對于每一位CIO而言，有效的風(fēng)險管理都是首要任務(wù)。遵循一些基本法則將有助于你的IT戰(zhàn)略與企業(yè)的風(fēng)險承受能力保持一致。

風(fēng)險無處不在，環(huán)顧四周，你會發(fā)現(xiàn)技術(shù)、經(jīng)濟(jì)和競爭障礙，這些障礙CIO們不僅必須應(yīng)對，更要戰(zhàn)勝。

普華永道全球風(fēng)險調(diào)查顯示，75%的風(fēng)險管理領(lǐng)導(dǎo)者認(rèn)為財務(wù)壓力限制了他們投資于評估和監(jiān)控風(fēng)險所需先進(jìn)技術(shù)的能力，然而，未能通過有效的風(fēng)險管理計劃成功應(yīng)對風(fēng)險，無異于自尋災(zāi)難。

你的企業(yè)是否正在竭盡所能地保護(hù)自己免受內(nèi)外部威脅?以下七條基本法則有助于確保你步入正軌。

法則一：從可接受的風(fēng)險承受能力水平出發(fā)

企業(yè)咨詢公司Resultant的首席顧問保拉·賽貝內(nèi)(Paola Saibene)表示，一旦CIO了解企業(yè)的風(fēng)險承受能力，其余的一切——戰(zhàn)略、創(chuàng)新、技術(shù)選擇——都將順利實(shí)現(xiàn)協(xié)調(diào)一致。

但確定這一風(fēng)險承受能力，即特定情況下可接受的風(fēng)險水平，頗具挑戰(zhàn)性。賽貝內(nèi)指出，許多企業(yè)對風(fēng)險有直觀的了解，但并未以結(jié)構(gòu)化的方式明確界定或傳達(dá)風(fēng)險。

“事實(shí)上，CIO經(jīng)常將風(fēng)險管理與合規(guī)或網(wǎng)絡(luò)安全混為一談，然而風(fēng)險的范圍要廣泛得多，”她說，并建議IT領(lǐng)導(dǎo)者指定一名企業(yè)風(fēng)險官，此人可以作為CIO的最佳盟友，幫助應(yīng)對風(fēng)險、加速戰(zhàn)略舉措，并在需要謹(jǐn)慎和可能加速的地方提供指導(dǎo)。

賽貝內(nèi)認(rèn)為，風(fēng)險管理是領(lǐng)導(dǎo)層中最常被誤解但最有價值的方面之一。當(dāng)CIO采納風(fēng)險框架時，他們可以主動識別與IT相關(guān)的風(fēng)險、提出緩解策略，并與風(fēng)險官進(jìn)行有效協(xié)作。“這不僅增強(qiáng)了高層的支持，還加速了進(jìn)展?！彼忉尩?。

法則二：盤點(diǎn)應(yīng)用程序

網(wǎng)絡(luò)安全制造創(chuàng)新研究所(Cybersecurity Manufacturing Innovation Institute)首席執(zhí)行官霍華德·格里姆斯(Howard Grimes)建議，對于任何CIO而言，最關(guān)鍵的風(fēng)險管理法則都是維護(hù)企業(yè)整個應(yīng)用程序組合的全面且持續(xù)更新的清單，在安全風(fēng)險顯現(xiàn)之前主動識別和緩解這些風(fēng)險。網(wǎng)絡(luò)安全制造創(chuàng)新研究所是一個由美國研究機(jī)構(gòu)組成的網(wǎng)絡(luò)，專注于通過公私合作開發(fā)制造技術(shù)。

格里姆斯觀察到，這聽起來可能很簡單直接，但許多CIO在這一基本原則上卻有所欠缺?！爱?dāng)企業(yè)忽視了嚴(yán)格的應(yīng)用程序組合管理時，風(fēng)險便會出現(xiàn)，尤其是快速采用新的由AI驅(qū)動的工具，如果不加以控制，這些工具可能會無意中泄露企業(yè)的知識產(chǎn)權(quán)?！?/p>

格里姆斯警告稱，缺乏結(jié)構(gòu)化的應(yīng)用程序?qū)彶楹秃侠砘?，企業(yè)將容易受到運(yùn)營效率低下、合規(guī)失敗以及網(wǎng)絡(luò)安全風(fēng)險急劇增加的影響。“CIO應(yīng)采取主動預(yù)防的方法——全面管理企業(yè)應(yīng)用程序，以防止安全漏洞出現(xiàn)?！?/p>

