每個(gè)CIO都應(yīng)遵循的七條風(fēng)險(xiǎn)管理規(guī)則
對(duì)于每一位CIO而言,有效的風(fēng)險(xiǎn)管理都是首要任務(wù)。遵循一些基本法則將有助于你的IT戰(zhàn)略與企業(yè)的風(fēng)險(xiǎn)承受能力保持一致。
風(fēng)險(xiǎn)無處不在,環(huán)顧四周,你會(huì)發(fā)現(xiàn)技術(shù)、經(jīng)濟(jì)和競(jìng)爭(zhēng)障礙,這些障礙CIO們不僅必須應(yīng)對(duì),更要戰(zhàn)勝。
普華永道全球風(fēng)險(xiǎn)調(diào)查顯示,75%的風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者認(rèn)為財(cái)務(wù)壓力限制了他們投資于評(píng)估和監(jiān)控風(fēng)險(xiǎn)所需先進(jìn)技術(shù)的能力,然而,未能通過有效的風(fēng)險(xiǎn)管理計(jì)劃成功應(yīng)對(duì)風(fēng)險(xiǎn),無異于自尋災(zāi)難。
你的企業(yè)是否正在竭盡所能地保護(hù)自己免受內(nèi)外部威脅?以下七條基本法則有助于確保你步入正軌。
法則一:從可接受的風(fēng)險(xiǎn)承受能力水平出發(fā)
企業(yè)咨詢公司Resultant的首席顧問保拉·賽貝內(nèi)(Paola Saibene)表示,一旦CIO了解企業(yè)的風(fēng)險(xiǎn)承受能力,其余的一切——戰(zhàn)略、創(chuàng)新、技術(shù)選擇——都將順利實(shí)現(xiàn)協(xié)調(diào)一致。
但確定這一風(fēng)險(xiǎn)承受能力,即特定情況下可接受的風(fēng)險(xiǎn)水平,頗具挑戰(zhàn)性。賽貝內(nèi)指出,許多企業(yè)對(duì)風(fēng)險(xiǎn)有直觀的了解,但并未以結(jié)構(gòu)化的方式明確界定或傳達(dá)風(fēng)險(xiǎn)。
“事實(shí)上,CIO經(jīng)常將風(fēng)險(xiǎn)管理與合規(guī)或網(wǎng)絡(luò)安全混為一談,然而風(fēng)險(xiǎn)的范圍要廣泛得多,”她說,并建議IT領(lǐng)導(dǎo)者指定一名企業(yè)風(fēng)險(xiǎn)官,此人可以作為CIO的最佳盟友,幫助應(yīng)對(duì)風(fēng)險(xiǎn)、加速戰(zhàn)略舉措,并在需要謹(jǐn)慎和可能加速的地方提供指導(dǎo)。
賽貝內(nèi)認(rèn)為,風(fēng)險(xiǎn)管理是領(lǐng)導(dǎo)層中最常被誤解但最有價(jià)值的方面之一。當(dāng)CIO采納風(fēng)險(xiǎn)框架時(shí),他們可以主動(dòng)識(shí)別與IT相關(guān)的風(fēng)險(xiǎn)、提出緩解策略,并與風(fēng)險(xiǎn)官進(jìn)行有效協(xié)作。“這不僅增強(qiáng)了高層的支持,還加速了進(jìn)展?!彼忉尩馈?/p>
法則二:盤點(diǎn)應(yīng)用程序
網(wǎng)絡(luò)安全制造創(chuàng)新研究所(Cybersecurity Manufacturing Innovation Institute)首席執(zhí)行官霍華德·格里姆斯(Howard Grimes)建議,對(duì)于任何CIO而言,最關(guān)鍵的風(fēng)險(xiǎn)管理法則都是維護(hù)企業(yè)整個(gè)應(yīng)用程序組合的全面且持續(xù)更新的清單,在安全風(fēng)險(xiǎn)顯現(xiàn)之前主動(dòng)識(shí)別和緩解這些風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全制造創(chuàng)新研究所是一個(gè)由美國(guó)研究機(jī)構(gòu)組成的網(wǎng)絡(luò),專注于通過公私合作開發(fā)制造技術(shù)。
格里姆斯觀察到,這聽起來可能很簡(jiǎn)單直接,但許多CIO在這一基本原則上卻有所欠缺?!爱?dāng)企業(yè)忽視了嚴(yán)格的應(yīng)用程序組合管理時(shí),風(fēng)險(xiǎn)便會(huì)出現(xiàn),尤其是快速采用新的由AI驅(qū)動(dòng)的工具,如果不加以控制,這些工具可能會(huì)無意中泄露企業(yè)的知識(shí)產(chǎn)權(quán)?!?/p>
格里姆斯警告稱,缺乏結(jié)構(gòu)化的應(yīng)用程序?qū)彶楹秃侠砘?,企業(yè)將容易受到運(yùn)營(yíng)效率低下、合規(guī)失敗以及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)急劇增加的影響?!癈IO應(yīng)采取主動(dòng)預(yù)防的方法——全面管理企業(yè)應(yīng)用程序,以防止安全漏洞出現(xiàn)?!?/p>
