■

业务和IT团队需要协作

这句话听起来确实很有道理，公司的IT和业务方面确实可以在风险管理问题上进行交流。

公司应当首先从上至下都重视浓厚的安全文化，并且每个人都清楚地理解自己的角色。高级管理部门强调安全并且使每个人都清楚自己的风险和安全责任是非常关键的。如果在整个公司的不同层次中达不成一致，公司的某个人就有可能不理解自己在风险管理和风险减轻链条中的重要性。

管理部门强调安全确实很重要，但问题并不是管理层如何高调地强调风险管理。公司应当成立由不同部门（其中包括技术领班、首席安全官、求助台的雇员以及将风险管理作为其日常工作一部分的任何人）的重要成员组成的委员会，进行全方位的商讨和研究。

由此，我们可以使风险评估成为整个企业中每个过程的一部分。在进行变更管理或事件管理时，如果我们没有进行风险评估，也没有在IT中充分利用此过程，就有可能遗漏某些关键方面。一旦我们理解了风险，就可以管理它。

业务方面需要承担更多责任

企业中的一个重大问题和挑战是，对于本应由业务方面处理的风险管理过程，IT团队有时承担了其中的太多责任。

从本质上说，风险和安全是业务问题，而非技术问题，而且也不是软件问题。安全和风险问题是可以由技术和软件支持并解决的，但从本质上说，风险是一个业务问题。因而，业务方面需要对风险管理承担最终的责任。建议企业首先将安全从IT功能中移除出去，因为安全应当成为首席风险官或CFO的责任。

那些在IT内部实现的安全功能其有效性最终将大打折扣，并且成本高昂，无法真正解决企业今天面临的全部业务风险问题。

那些将安全功能完全交给IT的公司在观念上已经落伍了，这些公司需要努力将安全定位为一种价值和业务的促进者，使安全真正成为一种可以使业务成长和繁荣的利器。一旦此观念得到认可和执行，业务将更容易支持基础架构的变更或新安全措施的施行，从而更好地减轻业务风险。技术不应成为最后的措施

对于风险管理和安全而言，技术可能很重要，但技术需要遵循策略和文化。多数公司甚至无需接触软件即可达到三级水平的安全，只有那些需要最高级安全特性和风险管理技术的公司才需要软件和其它方案，才能达到更高级的安全成熟水平。

但是，有些方案可有助于风险管理过程。例如，公司可以使用GRC（管理、风险和合规）平台来确保事件和风险管理的跟踪。

公司可以部署质量保证系统来帮助维护操作标准和变更管理等过程。关键是，你首先要理解公司面临的风险，并保证所有相关雇员都知道自己的角色，然后你需要利用可用的技术来支持策略。