對(duì)于每一位CIO而言，有效的風(fēng)險(xiǎn)管理都是首要任務(wù)。遵循一些基本法則將有助于你的IT戰(zhàn)略與企業(yè)的風(fēng)險(xiǎn)承受能力保持一致。

風(fēng)險(xiǎn)無處不在，環(huán)顧四周，你會(huì)發(fā)現(xiàn)技術(shù)、經(jīng)濟(jì)和競(jìng)爭(zhēng)障礙，這些障礙CIO們不僅必須應(yīng)對(duì)，更要戰(zhàn)勝。

普華永道全球風(fēng)險(xiǎn)調(diào)查顯示，75%的風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者認(rèn)為財(cái)務(wù)壓力限制了他們投資于評(píng)估和監(jiān)控風(fēng)險(xiǎn)所需先進(jìn)技術(shù)的能力，然而，未能通過有效的風(fēng)險(xiǎn)管理計(jì)劃成功應(yīng)對(duì)風(fēng)險(xiǎn)，無異于自尋災(zāi)難。

你的企業(yè)是否正在竭盡所能地保護(hù)自己免受內(nèi)外部威脅?以下七條基本法則有助于確保你步入正軌。

法則一：從可接受的風(fēng)險(xiǎn)承受能力水平出發(fā)

企業(yè)咨詢公司Resultant的首席顧問保拉·賽貝內(nèi)(Paola Saibene)表示，一旦CIO了解企業(yè)的風(fēng)險(xiǎn)承受能力，其余的一切——戰(zhàn)略、創(chuàng)新、技術(shù)選擇——都將順利實(shí)現(xiàn)協(xié)調(diào)一致。

但確定這一風(fēng)險(xiǎn)承受能力，即特定情況下可接受的風(fēng)險(xiǎn)水平，頗具挑戰(zhàn)性。賽貝內(nèi)指出，許多企業(yè)對(duì)風(fēng)險(xiǎn)有直觀的了解，但并未以結(jié)構(gòu)化的方式明確界定或傳達(dá)風(fēng)險(xiǎn)。

“事實(shí)上，CIO經(jīng)常將風(fēng)險(xiǎn)管理與合規(guī)或網(wǎng)絡(luò)安全混為一談，然而風(fēng)險(xiǎn)的范圍要廣泛得多，”她說，并建議IT領(lǐng)導(dǎo)者指定一名企業(yè)風(fēng)險(xiǎn)官，此人可以作為CIO的最佳盟友，幫助應(yīng)對(duì)風(fēng)險(xiǎn)、加速戰(zhàn)略舉措，并在需要謹(jǐn)慎和可能加速的地方提供指導(dǎo)。

賽貝內(nèi)認(rèn)為，風(fēng)險(xiǎn)管理是領(lǐng)導(dǎo)層中最常被誤解但最有價(jià)值的方面之一。當(dāng)CIO采納風(fēng)險(xiǎn)框架時(shí)，他們可以主動(dòng)識(shí)別與IT相關(guān)的風(fēng)險(xiǎn)、提出緩解策略，并與風(fēng)險(xiǎn)官進(jìn)行有效協(xié)作。“這不僅增強(qiáng)了高層的支持，還加速了進(jìn)展?！彼忉尩馈?/p>

法則二：盤點(diǎn)應(yīng)用程序

網(wǎng)絡(luò)安全制造創(chuàng)新研究所(Cybersecurity Manufacturing Innovation Institute)首席執(zhí)行官霍華德·格里姆斯(Howard Grimes)建議，對(duì)于任何CIO而言，最關(guān)鍵的風(fēng)險(xiǎn)管理法則都是維護(hù)企業(yè)整個(gè)應(yīng)用程序組合的全面且持續(xù)更新的清單，在安全風(fēng)險(xiǎn)顯現(xiàn)之前主動(dòng)識(shí)別和緩解這些風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全制造創(chuàng)新研究所是一個(gè)由美國(guó)研究機(jī)構(gòu)組成的網(wǎng)絡(luò)，專注于通過公私合作開發(fā)制造技術(shù)。

格里姆斯觀察到，這聽起來可能很簡(jiǎn)單直接，但許多CIO在這一基本原則上卻有所欠缺?！爱?dāng)企業(yè)忽視了嚴(yán)格的應(yīng)用程序組合管理時(shí)，風(fēng)險(xiǎn)便會(huì)出現(xiàn)，尤其是快速采用新的由AI驅(qū)動(dòng)的工具，如果不加以控制，這些工具可能會(huì)無意中泄露企業(yè)的知識(shí)產(chǎn)權(quán)?！?/p>

格里姆斯警告稱，缺乏結(jié)構(gòu)化的應(yīng)用程序?qū)彶楹秃侠砘?，企業(yè)將容易受到運(yùn)營(yíng)效率低下、合規(guī)失敗以及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)急劇增加的影響?！癈IO應(yīng)采取主動(dòng)預(yù)防的方法——全面管理企業(yè)應(yīng)用程序，以防止安全漏洞出現(xiàn)?！?/p>

