市场份额的下降。把无形损失,比如商誉损失,转化为经济术语,估算他们对公司销售的影响,是否会引发营销下降,公司受到法律惩罚或罚款。另一个评估资产风险价值的好办法是计算可能的犯罪利益,也就是会吸引外部人员攻击的价值。对于那些损失可能涉及第三方的资产,应该估算出因为疏忽而可能带来的潜在债务。
第三,对每次设想中的攻击,计算出每年的风险。如果你拥有完整的数据资料的话,就能很容易计算出外部对你企业的攻击,以及你响应攻击所用去的费用。你可以用下面的等式来计算每年因风险而造成的潜在损失:每年的潜在损失 = 事件发生的成本 x 漏洞。然后根据风险级别进行优先性排序。
第四,确定可能的防御措施,用它们来平衡风险。一旦你拥有一张可能的防御清单,就按照四个标准来检讨取舍:成本;与企业目标的一致程度或偏离程度;对业务流程的影响,包括成本——这取决于是否需要对流程进行重新设计;以及对当前和未来风险管理行动的影响。最后一项可能取决于:你是否需要一直使用昂贵的、难以获取的技巧和知识;这是否会限制灵活性或缓解其他风险的能力;这是否有利于促进长期、而非暂时的风险管理。
最后,你还必须执行这些防御措施,并对你的成功进行评估。而且,你还要定期汇报识别出来的风险的状态,以及你所采取的风险管理措施。在公司的每一级,管理层应该大致关注五至七个主要的风险,并且定期地向更上一级管理层汇报。
在风险管理流程方面,英国电信批发公司(BT Wholesale)就是一个很好的例子。
该公司是英国电信公司(BT)下属的一家公司,为英国电信公司和其他通信公司提供网络服务和全面解决方案。公司CIO菲尔·丹斯(Phil Dance)和他的团队认为,不完善的语音网络是公司的主要风险。这种不完善,将对公司的股价、信誉以及未来的业务会带来不可估量的损害。由于这种风险的成本非常巨大,公司因此决定,把IP网络根据运行在当前网络上的各种应用进行分割,负责数据处理的网络部分,和管理像路由器、交换机那样的硬件系统、维持网络运行的网络部分必须分开。这样做,使得公司很好地保护了交换网,极大地降低了危及网络安全的风险。英国电信批发公司对风险管理的这种态度,充分说明了网络和信息安全对提高网络效率也非常重要。
正如大多数CIO们所知,风险管理代价不低。但值得关注的是,相对于那些不够自信的管理者们,高度自信的风险管理者们的平均支出只增加了20%。而从占公司收入的百分比看,这点差异几乎可以忽略不计。
我们把这一点告诉了那些正在努力争取风险管理预算的CIO们。如果你的情况也类似,那么请记住,风险管理问题不是IT问题,是企业问题,因此,你也要用针对企业问题的办法来对待它。
你应该确保你的同事及董事会,不仅充分理解这些风险,而且理解为了缓解风险而采取的各种努力是符合企业风险管理标准的。然后,在企业层面上做出决策,分配预算和资源,并确定什么级别的风险是可以接受的。
一位CIO在我们近期的座谈会上谈到,在一个IT预算会议上,他的团队提交的预算完全围绕IT安全,根本没有涉及任何具体技术。他的团队简单说明了一些敏感数据存在的安全隐患,以及可能付出的安全代价,接着就讨论如何把钱花在降低风险上,并指出,这些开支要大大低于潜在风险所带来的破坏。结果,预算请求不仅获得了批准,而且公司首席财务官和首席运营官还为该项目增加了额外的预算。
企业的风险管理不仅仅是为了IT,它将会成为新型CIO日常工作的一部分。如果你还不怎么熟悉风险管理的步骤和程序,那么,从今天起就开始练习。你是一个领导者,你必须领导和教育其他管理者,哪些是和技术有关的重大风险。很显然,成为企业的风险管理的领导人,对提升新型CIO的威信将具有非常重要的作用。