消除鸿沟，亟需风险管理新方法

    尽管业务创新与IT安全风险之间的鸿沟正渐渐扩大，形势不容乐观。但事实上，业务创新与IT信息风险的矛盾并非不可调和。如何在消除IT信息风险的同时，实现业务创新，也是摆在世界领先企业的信息安全官面前的难题。全球企业亟需一种有效的信息风险管理方法，以阻止鸿沟的继续扩大。第二项报告则提供了行之有效的解决方法。

    在RSA的组织下，业务创新安全委员会发布了名为"掌握风险/回报方程式：优化信息风险，最大化业务创新回报"的报告，以协助全球企业推动信息安全的发展。业务创新安全委员会由全球1000名安全执行官中的10个高度成功的领袖人物组成，委员会成员包括：

        Anish Bhimani，JP摩根大通银行IT风险管理副总裁；                 
    Bill Boni，摩托罗拉副总裁兼首席安全官；
    Dave Cullinane，易趣副总裁兼首席信息安全官；
    Roland Cloutier，EMC副总裁兼首席安全官；
    Dr. Paul Dorey，BP副总裁兼数字安全及首席信息安全官；
    Renee Guttmann，时代华纳副总裁；
    David Kent，健赞副总裁；
    Dr. Claudia Natanson，帝亚吉欧首席信息安全官；
    Craig Shumard，信诺公司首席信息安全官；
    Andreas Wuchner，诺华公司IT风险管理及安全与法规遵从领导。

    信息安全官普遍认为，任何新的业务创新天生具有一定程度的信息风险。安全的重点是在降低信息风险的同时，实现业务回报最大化。在报告中，这些世界优异安全执行官还提供了各自的非常好的实践，以供参考。

    其中，摩托罗拉信息安全保护部副总裁Bill Boni认为，企业所存在的最大风险，不是某一特定的信息被泄露，或特定的平台发生瘫痪，而是企业的创新能力不能满足客户的预期需求。因不满足业务需求而产生的安全成本，不是制裁或罚款，也不是知识产权的损失或其他犯罪行为，而是没能力适应客户的需求并做出响应。因此，信息风险必须经过精确计算，才能真正实现企业的商业优势。

    同时，这份委员会报告建议企业的思维和行为应作一些转变，包括：
    1.) 将安全团队的重点从"信息安全"转移到"信息风险管理"，其目标是达到一个可接受的风险水平；
    2.) 使用一种跨组织的方法来理解和标准化企业的风险偏好；
    3.) 建立一个风险假设模型以说明风险决策责任由谁来承担；
    4.) 创立一个可重复的，循序渐进的流程，以对新的业务举措进行风险/回报计算，并确保它能够在整个企业中展开。

    这份报告的意义在于，为企业实施风险/回报公式的计算提供了蓝图，有助于企业更好地驱动业务价值，并确保得到有效执行和控制，最终使企业走向成功。当企业尝试更加全面的看待风险管理时，信息风险评估也必须纳入到所有的风险管理工作中。因此，报告还采用了来自于Julia Allen的文献，其是卡内基梅隆大学的CERT?(计算机网络安全事件应急小组)企业安全和管理领域的主要研究员之一。

    此次报告是业务创新安全委员会发布的第二份报告。第一份报告"就是现在：制定信息安全战略进行业务创新"发布于今年早期，为信息安全对业务创新更具战略性提供了七条建议。"成为风险对比回报的专家"是在第一份报告中概述的主要建议之一，也为此次公布的深度调查结果奠定了基础。