从攻击者的角度认识敏感信息是风险管理的重要一步

管理会计

    记者：借用您刚才的比喻，如果信息高速公路上的车祸是不可避免的，如何可以做到当车祸发生时，保护车主最重要的信息不泄露出去呢？很多情况下企业并不清楚最敏感的信息是什么，在您提到的高级信息安全系统里面，有没有对企业进行“哪些信息属于最敏感”的培训呢？如果有培训的话，这些企业涉及到各行各业，如何可以做到呢？

    亚瑟：非常棒的问题，我尽最大努力给你一个回答。相关的安全系统应该重新关注风险管理。我没法告诉任何企业对他们来说什么最重要，这就要求企业进行更细化的风险管理。

    现在比较普遍的情况是，企业的经营者和政府官员，会把风险管理的职能分配给负责安全的部门。但其实在这些组织和机构里面，企业的经理人或者政府官员，他们实际上更了解，对他们的组织来说什么信息是最重要的，什么信息是应该得到保护的。所以风险管理应该是每一个人的责任，而不仅仅是几个人的责任。如果我们的风险管理是分散进行的，那也并不意味着我们不能够把它们结合起来，总体上加以关注。

   另外，从攻击者的角度来看哪些信息是重要的也是非常必要的视角。单从内部人士的视角来研究风险是什么，是不够的，我们还需要从外部来研究我们的风险，我们需要站在攻击者的角度去思考。这样一种角度，可能会提醒我们，哪些东西对攻击者来说是重要的，但最初却被我们忽略掉了。

   实际上，风险管理并不是什么魔术，它是一个定性的过程，但确实存在一些技术框架，能使人们以一种更有组织、更有系统的方式来进行风险管理的过程。尤其在今天这个时代，信息不断增加，而信息的基础架构也日益复杂，这就是为什么在我谈到高级的安全系统的时候，首先谈高级的安全系统一定是基于风险的，这个问题特别重要，我觉得我们从现在开始理解风险管理的重要性是一个很好的起点。