格里姆斯說,當(dāng)前的一個(gè)主要擔(dān)憂是AI驅(qū)動(dòng)工具的快速采用,雖然提高了效率,但也對(duì)企業(yè)的知識(shí)產(chǎn)權(quán)構(gòu)成風(fēng)險(xiǎn)。“企業(yè)必須部署機(jī)制來保護(hù)知識(shí)產(chǎn)權(quán),并防止敏感數(shù)據(jù)被輸入公共AI引擎?!彼硎?,“在許多情況下,公司應(yīng)選擇未連接到互聯(lián)網(wǎng)的封閉專有AI模型,確保關(guān)鍵數(shù)據(jù)在企業(yè)內(nèi)部保持安全?!?/p>
格里姆斯補(bǔ)充道:“CIO必須對(duì)企業(yè)內(nèi)的每個(gè)應(yīng)用程序、資源和資產(chǎn)進(jìn)行合理化,確保消除冗余或不必要的工具,主動(dòng)解決安全漏洞,防止員工將未經(jīng)授權(quán)的應(yīng)用程序引入IT生態(tài)系統(tǒng)?!?/p>
他還建議,對(duì)于將應(yīng)用程序的使用范圍擴(kuò)大至其原始用途之外的情況,應(yīng)進(jìn)行仔細(xì)評(píng)估,因?yàn)檫@樣做可能會(huì)帶來意料之外的安全風(fēng)險(xiǎn)?!按送?,如果不進(jìn)行頻繁且主動(dòng)的應(yīng)用程序合理化,應(yīng)用程序的蔓延就會(huì)導(dǎo)致效率低下、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)增加以及IT支持團(tuán)隊(duì)負(fù)擔(dān)加重?!?/p>
法則三:積極主動(dòng)
風(fēng)險(xiǎn)管理咨詢公司Founder Shield的技術(shù)業(yè)務(wù)負(fù)責(zé)人喬納森·塞爾比(Jonathan Selby)建議,每位CIO都需要對(duì)網(wǎng)絡(luò)安全采取積極主動(dòng)的方法。他建議通過員工培訓(xùn)、系統(tǒng)更新和實(shí)施全面的安全措施(包括事件響應(yīng)計(jì)劃)來創(chuàng)建以安全為先的文化。
塞爾比說,網(wǎng)絡(luò)安全現(xiàn)在是一場(chǎng)多戰(zhàn)線之戰(zhàn)?!拔覀儾辉贀碛袕娜輵?yīng)對(duì)正面襲擊的奢侈條件。”領(lǐng)導(dǎo)者必須認(rèn)識(shí)到健全的風(fēng)險(xiǎn)管理計(jì)劃中各個(gè)層級(jí)的相互依存性:計(jì)劃的每個(gè)層級(jí)都發(fā)揮著至關(guān)重要的作用。“這不僅僅是一項(xiàng)網(wǎng)絡(luò)責(zé)任保險(xiǎn)政策就能完成艱巨任務(wù),也不僅僅是出色的員工培訓(xùn)就能構(gòu)成你的盔甲——而是這一切的總和?!?/p>
塞爾比建議,將風(fēng)險(xiǎn)降至最低的首要方法便是自上而下?!皼]有必要減少網(wǎng)絡(luò)責(zé)任保險(xiǎn)的覆蓋范圍或在響應(yīng)計(jì)劃上松懈,”他說。網(wǎng)絡(luò)安全必須是全員參與的工作?!懊總€(gè)團(tuán)隊(duì)成員在保護(hù)公司的數(shù)字資產(chǎn)方面都發(fā)揮著至關(guān)重要的作用?!?/p>
法則四:在整個(gè)企業(yè)中使風(fēng)險(xiǎn)管理正規(guī)化
網(wǎng)絡(luò)安全服務(wù)公司GuidePoint Security的高級(jí)風(fēng)險(xiǎn)安全顧問威爾·克勞斯(Will Klotz)問道,CIO及其部門每天都在進(jìn)行風(fēng)險(xiǎn)管理,那么為什么不將這一過程正規(guī)化并融入企業(yè)的其他業(yè)務(wù)中呢?“最好是有意將風(fēng)險(xiǎn)管理作為日常管理、決策和運(yùn)營(yíng)的一部分。”他建議道。
克勞斯說,以整個(gè)企業(yè)都能理解的方式表達(dá)風(fēng)險(xiǎn),可以確保項(xiàng)目得到妥善優(yōu)先級(jí)排序,并與技術(shù)程度較低的利益相關(guān)者進(jìn)行更有意義的討論,同時(shí)在整個(gè)企業(yè)內(nèi)部建立信任。
法則五:實(shí)事求是
SaaS安全服務(wù)提供商AppOmni的CTO兼聯(lián)合創(chuàng)始人布萊恩·索比(Brian Soby)說,許多企業(yè)的風(fēng)險(xiǎn)管理策略不切實(shí)際,未能解決現(xiàn)實(shí)世界中的風(fēng)險(xiǎn),或這些風(fēng)險(xiǎn)是如何產(chǎn)生的。
索比建議根據(jù)現(xiàn)實(shí)世界中的事件來測(cè)試企業(yè)當(dāng)前的風(fēng)險(xiǎn)管理計(jì)劃?!拔覀儙缀趺恐芏寄茉谛侣勚锌吹叫畔⑿孤妒录?,”他觀察到。他建議,對(duì)于這些事件中的每一個(gè),都要考慮事件發(fā)生的背景或攻擊行為,并將它們應(yīng)用到自己的公司上。“結(jié)果會(huì)是你們公司也登上了同樣的新聞?lì)^條嗎?”
