10月1号，RSA（EMC信息安全事业部）发布了最新的两项权威报告，分别名为"创新和安全：合作还是斗争"与"掌握风险/回报方程式：优化信息风险，最大化业务创新回报"。旨在探讨信息安全和业务创新之间多变的关系，以及有效的解决方法，为全球企业提供一种普遍的可借鉴的管理思路。

在RSA的支持下，全球性市场调研公司IDC的得出了第一项报告，揭示了安全和创新间存在着扩大化的鸿沟，并调查了安全与创新的分离对全球领先公司所造成的业务影响。同期发布的第二项研究，则挑选了由众多安全执行官组成的精英团体，进一步探讨如何有效消除安全与创新的差距，并定义了首个行业内先进的信息风险管理策略组合。

RSA总裁亚瑟·科维洛表示，业务创新已成为业务发展战略的重要组成部分，以及企业保持竞争优势的决定性因素。信息风险和业务创新间存在着密不可分的关系，企业在向市场推出新的创新时，必然面临着新的安全风险。如何在业务创新和建立有效的IT安全实践间取得平衡是个难题。如今，IT安全问题越发重要，已升级为全球性的业务问题；对于企业高级管理团队来说，IT安全问题已成为最重要的事情；对于企业而言，也是进行文化、技术转变的最好时机，以更好地将企业IT安全和业务创新战略同步。

IT信息风险，创新的巨大障碍

第一份报告"创新和安全：合作还是斗争"，是通过对近200名顶级业务执行官和安全专家在线调查得出的。目的是衡量信息安全机制对业务创新的影响程度，并且研究是否有方法可以调和二者的关系。

为了保证调查结果的公正性与代表性，近200名被调查者都经过RSA的精心筛选。其中，80%受调查公司收入在1亿美元之上；73%受调查者的职位是副总裁执行官或更高职位；60%受调查公司的雇员规模超过了5000名。

调查显示，大多数企业认为，理想的创新环境对在竞争中保持领先地位非常重要。但受访者普遍认为，IT信息风险已成为业务创新单一的最大抑制因素。实际上，高达80%的受调查者承认，企业曾因信息风险问题而放弃新的创新机会。对于企业而言，信息风险管理与业务创新似乎是水火不相容的关系。

尽管IT信息风险对于业务创新的影响巨大，但企业对于信息安全部门的重视明显不足。IDC发现，尽管80%的CEO认为安全团队为业务增长和创新做出了贡献，但只有44%的安全领导认为企业对他们为创新做出的贡献进行了衡量。表明在C层管理层的预期和安全专业人员的优先次序之间缺乏一种同步。且仅有部分企业采取一种积极的态度以平衡二者的关系，调查显示，只有21%的受调查者认为企业已成功过渡到信息风险管理积极主动和业务同步，促进而非阻碍着创新的开展。

IDC副总裁Chris Christiansen表示，创新和安全之间的关系尽管已取得了一些进展，但依然不容乐观。正确的观念是创新和安全是互补关系，而不是相互竞争。企业在业务创新过程中，应该兼顾IT信息风险，并为企业安全团队布置足够清晰的业务创新衡量标准，将有助于企业在实现总体目标方面更具竞争力。

消除鸿沟，亟需风险管理新方法

尽管业务创新与IT安全风险之间的鸿沟正渐渐扩大，形势不容乐观。但事实上，业务创新与IT信息风险的矛盾并非不可调和。如何在消除IT信息风险的同时，实现业务创新，也是摆在世界领先企业的信息安全官面前的难题。全球企业亟需一种有效的信息风险管理方法，以阻止鸿沟的继续扩大。第二项报告则提供了行之有效的解决方法。

在RSA的组织下，业务创新安全委员会发布了名为"掌握风险/回报方程式：优化信息风险，最大化业务创新回报"的报告，以协助全球企业推动信息安全的发展。业务创新安全委员会由全球1000名安全执行官中的10个高度成功的领袖人物组成，委员会成员包括：

Anish Bhimani，JP摩根大通银行IT风险管理副总裁；                 

Bill Boni，摩托罗拉副总裁兼首席安全官；

Dave Cullinane，易趣副总裁兼首席信息安全官；

Roland Cloutier，EMC副总裁兼首席安全官；

Dr. Paul Dorey，BP副总裁兼数字安全及首席信息安全官；

Renee Guttmann，时代华纳副总裁；

David Kent，健赞副总裁；

Dr. Claudia Natanson，帝亚吉欧首席信息安全官；

Craig Shumard，信诺公司首席信息安全官；

Andreas Wuchner，诺华公司IT风险管理及安全与法规遵从领导。

信息安全官普遍认为，任何新的业务创新天生具有一定程度的信息风险。安全的重点是在降低信息风险的同时，实现业务回报最大化。在报告中，这些世界顶级安全执行官还提供了各自的最佳实践，以供参考。

其中，摩托罗拉信息安全保护部副总裁Bill Boni认为，企业所存在的最大风险，不是某一特定的信息被泄露，或特定的平台发生瘫痪，而是企业的创新能力不能满足客户的预期需求。因不满足业务需求而产生的安全成本，不是制裁或罚款，也不是知识产权的损失或其他犯罪行为，而是没能力适应客户的需求并做出响应。因此，信息风险必须经过精确计算，才能真正实现企业的商业优势。

同时，这份委员会报告建议企业的思维和行为应作一些转变，包括：

1.)将安全团队的重点从"信息安全"转移到"信息风险管理"，其目标是达到一个可接受的风险水平；

2.)使用一种跨组织的方法来理解和标准化企业的风险偏好；

3.)建立一个风险假设模型以说明风险决策责任由谁来承担；

4.)创立一个可重复的，循序渐进的流程，以对新的业务举措进行风险/回报计算，并确保它能够在整个企业中展开。

这份报告的意义在于，为企业实施风险/回报公式的计算提供了蓝图，有助于企业更好地驱动业务价值，并确保得到有效执行和控制，最终使企业走向成功。当企业尝试更加全面的看待风险管理时，信息风险评估也必须纳入到所有的风险管理工作中。因此，报告还采用了来自于Julia Allen的文献，其是卡内基梅隆大学的CERT?(计算机网络安全事件应急小组)企业安全和管理领域的主要研究员之一。

此次报告是业务创新安全委员会发布的第二份报告。第一份报告"就是现在：制定信息安全战略进行业务创新"发布于今年早期，为信息安全对业务创新更具战略性提供了七条建议。"成为风险对比回报的专家"是在第一份报告中概述的主要建议之一，也为此次公布的深度调查结果奠定了基础。有兴趣了解更多关于业务创新安全委员会报告的读者，可访问RSA网站RSA.com/securityforinnovation/，查看和下载这两份研究报告。