格里姆斯說，當(dāng)前的一個(gè)主要擔(dān)憂是AI驅(qū)動(dòng)工具的快速采用，雖然提高了效率，但也對(duì)企業(yè)的知識(shí)產(chǎn)權(quán)構(gòu)成風(fēng)險(xiǎn)。“企業(yè)必須部署機(jī)制來保護(hù)知識(shí)產(chǎn)權(quán)，并防止敏感數(shù)據(jù)被輸入公共AI引擎?！彼硎?，“在許多情況下，公司應(yīng)選擇未連接到互聯(lián)網(wǎng)的封閉專有AI模型，確保關(guān)鍵數(shù)據(jù)在企業(yè)內(nèi)部保持安全?！?/p>

格里姆斯補(bǔ)充道：“CIO必須對(duì)企業(yè)內(nèi)的每個(gè)應(yīng)用程序、資源和資產(chǎn)進(jìn)行合理化，確保消除冗余或不必要的工具，主動(dòng)解決安全漏洞，防止員工將未經(jīng)授權(quán)的應(yīng)用程序引入IT生態(tài)系統(tǒng)?！?/p>

他還建議，對(duì)于將應(yīng)用程序的使用范圍擴(kuò)大至其原始用途之外的情況，應(yīng)進(jìn)行仔細(xì)評(píng)估，因?yàn)檫@樣做可能會(huì)帶來意料之外的安全風(fēng)險(xiǎn)?！按送?，如果不進(jìn)行頻繁且主動(dòng)的應(yīng)用程序合理化，應(yīng)用程序的蔓延就會(huì)導(dǎo)致效率低下、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)增加以及IT支持團(tuán)隊(duì)負(fù)擔(dān)加重?！?/p>

法則三：積極主動(dòng)

風(fēng)險(xiǎn)管理咨詢公司Founder Shield的技術(shù)業(yè)務(wù)負(fù)責(zé)人喬納森·塞爾比(Jonathan Selby)建議，每位CIO都需要對(duì)網(wǎng)絡(luò)安全采取積極主動(dòng)的方法。他建議通過員工培訓(xùn)、系統(tǒng)更新和實(shí)施全面的安全措施(包括事件響應(yīng)計(jì)劃)來創(chuàng)建以安全為先的文化。

塞爾比說，網(wǎng)絡(luò)安全現(xiàn)在是一場(chǎng)多戰(zhàn)線之戰(zhàn)?！拔覀儾辉贀碛袕娜輵?yīng)對(duì)正面襲擊的奢侈條件。”領(lǐng)導(dǎo)者必須認(rèn)識(shí)到健全的風(fēng)險(xiǎn)管理計(jì)劃中各個(gè)層級(jí)的相互依存性：計(jì)劃的每個(gè)層級(jí)都發(fā)揮著至關(guān)重要的作用。“這不僅僅是一項(xiàng)網(wǎng)絡(luò)責(zé)任保險(xiǎn)政策就能完成艱巨任務(wù)，也不僅僅是出色的員工培訓(xùn)就能構(gòu)成你的盔甲——而是這一切的總和?！?/p>

塞爾比建議，將風(fēng)險(xiǎn)降至最低的首要方法便是自上而下?！皼]有必要減少網(wǎng)絡(luò)責(zé)任保險(xiǎn)的覆蓋范圍或在響應(yīng)計(jì)劃上松懈，”他說。網(wǎng)絡(luò)安全必須是全員參與的工作?！懊總€(gè)團(tuán)隊(duì)成員在保護(hù)公司的數(shù)字資產(chǎn)方面都發(fā)揮著至關(guān)重要的作用?！?/p>

法則四：在整個(gè)企業(yè)中使風(fēng)險(xiǎn)管理正規(guī)化

網(wǎng)絡(luò)安全服務(wù)公司GuidePoint Security的高級(jí)風(fēng)險(xiǎn)安全顧問威爾·克勞斯(Will Klotz)問道，CIO及其部門每天都在進(jìn)行風(fēng)險(xiǎn)管理，那么為什么不將這一過程正規(guī)化并融入企業(yè)的其他業(yè)務(wù)中呢?“最好是有意將風(fēng)險(xiǎn)管理作為日常管理、決策和運(yùn)營(yíng)的一部分。”他建議道。

克勞斯說，以整個(gè)企業(yè)都能理解的方式表達(dá)風(fēng)險(xiǎn)，可以確保項(xiàng)目得到妥善優(yōu)先級(jí)排序，并與技術(shù)程度較低的利益相關(guān)者進(jìn)行更有意義的討論，同時(shí)在整個(gè)企業(yè)內(nèi)部建立信任。

法則五：實(shí)事求是

SaaS安全服務(wù)提供商AppOmni的CTO兼聯(lián)合創(chuàng)始人布萊恩·索比(Brian Soby)說，許多企業(yè)的風(fēng)險(xiǎn)管理策略不切實(shí)際，未能解決現(xiàn)實(shí)世界中的風(fēng)險(xiǎn)，或這些風(fēng)險(xiǎn)是如何產(chǎn)生的。

索比建議根據(jù)現(xiàn)實(shí)世界中的事件來測(cè)試企業(yè)當(dāng)前的風(fēng)險(xiǎn)管理計(jì)劃?！拔覀儙缀趺恐芏寄茉谛侣勚锌吹叫畔⑿孤妒录?，”他觀察到。他建議，對(duì)于這些事件中的每一個(gè)，都要考慮事件發(fā)生的背景或攻擊行為，并將它們應(yīng)用到自己的公司上。“結(jié)果會(huì)是你們公司也登上了同樣的新聞?lì)^條嗎?”

