IDC調查顯示IT安全恐懼扼殺全球80%組織的業務創新

為了深入瞭解資訊安全和業務創新之間的緊繃關係，RSA委託全球資訊科技、電信及消費科技產業的專業市場分析公司IDC進行兩項研究調查，第一項調查目的是為了瞭解IT安全和業務創新之間產生了何種分歧，並調查這樣的情形是否對領先全球的公司的業務發展造成任何影響；另一項研究則是針對將近兩百名IT安全主管及安全專家組成的精英團體，希望能以先進的資訊風險管理策略組合，來消除IT安全和業務創新之間的分歧。  

「事實上，安全和創新之間存在著密不可分的關係，組織也仍然為如何在市場推出創新和建立有效的IT安全規畫間，取得適當的平衡而掙扎著。」RSA總裁Art Coviello說，「長久以來，IT安全一直是全球性產業都需要面對的問題，這項研究告訴我們，對於今天的高階管理團隊來說，安全問題是最重要的事情；再也沒有更好的時機是當公司進行文化、哲學和技術上的轉變時，能與安全和業務創新策略齊頭並進」。  

受到RSA的委託，IDC針對200名企業高階主管和安全專家進行「創新和安全：合作還是鬥爭」調查後結果顯示，大多數組織認為創造適合從事業務創新的環境，對在競爭中保持領先地位來說非常重要。不過受訪者表示，儘管這是他們一致的看法，但IT安全風險確實阻礙了業務創新。實際上，80%的受訪者承認他們的組織，因為資訊安全問題而放棄了創新機會。  

IDC還發現，儘管80%的CEO們，相信自己的安全團隊，已為增加業績和業務創新做出了貢獻，但卻只有44%的安全主管人員相信公司瞭解他們為創新所做出的貢獻。這個發現顯示，CEO們和專業安全人員的期望有落差。儘管大家都認可需要把IT安全策略和業務創新的目標串連在一起，但只有21%的受訪者認為他們的組織已經成功轉變成可以同時積極主動和業務同步，促進而非阻礙業務創新發展。  

「如果缺少一種實現創新的健康環境，現今的企業就不可能獲得成長」IDC副總裁Chris Christiansen說，「很明顯的，儘管取得了一些好的進展，但創新和安全之間的關係仍然十分緊張。事實是創新和安全不需要相互競爭；它們是可以互補的。最後，我們相信那些很早在業務創新活動中將IT包含進來，並為他們的安全團隊佈置了清晰的業務創新衡量標準的組織，具有更多的機會去實現他們的總體組織目標。」  

RSA同時發佈了業務創新安全委員會的最新報告，這個委員會由10名來自全球各地知名企業的頂尖資訊安全人才組成。這份名為「掌握風險／回報方程式：優化資訊風險，最大化業務創新回報」的報告，討論了為什麼前人留下來的資訊安全風險評估方法不能在今天網路發達的世界中使用。在現今網路發達的世界中，任何業務創新都具有一定程度上的資訊風險。從這個角度上來講，安全的重點必須要從僅作減緩風險轉移到同時能夠獲得業務上的最大報酬率。在這些頂尖安全執行長精選的最佳實踐基礎上，這份報告為風險／回報的計算提供了藍圖，有助於驅動業務價值，並確保他們能夠執行和控制，以使企業走向成功。  

「在現今的時代，任何企業要面對的最大風險並不是某一個特定的資訊被洩露出去，或特定的平台發生癱瘓，而是公司不能滿足客戶的預期」，摩托羅拉資訊安全和保護部門公司副總裁Bill Boni說，「為了達成業務利益，公司必須去計算風險和相信安全評估是適合他們的」。  

作為一個重要的起點，這份委員會報告建議對組織的思維和行為作一些重點轉變，包括：
(1)將安全團隊的重點從「資訊安全」轉移到「資訊風險管理」，其目標是建立一個可接受的風險水準 。
(2)使用一種跨組織的方法來理解和標準化企業的風險偏好。
(3)建立一個風險假設模型來說明風險決策責任在哪，由誰來承擔。
(4)建立一個可重複的，循序漸進的流程，以對新的業務措施進行風險/回報計算，並確保它能夠在整個企業中展開。

業務創新安全委員會是由全球1,000名安全執行長中的10位傑出人士組成，他們分享他們各自的見解和經驗，以協助全球組織推動資訊安全的發展。

委員會成員包括：
(1)Anish Bhimani, JP摩根大通銀行風險管理部門董事總經理。
(2)Bill Boni, 摩托羅拉公司資訊安全和保護部門副總裁。
(3)Dave Cullinane, eBay副總裁和CISO。
(4)Roland Cloutier, EMC 公司副總裁CSO。
(5)Dr. Paul Dorey, BP 數位安全部門副總裁和CISO。
(6)Renee Guttmann, 時代華納資訊安全部門副總裁。
(7)David Kent, 健贊安全部副總裁。
(8)Dr. Claudia Natanson, 帝亞吉歐CISO。
(9)Craig Shumard, 信諾公司CISO。
(10)Andreas Wuchner, 諾華公司。