企業(yè)要上云備受數(shù)據(jù)丟失威脅，怎么做防范系統(tǒng)？

任何行業(yè)都無法避免這個問題，數(shù)據(jù)一旦泄露，在今天的數(shù)字世界，是非常嚴重和非?，F(xiàn)實的威脅。在國外一些地區(qū)，僅在醫(yī)學(xué)領(lǐng)域，客戶數(shù)據(jù)如果丟失，要承擔(dān)違約責(zé)任，甚至超過醫(yī)療事故的成本。 不過，保護數(shù)據(jù)、減少數(shù)據(jù)破壞的概率和影響的核心，是基于風(fēng)險管理能力的提升。下面教你幾招。

01

Dec/2015

雖然很多企業(yè)已經(jīng)認識到風(fēng)險評估和管理的需要，還有傾向于把風(fēng)險評估和管理同來做。 不過，要使一個風(fēng)險管理計劃真正發(fā)揮作用，需要做好下面幾件事情:

1.企業(yè)級風(fēng)險管理實踐。 從定位上來說，這個風(fēng)險管理團隊，需要是一個獨立的和得到授權(quán)的部門。并且需要在CXO級別進行操作，意思是這個部門要和業(yè)務(wù)部門處于同等重要的位置。

2.IT級別的風(fēng)險管理實踐。 這個團隊要專注于研發(fā)、應(yīng)用適用于自身企業(yè)的應(yīng)用程序和測試風(fēng)險管理框架，以及相關(guān)的控制與框架。

3.經(jīng)過認證的、合格的風(fēng)險管理專業(yè)人士。 目前來說，已經(jīng)有幾個行業(yè)認證，比如CRISC(認證和信息系統(tǒng)風(fēng)險控制)和CRMP(注冊風(fēng)險管理專業(yè))。慮到網(wǎng)絡(luò)安全已經(jīng)成為移動互聯(lián)網(wǎng)時代運營最重要的前提，公司需要給他們上大量的繼續(xù)教育培訓(xùn)課程，這是至關(guān)重要的。

其實，我們可以看到大部分企業(yè)只是采用了以上部分方法，很少能夠全部做到。

02

Dec/2015

風(fēng)險評估沒必要當作一個保密的事情來做。 一旦風(fēng)險已經(jīng)確定，他們只能選擇下面這四種處理方式之一，具體選擇哪個，這取決于每個風(fēng)險因素與對應(yīng)的業(yè)務(wù)的關(guān)聯(lián)性:

1.接受風(fēng)險。 這適合于低概率和低風(fēng)險的情況。

2.避免風(fēng)險。舉個形象的例子來說，比如病人對醫(yī)生說：“因為什么原因，我的胳膊受傷了。 ”醫(yī)生會說：“你不要這樣做就不會了。” 企業(yè)風(fēng)險也是一樣，企業(yè)不應(yīng)該做具有風(fēng)險性的業(yè)務(wù)，或者是不符合他們主要任務(wù)的，或者是不擅長的專業(yè)領(lǐng)域。 這是適合高概率和高風(fēng)險的情況。

3.轉(zhuǎn)移風(fēng)險。 這是適合風(fēng)險概率較低但風(fēng)險很高的情況。舉個例子來說就是，公司可以把風(fēng)險轉(zhuǎn)移給保險公司，或者類似外包的高資本或高專業(yè)性行業(yè)，如數(shù)據(jù)中心服務(wù)。

4.減輕風(fēng)險。 這種方法適用于高概率但相對較低風(fēng)險的情況。 此外，如果你碰巧是一個服務(wù)提供者，其他公司轉(zhuǎn)移風(fēng)險給你(如數(shù)據(jù)中心供應(yīng)商)，那么你作為承擔(dān)風(fēng)險的最后一站，你必須找到方法來減輕它。

顯然，從風(fēng)險因素的判斷，再到采取適當?shù)男袆?，是一個復(fù)雜的過程，涉及風(fēng)險管理知識、風(fēng)險管理技術(shù)、業(yè)務(wù)關(guān)聯(lián)性分析，以及供應(yīng)商能力分析等精算數(shù)據(jù)等。

話說回來，無論是接受風(fēng)險還是避免它，都不會幫助你的企業(yè)更成功。主動防御而不是被動防范才是關(guān)鍵。怎么做？就是，覆蓋盡可能多的漏洞。

另一方面，許多企業(yè)意識到，他么實際上并沒有那么多員工、時間或錢，分配給風(fēng)險管理這個部分。 這些是最大的障礙，還有公司內(nèi)部一些問題，比如會引起部門間的利益矛盾。 因此，上面第從四個選項，是現(xiàn)在最受歡迎的選擇，將風(fēng)險轉(zhuǎn)嫁給別人，這樣就可以完全緩解風(fēng)險了。

這么做的最大好處是，外包的方式是最具成本效益的選擇，對比來說，認證的風(fēng)險管理專業(yè)人員和獲得認證的費用非常高，還有公司要提供的培養(yǎng)時間、資源等間接成本。因此有問題時，管理者總是建議將責(zé)任轉(zhuǎn)移到更有效地降低風(fēng)險的方式。

03

Dec/2015

值得注意的是，在你要搭建一個真正管用的風(fēng)險管理系統(tǒng)之前，你需要評估的是你現(xiàn)在所處的行業(yè)環(huán)境， 而不是試圖評估自己公司的情況。重要的是，你雇傭的第三方可以不遺余力地，苛求每個細節(jié)地完成風(fēng)險評估業(yè)務(wù)。完全掌握風(fēng)險知識將是你公司發(fā)展的一個優(yōu)勢；你知道的越多，越能降低風(fēng)險。

第二個需要你做決定的是，是打算花錢自己建立風(fēng)險部門，并且花一些精力在公司內(nèi)部利益管理上，還是你想通過外包的方式來轉(zhuǎn)移風(fēng)險。

當然，無論你是如何選擇的，你都是要盡可能的把資源放在減少漏洞上。

總結(jié)來說，作為一個企業(yè)管理者，意識不到風(fēng)險管理的重要性、或者不懂得如何進行風(fēng)險管理的后果是可怕的，不僅無法吸引到高質(zhì)量的人才，還會破壞公司的名聲和業(yè)務(wù)信譽。

最后一問：你是合格的風(fēng)險防范者嗎?

注：文章翻譯自networkworld

作者Rich Banta

譯者：許冬琦

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。