格里姆斯說，當(dāng)前的一個主要擔(dān)憂是AI驅(qū)動工具的快速采用，雖然提高了效率，但也對企業(yè)的知識產(chǎn)權(quán)構(gòu)成風(fēng)險。“企業(yè)必須部署機(jī)制來保護(hù)知識產(chǎn)權(quán)，并防止敏感數(shù)據(jù)被輸入公共AI引擎?！彼硎?，“在許多情況下，公司應(yīng)選擇未連接到互聯(lián)網(wǎng)的封閉專有AI模型，確保關(guān)鍵數(shù)據(jù)在企業(yè)內(nèi)部保持安全?！?/p>

格里姆斯補(bǔ)充道：“CIO必須對企業(yè)內(nèi)的每個應(yīng)用程序、資源和資產(chǎn)進(jìn)行合理化，確保消除冗余或不必要的工具，主動解決安全漏洞，防止員工將未經(jīng)授權(quán)的應(yīng)用程序引入IT生態(tài)系統(tǒng)?！?/p>

他還建議，對于將應(yīng)用程序的使用范圍擴(kuò)大至其原始用途之外的情況，應(yīng)進(jìn)行仔細(xì)評估，因?yàn)檫@樣做可能會帶來意料之外的安全風(fēng)險。“此外，如果不進(jìn)行頻繁且主動的應(yīng)用程序合理化，應(yīng)用程序的蔓延就會導(dǎo)致效率低下、網(wǎng)絡(luò)安全風(fēng)險增加以及IT支持團(tuán)隊負(fù)擔(dān)加重。”

法則三：積極主動

風(fēng)險管理咨詢公司Founder Shield的技術(shù)業(yè)務(wù)負(fù)責(zé)人喬納森·塞爾比(Jonathan Selby)建議，每位CIO都需要對網(wǎng)絡(luò)安全采取積極主動的方法。他建議通過員工培訓(xùn)、系統(tǒng)更新和實(shí)施全面的安全措施(包括事件響應(yīng)計劃)來創(chuàng)建以安全為先的文化。

塞爾比說，網(wǎng)絡(luò)安全現(xiàn)在是一場多戰(zhàn)線之戰(zhàn)?！拔覀儾辉贀碛袕娜輵?yīng)對正面襲擊的奢侈條件?！鳖I(lǐng)導(dǎo)者必須認(rèn)識到健全的風(fēng)險管理計劃中各個層級的相互依存性：計劃的每個層級都發(fā)揮著至關(guān)重要的作用?！斑@不僅僅是一項(xiàng)網(wǎng)絡(luò)責(zé)任保險政策就能完成艱巨任務(wù)，也不僅僅是出色的員工培訓(xùn)就能構(gòu)成你的盔甲——而是這一切的總和?！?/p>

塞爾比建議，將風(fēng)險降至最低的首要方法便是自上而下?！皼]有必要減少網(wǎng)絡(luò)責(zé)任保險的覆蓋范圍或在響應(yīng)計劃上松懈，”他說。網(wǎng)絡(luò)安全必須是全員參與的工作。“每個團(tuán)隊成員在保護(hù)公司的數(shù)字資產(chǎn)方面都發(fā)揮著至關(guān)重要的作用?！?/p>

法則四：在整個企業(yè)中使風(fēng)險管理正規(guī)化

網(wǎng)絡(luò)安全服務(wù)公司GuidePoint Security的高級風(fēng)險安全顧問威爾·克勞斯(Will Klotz)問道，CIO及其部門每天都在進(jìn)行風(fēng)險管理，那么為什么不將這一過程正規(guī)化并融入企業(yè)的其他業(yè)務(wù)中呢?“最好是有意將風(fēng)險管理作為日常管理、決策和運(yùn)營的一部分?！彼ㄗh道。

克勞斯說，以整個企業(yè)都能理解的方式表達(dá)風(fēng)險，可以確保項(xiàng)目得到妥善優(yōu)先級排序，并與技術(shù)程度較低的利益相關(guān)者進(jìn)行更有意義的討論，同時在整個企業(yè)內(nèi)部建立信任。

法則五：實(shí)事求是

SaaS安全服務(wù)提供商AppOmni的CTO兼聯(lián)合創(chuàng)始人布萊恩·索比(Brian Soby)說，許多企業(yè)的風(fēng)險管理策略不切實(shí)際，未能解決現(xiàn)實(shí)世界中的風(fēng)險，或這些風(fēng)險是如何產(chǎn)生的。

索比建議根據(jù)現(xiàn)實(shí)世界中的事件來測試企業(yè)當(dāng)前的風(fēng)險管理計劃?！拔覀儙缀趺恐芏寄茉谛侣勚锌吹叫畔⑿孤妒录?，”他觀察到。他建議，對于這些事件中的每一個，都要考慮事件發(fā)生的背景或攻擊行為，并將它們應(yīng)用到自己的公司上?！敖Y(jié)果會是你們公司也登上了同樣的新聞頭條嗎?”

