雖然很多企業管理者已經發現安全風險管理的意義，但是并非所有的風險管理機制都可以杜絕風險，正相反，一旦引入不良的風險處理方法則可能會使企業危機重重。為了更好的理解企業在安全風險管理方面的誤區，本文根據CSO們的親身經歷總結了六大失誤，相信會給您帶來一些啟發。

企業管理者們深知自己面臨安全風險，但他們往往不清楚這些風險究竟是什么，或者說會給業務帶來怎樣的影響。安全風險管理機制的作用恰恰在于消除主觀推斷，幫助企業以更明智的方式制定決策。正如信息風險分析師協會(簡稱SIRA)副總裁Jay Jacobs所說，“安全風險管理對于企業而言只是一種決策輔助系統，它的存在是為了引導業務決策始終保持在正確軌道之上。”

遺憾的是，專家們發現大多數企業出于善意的努力都并不符合標準，甚至可能由于不良習慣的引入而提高企業面臨的風險。

SIRA總裁Jeff Lowder告訴我們，“有一種錯誤的觀念，即安全專業知識等同于風險管理專業知識。事實上，我見過很多自稱風險管理專家的安全技術人員，但他們根本不具備處理風險管理工作的能力。安全管理與風險管理是兩個獨立的學科，一般情況下安全風險管理專家能勝任安全管理工作，但安全管理專家則不能勝任風險管理工作。”

為了更好地理解企業在哪些方面犯下差錯，筆者咨詢了幾位業界專家，探詢他們親身經歷過的安全風險管理失誤。“我們親眼目睹許多企業從錯誤的角度出發選擇內部安全風險管理框架。這樣做還不如拋硬幣來決定，那樣至少有二分之一的正確機率，”Lowder回憶道。

下面我們就一起來看看那些最常見的、導致好心辦壞事的風險管理失誤：

風險管理失誤一：一切從頭開始？別迷信專家!

很多安全專家都希望能從頭開始重塑安全風險管理制度。

幸運的是，風險分析的基本內容已經相當規范，其中包括如何征求專家意見及如何對無法確定的風險模式提出質疑等。然而正如Jacobs與Lowder所解釋，很多人仍然沒有意識到正確實施才是獲得良好效果的關鍵。推倒重來的粗暴方案不僅沒能建立起更好的新機制，反而保留了很多原先就無法克服的嚴重缺點。

“最知名的管理模式在于挑選幾種似乎比較重要的‘風險’因素，根據其重要程度進行排序并打分，然后通過基本的推算或者矩陣模型推導其后果，”Jacobs指出。但事實上，這樣的推算結果很可能根本靠不住，除非決策制定者擁有豐富的管理經驗以及懷疑一切的審慎態度，否則企業必然會由此受到嚴重影響。

風險管理失誤二：照搬審計部門流程?小心雞同鴨講!

作為某家大型企業運營風險及管理事務主管，Alex Hutton與我們分享了他的經驗。某些企業會照搬審計部門的運作流程，并以此作為安全風險管理規劃的主干，這同樣無法達到預期效果。

“雖然兩者之間存在相似之處，但企業風險管理團隊與審計部門之間仍然屬于完全不同的角色定位”Hutton指出。審計部門的關注重點在于事故是否會導致安全控制機制陷入癱瘓，而風險管理團隊則需要關注IT風險的潛在發生頻度與影響。另外，審計部門的角色在于幫助企業理解控制機制的實施方式，而風險管理團隊則需要決定如何才能讓針對安全控制及相關流程的投資達到理想效果。

“大多數企業的風險管理規劃都無法實現這一目標，因為他們僅僅負責執行政策、而沒能幫助企業了解哪些控制機制有效哪些沒有”Hutton表示。

“審計部門本身并不一定關心安全威脅，也不需要費心了解風險報告與總體狀況。對威脅、資產、控制及影響等因素的全局掌控才是風險管理團隊的工作。”Hutton總結稱。

風險管理失誤三：誰說無法將安全風險歸結為數字?別將準確與精確混為一談!

