2014年企业改善IT风险管理的5个办法

进入新的一年，企业面对数据泄密事故、日益复杂的攻击和对其控制的持续监管，现在是时候重新审视其风险管理战略了。虽然每个企业都是独特的，风险管理专家认为有些风险管理办法值得企业关注。下面我们列出了5个风险管理办法，风险管理者可以在新的一年利用这些办法来改善其风险管理：

No.1：改善第三方风险管理

随着第三方导致的越来越多的数据泄露和安全事故见诸报端，企业和监管机构开始关注供应商及合作伙伴带来的风险。根据Qualys公司首席安全官Andrew Wild表示，在今年，第三方风险管理将是IT风险专业人士需要关注的关键领域。

“对于第三方的日益增长的依赖，企业需要一个成熟的第三方风险管理机制来确保风险得到控制、评估和管理，”Wild在谈到美国货币监理局针对银行业金融机构提出的新的监管要求时表示，“然而，没有监管或合规要求的企业正面临着越来越多客户对第三方风险管理的更严格的审查。”

No.2：调整风险管理以获得更大的灵活性和响应度

有针对性的隐形攻击将继续推动安全从业人员改变应对攻击的办法。

Coalfire公司首席安全战略官Rich Dakin表示：“这些有针对性攻击带来的伤害将足以让企业从静态边界保护和基于访问控制的安全做法，转移到动态的做法，即每天分析新的威胁和风险，并进行升级、更新和系统变更。”

当然，这意味着风险分析需要超越简单的年度风险评估，风险管理人员需要作出有意义的计算来推动对IT基础设施和流程的决策。企业不仅需要寻求更好的办法来将实时信息整合到风险评估，而且还需要想办法来更快地调整现有技术以响应评估结果，而不是简单地购买新设备。

CyberArk Software公司咨询服务主管GerrIT Lansing表示：“企业总是认为他们需要新的控制来解决后续风险，但很多时候，他们可以调整现有控制来解决新的风险。”

No.3：使用更多的数据来评估风险

更好的风险评估需要更多的数据。从安全技术和IT基础设施挖掘出的数据对风险评估非常重要，“很多企业没有利用其环境中存在的事实和数据，”Bringa公司首席执行官Amad Fida表示，“他们错过了分析和关联这些安全数据与他们部署的控制的机会。”

No.4：与业务用户协作，以确保更全面的风险管理

安全从业人员早就强调了IT安全做法和业务之间需要更好地协调。MetricStream公司副总裁Yo Delmar表示，这首先需要企业内部外部的风险管理者与业务用户之间对风险管理过程更好的协作。

“从本质上讲，风险、合规和安全功能将涉及防御前线的业务用户、供应商、加盟商等，”Delmar表示，并解释说，这意味着要为这些用户的广泛用途提供一个风险管理平台，“风险管理将越来越多地与绩效管理结合，将成为企业用户的行动‘点’。例如，如果一家公司正在与高风险供应商合作，企业不仅需要对该供应商定期进行评估，还应该系统地将性能指标和续约谈判与该供应商的风险评估紧密结合。”

No.5：平衡预防性控制与检测控制

大多数企业应该想办法提高预防性控制和检测控制之间的平衡。“在过去，很多企业几乎完全依赖于预防性控制，而这不是100%有效的，”他解释说，“正因为此，企业应该同时利用检测控制来发现、控制和修复没有预防的安全事故。”

最终，稳定的基于风险管理的安全框架将推动这种平衡。