對于每一位CIO而言，有效的風險管理都是首要任務。遵循一些基本法則將有助于你的IT戰(zhàn)略與企業(yè)的風險承受能力保持一致。

風險無處不在，環(huán)顧四周，你會發(fā)現(xiàn)技術(shù)、經(jīng)濟和競爭障礙，這些障礙CIO們不僅必須應對，更要戰(zhàn)勝。

普華永道全球風險調(diào)查顯示，75%的風險管理領導者認為財務壓力限制了他們投資于評估和監(jiān)控風險所需先進技術(shù)的能力，然而，未能通過有效的風險管理計劃成功應對風險，無異于自尋災難。

你的企業(yè)是否正在竭盡所能地保護自己免受內(nèi)外部威脅?以下七條基本法則有助于確保你步入正軌。

法則一：從可接受的風險承受能力水平出發(fā)

企業(yè)咨詢公司Resultant的首席顧問保拉·賽貝內(nèi)(Paola Saibene)表示，一旦CIO了解企業(yè)的風險承受能力，其余的一切——戰(zhàn)略、創(chuàng)新、技術(shù)選擇——都將順利實現(xiàn)協(xié)調(diào)一致。

但確定這一風險承受能力，即特定情況下可接受的風險水平，頗具挑戰(zhàn)性。賽貝內(nèi)指出，許多企業(yè)對風險有直觀的了解，但并未以結(jié)構(gòu)化的方式明確界定或傳達風險。

“事實上，CIO經(jīng)常將風險管理與合規(guī)或網(wǎng)絡安全混為一談，然而風險的范圍要廣泛得多，”她說，并建議IT領導者指定一名企業(yè)風險官，此人可以作為CIO的最佳盟友，幫助應對風險、加速戰(zhàn)略舉措，并在需要謹慎和可能加速的地方提供指導。

賽貝內(nèi)認為，風險管理是領導層中最常被誤解但最有價值的方面之一。當CIO采納風險框架時，他們可以主動識別與IT相關(guān)的風險、提出緩解策略，并與風險官進行有效協(xié)作?！斑@不僅增強了高層的支持，還加速了進展。”她解釋道。

法則二：盤點應用程序

網(wǎng)絡安全制造創(chuàng)新研究所(Cybersecurity Manufacturing Innovation Institute)首席執(zhí)行官霍華德·格里姆斯(Howard Grimes)建議，對于任何CIO而言，最關(guān)鍵的風險管理法則都是維護企業(yè)整個應用程序組合的全面且持續(xù)更新的清單，在安全風險顯現(xiàn)之前主動識別和緩解這些風險。網(wǎng)絡安全制造創(chuàng)新研究所是一個由美國研究機構(gòu)組成的網(wǎng)絡，專注于通過公私合作開發(fā)制造技術(shù)。

格里姆斯觀察到，這聽起來可能很簡單直接，但許多CIO在這一基本原則上卻有所欠缺?！爱斊髽I(yè)忽視了嚴格的應用程序組合管理時，風險便會出現(xiàn)，尤其是快速采用新的由AI驅(qū)動的工具，如果不加以控制，這些工具可能會無意中泄露企業(yè)的知識產(chǎn)權(quán)?！?/p>

格里姆斯警告稱，缺乏結(jié)構(gòu)化的應用程序?qū)彶楹秃侠砘?，企業(yè)將容易受到運營效率低下、合規(guī)失敗以及網(wǎng)絡安全風險急劇增加的影響?！癈IO應采取主動預防的方法——全面管理企業(yè)應用程序，以防止安全漏洞出現(xiàn)?！?/p>

格里姆斯說，當前的一個主要擔憂是AI驅(qū)動工具的快速采用，雖然提高了效率，但也對企業(yè)的知識產(chǎn)權(quán)構(gòu)成風險?！捌髽I(yè)必須部署機制來保護知識產(chǎn)權(quán)，并防止敏感數(shù)據(jù)被輸入公共AI引擎?！彼硎?，“在許多情況下，公司應選擇未連接到互聯(lián)網(wǎng)的封閉專有AI模型，確保關(guān)鍵數(shù)據(jù)在企業(yè)內(nèi)部保持安全?！?/p>

格里姆斯補充道：“CIO必須對企業(yè)內(nèi)的每個應用程序、資源和資產(chǎn)進行合理化，確保消除冗余或不必要的工具，主動解決安全漏洞，防止員工將未經(jīng)授權(quán)的應用程序引入IT生態(tài)系統(tǒng)。”

他還建議，對于將應用程序的使用范圍擴大至其原始用途之外的情況，應進行仔細評估，因為這樣做可能會帶來意料之外的安全風險?！按送?，如果不進行頻繁且主動的應用程序合理化，應用程序的蔓延就會導致效率低下、網(wǎng)絡安全風險增加以及IT支持團隊負擔加重。”

法則三：積極主動

風險管理咨詢公司Founder Shield的技術(shù)業(yè)務負責人喬納森·塞爾比(Jonathan Selby)建議，每位CIO都需要對網(wǎng)絡安全采取積極主動的方法。他建議通過員工培訓、系統(tǒng)更新和實施全面的安全措施(包括事件響應計劃)來創(chuàng)建以安全為先的文化。

