作者：Anoop Handa   Fullerton Securityies首席信息官

随着虚拟化、云计算、社会化媒体等技术不断涌入企业信息架构，企业的信息围墙正在消失，IT风险管理变得日益重要起来。随着越来越多的数据在互联网和云计算平台上存储、处理和交换，对这些数据的保护需要CIO将信息安全和风险管理列入常规工作职责。

今天，消费电子和移动设备大量涌入企业IT架构，智能手机和平板电脑在工作空间随处可见，这些都给企业信息安全和数据保密带来巨大挑战。

与此同时，社交媒体也带来了新的风险。为了防范这些风险，一些公司制定了严格的政策和流程，限制员工使用企业网络登入社交媒体网站。但硬币的另一面是，一些企业意识到社交媒体与企业业务息息相关， 从而允许员工充分利用社交媒体。

过去CIO们主要把精力放在外部安全威胁上，对企业内部风险重视不够。产业报告显示，60%的信息失窃事 件来自企业内部员工或者合作伙伴。这方面，需要CIO充分利用IT风险管理框架、IT政策、内部审计与管 控等风险管理工具对企业信息基础设施进行主动式的风险评估。

CIO和CRO（首席风险官）的职责就是识别并界定不同应用场景中的最佳管控力度，使得风险管理与业务效率和员工生产力达成平衡。

就我本人的公司而言，第一：我们有一个强健的IT风险管理框架，可根据员工的职责和需求提供不同的互联网访问权限。大多数员工只可以访问与工作有关的网站。我们试图在互联网访问与监管之间达成一种平衡。

第二点，我们定期进行漏洞访问和***测试（VAPT），一项由第三方合作伙伴进行的模拟测试。随着企业应用的IT化和web化不断深入，这种主动安全测试是一种可靠的防范信息安全风险的方法。

最后，我们围绕员工的安全意识构建强大的IT风险管理框架。不同部门的员工，能通过各种渠道定期接受安全意识培训，例如通过屏幕保护、邮件等推送安全信息，提醒员工不要成为恶意网站的猎物，不要点击垃圾邮件里的链接等。今天，人员的安全意识和相关的政策与管控非常重要，采用各种技术工具主动识别新的风险并建立有效的政策和管控流程对于每个CIO来说，都是降低IT风险的关键。