索比認(rèn)為，企業(yè)在認(rèn)為需要緩解的威脅和風(fēng)險類型與它們實(shí)際面臨的威脅和風(fēng)險類型之間存在嚴(yán)重的不一致。“企業(yè)需要根據(jù)現(xiàn)實(shí)情況來評估其風(fēng)險管理計劃，而要做到這一點(diǎn)最簡單的方法就是將企業(yè)計劃與實(shí)際事件進(jìn)行對照，看看結(jié)果會如何?！?/p>

索比建議，看看其他企業(yè)正在采取哪些方法來通過安全培訓(xùn)和技術(shù)控制來減輕風(fēng)險。“將它們與我們所看到的現(xiàn)實(shí)世界中的信息泄露事件進(jìn)行比較?！?/p>

法則六：尋求恢復(fù)力

網(wǎng)絡(luò)安全和風(fēng)險管理公司CIOSO Global的創(chuàng)始人兼CEO、嘉年華公司(Carnival Corp.)的前CIO格雷格·沙利文(Greg Sullivan)表示，企業(yè)的重點(diǎn)應(yīng)放在恢復(fù)力以及構(gòu)建可以快速從任何中斷中恢復(fù)的系統(tǒng)上?！坝谢謴?fù)力的系統(tǒng)可以同時應(yīng)對多個威脅載體，同時還與業(yè)務(wù)優(yōu)先級保持一致，”他說道，“這種方法還創(chuàng)建了一個可衡量的框架，包括恢復(fù)時間目標(biāo)(Recovery Time Objective, RTO)和恢復(fù)點(diǎn)目標(biāo)(Recovery Point Objective, RPO)指標(biāo)?！?/p>

沙利文說，CIO經(jīng)常犯的一個錯誤是在防御和預(yù)防措施上過度投資，而忽視了恢復(fù)力和恢復(fù)能力?！斑@會造成失衡和虛假的安全感，”他警告道，“讓所有利益相關(guān)者參與恢復(fù)工作，并遵循經(jīng)過充分演練和明確傳達(dá)的恢復(fù)程序，至關(guān)重要。”

沙利文建議，每個企業(yè)都需要一個更新的災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計劃?！斑@些計劃有助于建立恢復(fù)力，同時側(cè)重于恢復(fù)系統(tǒng)并制定運(yùn)營策略，以維持關(guān)鍵業(yè)務(wù)功能，”他解釋道，“最重要的是，該計劃應(yīng)定期測試和改進(jìn)?！?/p>

法則七：使IT風(fēng)險管理與業(yè)務(wù)目標(biāo)保持一致

全球網(wǎng)絡(luò)安全公司Quorum Cyber的CISO約翰·布魯斯(John Bruce)說，IT絕不能孤立存在——它必須直接支持業(yè)務(wù)目標(biāo)，同時防范相關(guān)的技術(shù)威脅。

布魯斯說，強(qiáng)大的IT與業(yè)務(wù)一致性可確保IT投資將帶來業(yè)務(wù)價值，而不僅僅是技術(shù)能力?！爱?dāng)IT和業(yè)務(wù)目標(biāo)同步時，企業(yè)能做出更明智的風(fēng)險決策，更有效地分配資源，并獲得高層的支持，”他解釋道，“這種方法使技術(shù)從成本中心轉(zhuǎn)變?yōu)闃I(yè)務(wù)推動者?！?/p>

布魯斯建議建立一個正式的風(fēng)險治理結(jié)構(gòu)，其中包括高層的支持?！巴ㄟ^制定將技術(shù)風(fēng)險與業(yè)務(wù)影響聯(lián)系起來的風(fēng)險登記冊，并使用高層能夠理解的業(yè)務(wù)指標(biāo)，CIO可以建立一個由業(yè)務(wù)利益相關(guān)者組成的跨部門風(fēng)險委員會，以進(jìn)行定期風(fēng)險審查。”