塞爾比說，網(wǎng)絡安全現(xiàn)在是一場多戰(zhàn)線之戰(zhàn)?！拔覀儾辉贀碛袕娜輵獙φ嬉u擊的奢侈條件?！鳖I導者必須認識到健全的風險管理計劃中各個層級的相互依存性：計劃的每個層級都發(fā)揮著至關(guān)重要的作用。“這不僅僅是一項網(wǎng)絡責任保險政策就能完成艱巨任務，也不僅僅是出色的員工培訓就能構(gòu)成你的盔甲——而是這一切的總和?！?/p>

塞爾比建議，將風險降至最低的首要方法便是自上而下?！皼]有必要減少網(wǎng)絡責任保險的覆蓋范圍或在響應計劃上松懈，”他說。網(wǎng)絡安全必須是全員參與的工作?！懊總€團隊成員在保護公司的數(shù)字資產(chǎn)方面都發(fā)揮著至關(guān)重要的作用?！?/p>

法則四：在整個企業(yè)中使風險管理正規(guī)化

網(wǎng)絡安全服務公司GuidePoint Security的高級風險安全顧問威爾·克勞斯(Will Klotz)問道，CIO及其部門每天都在進行風險管理，那么為什么不將這一過程正規(guī)化并融入企業(yè)的其他業(yè)務中呢?“最好是有意將風險管理作為日常管理、決策和運營的一部分?！彼ㄗh道。

克勞斯說，以整個企業(yè)都能理解的方式表達風險，可以確保項目得到妥善優(yōu)先級排序，并與技術(shù)程度較低的利益相關(guān)者進行更有意義的討論，同時在整個企業(yè)內(nèi)部建立信任。

法則五：實事求是

SaaS安全服務提供商AppOmni的CTO兼聯(lián)合創(chuàng)始人布萊恩·索比(Brian Soby)說，許多企業(yè)的風險管理策略不切實際，未能解決現(xiàn)實世界中的風險，或這些風險是如何產(chǎn)生的。

索比建議根據(jù)現(xiàn)實世界中的事件來測試企業(yè)當前的風險管理計劃?！拔覀儙缀趺恐芏寄茉谛侣勚锌吹叫畔⑿孤妒录?，”他觀察到。他建議，對于這些事件中的每一個，都要考慮事件發(fā)生的背景或攻擊行為，并將它們應用到自己的公司上。“結(jié)果會是你們公司也登上了同樣的新聞頭條嗎?”

索比認為，企業(yè)在認為需要緩解的威脅和風險類型與它們實際面臨的威脅和風險類型之間存在嚴重的不一致?！捌髽I(yè)需要根據(jù)現(xiàn)實情況來評估其風險管理計劃，而要做到這一點最簡單的方法就是將企業(yè)計劃與實際事件進行對照，看看結(jié)果會如何?！?/p>

索比建議，看看其他企業(yè)正在采取哪些方法來通過安全培訓和技術(shù)控制來減輕風險。“將它們與我們所看到的現(xiàn)實世界中的信息泄露事件進行比較?！?/p>

法則六：尋求恢復力

網(wǎng)絡安全和風險管理公司CIOSO Global的創(chuàng)始人兼CEO、嘉年華公司(Carnival Corp.)的前CIO格雷格·沙利文(Greg Sullivan)表示，企業(yè)的重點應放在恢復力以及構(gòu)建可以快速從任何中斷中恢復的系統(tǒng)上?！坝谢謴土Φ南到y(tǒng)可以同時應對多個威脅載體，同時還與業(yè)務優(yōu)先級保持一致，”他說道，“這種方法還創(chuàng)建了一個可衡量的框架，包括恢復時間目標(Recovery Time Objective, RTO)和恢復點目標(Recovery Point Objective, RPO)指標?！?/p>

沙利文說，CIO經(jīng)常犯的一個錯誤是在防御和預防措施上過度投資，而忽視了恢復力和恢復能力?！斑@會造成失衡和虛假的安全感，”他警告道，“讓所有利益相關(guān)者參與恢復工作，并遵循經(jīng)過充分演練和明確傳達的恢復程序，至關(guān)重要。”

沙利文建議，每個企業(yè)都需要一個更新的災難恢復和業(yè)務連續(xù)性計劃?！斑@些計劃有助于建立恢復力，同時側(cè)重于恢復系統(tǒng)并制定運營策略，以維持關(guān)鍵業(yè)務功能，”他解釋道，“最重要的是，該計劃應定期測試和改進?！?/p>

法則七：使IT風險管理與業(yè)務目標保持一致

全球網(wǎng)絡安全公司Quorum Cyber的CISO約翰·布魯斯(John Bruce)說，IT絕不能孤立存在——它必須直接支持業(yè)務目標，同時防范相關(guān)的技術(shù)威脅。

布魯斯說，強大的IT與業(yè)務一致性可確保IT投資將帶來業(yè)務價值，而不僅僅是技術(shù)能力?！爱擨T和業(yè)務目標同步時，企業(yè)能做出更明智的風險決策，更有效地分配資源，并獲得高層的支持，”他解釋道，“這種方法使技術(shù)從成本中心轉(zhuǎn)變?yōu)闃I(yè)務推動者?！?/p>

布魯斯建議建立一個正式的風險治理結(jié)構(gòu)，其中包括高層的支持。“通過制定將技術(shù)風險與業(yè)務影響聯(lián)系起來的風險登記冊，并使用高層能夠理解的業(yè)務指標，CIO可以建立一個由業(yè)務利益相關(guān)者組成的跨部門風險委員會，以進行定期風險審查?！?/p>