuǎn)移風(fēng)險(xiǎn)。 這是適合風(fēng)險(xiǎn)概率較低但風(fēng)險(xiǎn)很高的情況。舉個(gè)例子來說就是，公司可以把風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)公司，或者類似外包的高資本或高專業(yè)性行業(yè)，如數(shù)據(jù)中心服務(wù)。

4.減輕風(fēng)險(xiǎn)。 這種方法適用于高概率但相對(duì)較低風(fēng)險(xiǎn)的情況。 此外，如果你碰巧是一個(gè)服務(wù)提供者，其他公司轉(zhuǎn)移風(fēng)險(xiǎn)給你(如數(shù)據(jù)中心供應(yīng)商)，那么你作為承擔(dān)風(fēng)險(xiǎn)的最后一站，你必須找到方法來減輕它。

顯然，從風(fēng)險(xiǎn)因素的判斷，再到采取適當(dāng)?shù)男袆?dòng)，是一個(gè)復(fù)雜的過程，涉及風(fēng)險(xiǎn)管理知識(shí)、風(fēng)險(xiǎn)管理技術(shù)、業(yè)務(wù)關(guān)聯(lián)性分析，以及供應(yīng)商能力分析等精算數(shù)據(jù)等。

話說回來，無論是接受風(fēng)險(xiǎn)還是避免它，都不會(huì)幫助你的企業(yè)更成功。主動(dòng)防御而不是被動(dòng)防范才是關(guān)鍵。怎么做？就是，覆蓋盡可能多的漏洞。

另一方面，許多企業(yè)意識(shí)到，他么實(shí)際上并沒有那么多員工、時(shí)間或錢，分配給風(fēng)險(xiǎn)管理這個(gè)部分。 這些是最大的障礙，還有公司內(nèi)部一些問題，比如會(huì)引起部門間的利益矛盾。 因此，上面第從四個(gè)選項(xiàng)，是現(xiàn)在最受歡迎的選擇，將風(fēng)險(xiǎn)轉(zhuǎn)嫁給別人，這樣就可以完全緩解風(fēng)險(xiǎn)了。

這么做的最大好處是，外包的方式是最具成本效益的選擇，對(duì)比來說，認(rèn)證的風(fēng)險(xiǎn)管理專業(yè)人員和獲得認(rèn)證的費(fèi)用非常高，還有公司要提供的培養(yǎng)時(shí)間、資源等間接成本。因此有問題時(shí)，管理者總是建議將責(zé)任轉(zhuǎn)移到更有效地降低風(fēng)險(xiǎn)的方式。

03

Dec/2015

值得注意的是，在你要搭建一個(gè)真正管用的風(fēng)險(xiǎn)管理系統(tǒng)之前，你需要評(píng)估的是你現(xiàn)在所處的行業(yè)環(huán)境， 而不是試圖評(píng)估自己公司的情況。重要的是，你雇傭的第三方可以不遺余力地，苛求每個(gè)細(xì)節(jié)地完成風(fēng)險(xiǎn)評(píng)估業(yè)務(wù)。完全掌握風(fēng)險(xiǎn)知識(shí)將是你公司發(fā)展的一個(gè)優(yōu)勢；你知道的越多，越能降低風(fēng)險(xiǎn)。

第二個(gè)需要你做決定的是，是打算花錢自己建立風(fēng)險(xiǎn)部門，并且花一些精力在公司內(nèi)部利益管理上，還是你想通過外包的方式來轉(zhuǎn)移風(fēng)險(xiǎn)。

當(dāng)然，無論你是如何選擇的，你都是要盡可能的把資源放在減少漏洞上。

總結(jié)來說，作為一個(gè)企業(yè)管理者，意識(shí)不到風(fēng)險(xiǎn)管理的重要性、或者不懂得如何進(jìn)行風(fēng)險(xiǎn)管理的后果是可怕的，不僅無法吸引到高質(zhì)量的人才，還會(huì)破壞公司的名聲和業(yè)務(wù)信譽(yù)。

最后一問：你是合格的風(fēng)險(xiǎn)防范者嗎?

注：文章翻譯自networkworld

作者Rich Banta

譯者：許冬琦

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。