索比認(rèn)為，企業(yè)在認(rèn)為需要緩解的威脅和風(fēng)險(xiǎn)類型與它們實(shí)際面臨的威脅和風(fēng)險(xiǎn)類型之間存在嚴(yán)重的不一致?！捌髽I(yè)需要根據(jù)現(xiàn)實(shí)情況來評(píng)估其風(fēng)險(xiǎn)管理計(jì)劃，而要做到這一點(diǎn)最簡(jiǎn)單的方法就是將企業(yè)計(jì)劃與實(shí)際事件進(jìn)行對(duì)照，看看結(jié)果會(huì)如何?！?/p>

索比建議，看看其他企業(yè)正在采取哪些方法來通過安全培訓(xùn)和技術(shù)控制來減輕風(fēng)險(xiǎn)?！皩⑺鼈兣c我們所看到的現(xiàn)實(shí)世界中的信息泄露事件進(jìn)行比較?！?/p>

法則六：尋求恢復(fù)力

網(wǎng)絡(luò)安全和風(fēng)險(xiǎn)管理公司CIOSO Global的創(chuàng)始人兼CEO、嘉年華公司(Carnival Corp.)的前CIO格雷格·沙利文(Greg Sullivan)表示，企業(yè)的重點(diǎn)應(yīng)放在恢復(fù)力以及構(gòu)建可以快速?gòu)娜魏沃袛嘀谢謴?fù)的系統(tǒng)上。“有恢復(fù)力的系統(tǒng)可以同時(shí)應(yīng)對(duì)多個(gè)威脅載體，同時(shí)還與業(yè)務(wù)優(yōu)先級(jí)保持一致，”他說道，“這種方法還創(chuàng)建了一個(gè)可衡量的框架，包括恢復(fù)時(shí)間目標(biāo)(Recovery Time Objective, RTO)和恢復(fù)點(diǎn)目標(biāo)(Recovery Point Objective, RPO)指標(biāo)。”

沙利文說，CIO經(jīng)常犯的一個(gè)錯(cuò)誤是在防御和預(yù)防措施上過度投資，而忽視了恢復(fù)力和恢復(fù)能力?！斑@會(huì)造成失衡和虛假的安全感，”他警告道，“讓所有利益相關(guān)者參與恢復(fù)工作，并遵循經(jīng)過充分演練和明確傳達(dá)的恢復(fù)程序，至關(guān)重要。”

沙利文建議，每個(gè)企業(yè)都需要一個(gè)更新的災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃?！斑@些計(jì)劃有助于建立恢復(fù)力，同時(shí)側(cè)重于恢復(fù)系統(tǒng)并制定運(yùn)營(yíng)策略，以維持關(guān)鍵業(yè)務(wù)功能，”他解釋道，“最重要的是，該計(jì)劃應(yīng)定期測(cè)試和改進(jìn)?！?/p>

法則七：使IT風(fēng)險(xiǎn)管理與業(yè)務(wù)目標(biāo)保持一致

全球網(wǎng)絡(luò)安全公司Quorum Cyber的CISO約翰·布魯斯(John Bruce)說，IT絕不能孤立存在——它必須直接支持業(yè)務(wù)目標(biāo)，同時(shí)防范相關(guān)的技術(shù)威脅。

布魯斯說，強(qiáng)大的IT與業(yè)務(wù)一致性可確保IT投資將帶來業(yè)務(wù)價(jià)值，而不僅僅是技術(shù)能力。“當(dāng)IT和業(yè)務(wù)目標(biāo)同步時(shí)，企業(yè)能做出更明智的風(fēng)險(xiǎn)決策，更有效地分配資源，并獲得高層的支持，”他解釋道，“這種方法使技術(shù)從成本中心轉(zhuǎn)變?yōu)闃I(yè)務(wù)推動(dòng)者?！?/p>

布魯斯建議建立一個(gè)正式的風(fēng)險(xiǎn)治理結(jié)構(gòu)，其中包括高層的支持?！巴ㄟ^制定將技術(shù)風(fēng)險(xiǎn)與業(yè)務(wù)影響聯(lián)系起來的風(fēng)險(xiǎn)登記冊(cè)，并使用高層能夠理解的業(yè)務(wù)指標(biāo)，CIO可以建立一個(gè)由業(yè)務(wù)利益相關(guān)者組成的跨部門風(fēng)險(xiǎn)委員會(huì)，以進(jìn)行定期風(fēng)險(xiǎn)審查?！?/p>