很多安全專家都無法將IT安全風險與漏洞歸結為直觀數字。

“我們常常聽到人們抱怨稱自己無法拿出精確的匯總報表，或者沒有足夠的數據來形成一份有價值的評估材料，”Lowder指出。“他們顯然是把準確與精確兩個概念給搞混了。要讓評估結果精確到一定程度當然是異想天開，但我們完全可以給出一個比較準確的數值浮動范圍。”

提供具備可操作性的信息，并不意味著安全風險管理人員需要對出現負面狀況的可能性做出精確預測。

“數字的作用在于正確指導決策，從而幫助企業獲得較為清晰的前進方向，”Lowder表示。“我們完全可以通過有力的論據證明當前機制發生意外的概率為60%到90%，這樣足矣。”

風險管理失誤四：過分強調風險登記冊的作用!別總盯著百年一遇的風險!

Hutton告訴我們，許多企業在對當前風險進行評估時都會執著于列出一份包含所有潛在問題的清單，這就是所謂風險登記冊。

“創建風險登記冊的問題在于，人們根本不知道應該記到哪里才算結束。他們會不斷發掘潛在風險，甚至將那些極為罕見的情況包括在內。夸張點說，有些人甚至會把飛機從屋頂墜入數據中心這類荒謬的例子作為考量對象”他無奈地指出。

“可能性極低的情況雖然也會構成風險，但我們實在沒必要把這些百年不遇的事態也登記起來”他表示。Hutton建議企業建立一分安全問題登記冊，將所有遇到過的意外情況列入其中，這能夠更加真實地反映實際情況、同時幫助企業重視那些發生頻率最高的安全風險。

風險管理失誤五：誤解風險級別和等級分類：別靠想像來理解風險等級

安全風險管理者們往往將威脅與漏洞以幾項簡單的標準加以衡量：低、中、高——這樣粗放的劃分方式實在太過兒戲，而且也成了引發故障的導火索。

歸根結底，低、中、高到底是什么意思?“這只是三個量級，而且沒有任何直觀表現形式，”Lowder評價道。

“當我們要求大家根據事件的發生頻率為其進行高、中、低標準界定時，似乎沒人能給出準確的答案。這樣一來，大家對于結論就只能通過想象來理解。這簡直比硬性定結論更加危險，”Lowder指出。

舉例來說，當我們發現某事件的發生機率為低，有些管理者會認為其機率應該在10%左右，但有些則認為這一門檻應該是33%。“雖然我們沒必要對數字太過較真，但要讓交流能在清晰的基礎上進行，我們還是應該拿出一些有說服力的數字”Lowder總結道。

談到等級分類，Lowder表示：“這又是一項需要嚴格杜絕的失誤。”舉例來說，如果船A最先到達終點、船B位列第二，船C則最后抵達，那么僅靠這些信息我們根本無法得到三艘船完成比賽的平均時間。我們所了解的只是船A最快而船C最慢。“這也正是等級分類機制的最大弱點，僅憑第一、第二、第三或者高、中、低這種模糊的說法根本不足以幫助企業進行風險評估。”

等級分類只對數值進行簡單排序，但對于這些數值所代表的含義只字不提。“這樣的劃分機制簡直毫無用處。什么高、中、低這樣的標準根本無法幫助我們計算出風險管理因素的具體情況”Lowder解釋道。

風險管理失誤六： 缺乏風險智能規劃：隨時監控狀態改變

“這是個相當嚴重的問題，”Hutton表示。“如果將IT安全風險根據信息類型分為四種——即威脅、控制、資產與影響——那么其中任何一項狀態的改變都可能會給企業的風險形勢帶來影響。”遺憾的是，目前的風險管理標準還沒有給出一套明確的風險智能規劃或者功能的重要程度界定。風險管理人員也無法給出有效的風險智能來源或者對可能影響企業風險形勢的新信息進行正確處理。

Hutton指出，實現智能化管理功能的途徑比企業想象的更加簡單，我們需要做的只是監控那些能夠對風險產生影響的變化因素。

“舉例來說，一旦入侵檢測/防御方面的專家決定辭職，那么這方面的技能鴻溝一時之間恐怕很難填補，這就相當于增加了企業的安全風險。與此相似，對于大量采用OSX系統平臺的企業而言，該平臺曝出新型惡意軟件的消息也可能衍生出安全威脅，”Hutton解釋稱：如果大家不關注這些變化，也就無法對風險進行有效控制。

總之，風險管理工作難度很高，但任意胡來造成的后果可能比袖手旁觀更加惡劣。“企業管理者可能會根據錯誤的信息、錯誤的流程以及錯誤的計算方式制定決策，三者結合起來必然會讓最終解決方案變得一塌糊涂，”Jacbos告訴我們。