“我们将在海滩上作战，我们将在着陆地面作战，我们将在田野和街头作战，我们将在山区作战，我们决不投降!”温斯顿?丘吉尔在1940年6月发表了他著名的演说，当时英国面临纳粹的攻击。丘吉尔当年对胜利目标的承诺，“但道路可能是漫长而艰难的，”对当前企业面临的安全战役，是一个恰当的比喻。

坏人是持久的，复杂的，他们正在做突袭。情况不容乐观：当客户、投资者和监管者期望我们完全保护珍贵的资产和保护隐私，而我们所依赖的一些政府和供应商本身，正在损害我们的数据、软件和网络。

安全的斗争比以往任何时候都更加艰难。大多数组织正在使用昨天的工具和方法应对今天的战争-诸如以密码和防火墙保护周边-结果并不如意。过去的方式过分地强调隔绝我们的数据和系统，以及一个错位的信念，即安全边界的方法是适当的。

曾经担任迪斯尼、福特、旭电和大展集团全球CIO的Bud Mathaisel，通过与数十名安全专家、行业专家和企业高管的对话，描绘了一个对今天来说更好的安全框架。以下是该框架的一些说明。

着眼于风险和人，而不仅仅是设备和数据

一个更好的防御方法是围绕风险的观念模式建立。是的，一个关键的风险是关键或敏感数据的丢失，所以你必须充分地保护数据。不过，还有其他的风险，如业务运营中断，名誉损害，违反法规，投资风险和知识产权损失。哪些危险可能对你伤害最大?你如何评价威胁?你将如何抵御这些威胁，将影响降到最低?边界的保护往往不能解决这些问题。

例如，信用卡处理公司Visa国际组织承担其所有流程全面的风险评估，包括技术在哪里支持这些业务流程，但不限于此。“风险是其中的一个漏洞形成了威胁，而以整体观念考虑风险是一个安全方法坚实可靠的基础，”前Visa信息安全、治理、风险和法规遵从副总裁George Totev说。

从本质上说，风险评估就是当你购买保险时你在做什么。当你买保险的时候，你(或者至少你的保险公司)都在思考导致不良后果的漏洞。

风险评估和风险保护随着行业和企业的不同而不同。有些需要技术的使用，有些需要过程的改变，有些需要人们的行为改变。某些机构还被迫解决出于监管需求而无关自身风险分析的某种形式的安全风险。他们关注的焦点变为有效地满足该要求，而不会对他们的业务、财务状况或策略造成不必要的负担。

(责任编辑：)