索比認(rèn)為,企業(yè)在認(rèn)為需要緩解的威脅和風(fēng)險(xiǎn)類型與它們實(shí)際面臨的威脅和風(fēng)險(xiǎn)類型之間存在嚴(yán)重的不一致?!捌髽I(yè)需要根據(jù)現(xiàn)實(shí)情況來評(píng)估其風(fēng)險(xiǎn)管理計(jì)劃,而要做到這一點(diǎn)最簡(jiǎn)單的方法就是將企業(yè)計(jì)劃與實(shí)際事件進(jìn)行對(duì)照,看看結(jié)果會(huì)如何?!?/p>
索比建議,看看其他企業(yè)正在采取哪些方法來通過安全培訓(xùn)和技術(shù)控制來減輕風(fēng)險(xiǎn)?!皩⑺鼈兣c我們所看到的現(xiàn)實(shí)世界中的信息泄露事件進(jìn)行比較?!?/p>
法則六:尋求恢復(fù)力
網(wǎng)絡(luò)安全和風(fēng)險(xiǎn)管理公司CIOSO Global的創(chuàng)始人兼CEO、嘉年華公司(Carnival Corp.)的前CIO格雷格·沙利文(Greg Sullivan)表示,企業(yè)的重點(diǎn)應(yīng)放在恢復(fù)力以及構(gòu)建可以快速?gòu)娜魏沃袛嘀谢謴?fù)的系統(tǒng)上。“有恢復(fù)力的系統(tǒng)可以同時(shí)應(yīng)對(duì)多個(gè)威脅載體,同時(shí)還與業(yè)務(wù)優(yōu)先級(jí)保持一致,”他說道,“這種方法還創(chuàng)建了一個(gè)可衡量的框架,包括恢復(fù)時(shí)間目標(biāo)(Recovery Time Objective, RTO)和恢復(fù)點(diǎn)目標(biāo)(Recovery Point Objective, RPO)指標(biāo)。”
沙利文說,CIO經(jīng)常犯的一個(gè)錯(cuò)誤是在防御和預(yù)防措施上過度投資,而忽視了恢復(fù)力和恢復(fù)能力?!斑@會(huì)造成失衡和虛假的安全感,”他警告道,“讓所有利益相關(guān)者參與恢復(fù)工作,并遵循經(jīng)過充分演練和明確傳達(dá)的恢復(fù)程序,至關(guān)重要。”
沙利文建議,每個(gè)企業(yè)都需要一個(gè)更新的災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃?!斑@些計(jì)劃有助于建立恢復(fù)力,同時(shí)側(cè)重于恢復(fù)系統(tǒng)并制定運(yùn)營(yíng)策略,以維持關(guān)鍵業(yè)務(wù)功能,”他解釋道,“最重要的是,該計(jì)劃應(yīng)定期測(cè)試和改進(jìn)?!?/p>
法則七:使IT風(fēng)險(xiǎn)管理與業(yè)務(wù)目標(biāo)保持一致
全球網(wǎng)絡(luò)安全公司Quorum Cyber的CISO約翰·布魯斯(John Bruce)說,IT絕不能孤立存在——它必須直接支持業(yè)務(wù)目標(biāo),同時(shí)防范相關(guān)的技術(shù)威脅。
布魯斯說,強(qiáng)大的IT與業(yè)務(wù)一致性可確保IT投資將帶來業(yè)務(wù)價(jià)值,而不僅僅是技術(shù)能力。“當(dāng)IT和業(yè)務(wù)目標(biāo)同步時(shí),企業(yè)能做出更明智的風(fēng)險(xiǎn)決策,更有效地分配資源,并獲得高層的支持,”他解釋道,“這種方法使技術(shù)從成本中心轉(zhuǎn)變?yōu)闃I(yè)務(wù)推動(dòng)者?!?/p>
布魯斯建議建立一個(gè)正式的風(fēng)險(xiǎn)治理結(jié)構(gòu),其中包括高層的支持?!巴ㄟ^制定將技術(shù)風(fēng)險(xiǎn)與業(yè)務(wù)影響聯(lián)系起來的風(fēng)險(xiǎn)登記冊(cè),并使用高層能夠理解的業(yè)務(wù)指標(biāo),CIO可以建立一個(gè)由業(yè)務(wù)利益相關(guān)者組成的跨部門風(fēng)險(xiǎn)委員會(huì),以進(jìn)行定期風(fēng)險(xiǎn)審查?!?/p>