市場(chǎng)份額的下降��。把無形損失���,比如商譽(yù)損失���,轉(zhuǎn)化為經(jīng)濟(jì)術(shù)語,估算他們對(duì)公司銷售的影響���,是否會(huì)引發(fā)營銷下降���,公司受到法律懲罰或罰款。另一個(gè)評(píng)估資產(chǎn)風(fēng)險(xiǎn)價(jià)值的好辦法是計(jì)算可能的犯罪利益����,也就是會(huì)吸引外部人員攻擊的價(jià)值。對(duì)于那些損失可能涉及第三方的資產(chǎn)���,應(yīng)該估算出因?yàn)槭韬龆赡軒淼臐撛趥鶆?wù)�����。
第三�,對(duì)每次設(shè)想中的攻擊,計(jì)算出每年的風(fēng)險(xiǎn)���。如果你擁有完整的數(shù)據(jù)資料的話����,就能很容易計(jì)算出外部對(duì)你企業(yè)的攻擊���,以及你響應(yīng)攻擊所用去的費(fèi)用�����。你可以用下面的等式來計(jì)算每年因風(fēng)險(xiǎn)而造成的潛在損失:每年的潛在損失 = 事件發(fā)生的成本 x 漏洞�����。然后根據(jù)風(fēng)險(xiǎn)級(jí)別進(jìn)行優(yōu)先性排序��。
第四,確定可能的防御措施,用它們來平衡風(fēng)險(xiǎn)��。一旦你擁有一張可能的防御清單�,就按照四個(gè)標(biāo)準(zhǔn)來檢討取舍:成本;與企業(yè)目標(biāo)的一致程度或偏離程度����;對(duì)業(yè)務(wù)流程的影響,包括成本——這取決于是否需要對(duì)流程進(jìn)行重新設(shè)計(jì)�����;以及對(duì)當(dāng)前和未來風(fēng)險(xiǎn)管理行動(dòng)的影響��。最后一項(xiàng)可能取決于:你是否需要一直使用昂貴的��、難以獲取的技巧和知識(shí)��;這是否會(huì)限制靈活性或緩解其他風(fēng)險(xiǎn)的能力����;這是否有利于促進(jìn)長(zhǎng)期、而非暫時(shí)的風(fēng)險(xiǎn)管理���。
最后���,你還必須執(zhí)行這些防御措施�����,并對(duì)你的成功進(jìn)行評(píng)估���。而且,你還要定期匯報(bào)識(shí)別出來的風(fēng)險(xiǎn)的狀態(tài)���,以及你所采取的風(fēng)險(xiǎn)管理措施�����。在公司的每一級(jí)���,管理層應(yīng)該大致關(guān)注五至七個(gè)主要的風(fēng)險(xiǎn),并且定期地向更上一級(jí)管理層匯報(bào)����。
在風(fēng)險(xiǎn)管理流程方面,英國電信批發(fā)公司(BT Wholesale)就是一個(gè)很好的例子�。
該公司是英國電信公司(BT)下屬的一家公司,為英國電信公司和其他通信公司提供網(wǎng)絡(luò)服務(wù)和全面解決方案���。公司CIO菲爾·丹斯(Phil Dance)和他的團(tuán)隊(duì)認(rèn)為��,不完善的語音網(wǎng)絡(luò)是公司的主要風(fēng)險(xiǎn)�����。這種不完善����,將對(duì)公司的股價(jià)��、信譽(yù)以及未來的業(yè)務(wù)會(huì)帶來不可估量的損害�。由于這種風(fēng)險(xiǎn)的成本非常巨大,公司因此決定���,把IP網(wǎng)絡(luò)根據(jù)運(yùn)行在當(dāng)前網(wǎng)絡(luò)上的各種應(yīng)用進(jìn)行分割�,負(fù)責(zé)數(shù)據(jù)處理的網(wǎng)絡(luò)部分�,和管理像路由器、交換機(jī)那樣的硬件系統(tǒng)��、維持網(wǎng)絡(luò)運(yùn)行的網(wǎng)絡(luò)部分必須分開�����。這樣做,使得公司很好地保護(hù)了交換網(wǎng)�����,極大地降低了危及網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)����。英國電信批發(fā)公司對(duì)風(fēng)險(xiǎn)管理的這種態(tài)度,充分說明了網(wǎng)絡(luò)和信息安全對(duì)提高網(wǎng)絡(luò)效率也非常重要����。
正如大多數(shù)CIO們所知,風(fēng)險(xiǎn)管理代價(jià)不低����。但值得關(guān)注的是,相對(duì)于那些不夠自信的管理者們�����,高度自信的風(fēng)險(xiǎn)管理者們的平均支出只增加了20%���。而從占公司收入的百分比看����,這點(diǎn)差異幾乎可以忽略不計(jì)。
我們把這一點(diǎn)告訴了那些正在努力爭(zhēng)取風(fēng)險(xiǎn)管理預(yù)算的CIO們�。如果你的情況也類似,那么請(qǐng)記住�,風(fēng)險(xiǎn)管理問題不是IT問題,是企業(yè)問題�����,因此��,你也要用針對(duì)企業(yè)問題的辦法來對(duì)待它���。
你應(yīng)該確保你的同事及董事會(huì),不僅充分理解這些風(fēng)險(xiǎn)�����,而且理解為了緩解風(fēng)險(xiǎn)而采取的各種努力是符合企業(yè)風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)的��。然后����,在企業(yè)層面上做出決策,分配預(yù)算和資源����,并確定什么級(jí)別的風(fēng)險(xiǎn)是可以接受的��。
一位CIO在我們近期的座談會(huì)上談到�����,在一個(gè)IT預(yù)算會(huì)議上�,他的團(tuán)隊(duì)提交的預(yù)算完全圍繞IT安全��,根本沒有涉及任何具體技術(shù)��。他的團(tuán)隊(duì)簡(jiǎn)單說明了一些敏感數(shù)據(jù)存在的安全隱患��,以及可能付出的安全代價(jià)���,接著就討論如何把錢花在降低風(fēng)險(xiǎn)上��,并指出��,這些開支要大大低于潛在風(fēng)險(xiǎn)所帶來的破壞��。結(jié)果����,預(yù)算請(qǐng)求不僅獲得了批準(zhǔn),而且公司首席財(cái)務(wù)官和首席運(yùn)營官還為該項(xiàng)目增加了額外的預(yù)算���。
企業(yè)的風(fēng)險(xiǎn)管理不僅僅是為了IT����,它將會(huì)成為新型CIO日常工作的一部分����。如果你還不怎么熟悉風(fēng)險(xiǎn)管理的步驟和程序,那么���,從今天起就開始練習(xí)。你是一個(gè)領(lǐng)導(dǎo)者���,你必須領(lǐng)導(dǎo)和教育其他管理者�,哪些是和技術(shù)有關(guān)的重大風(fēng)險(xiǎn)��。很顯然�,成為企業(yè)的風(fēng)險(xiǎn)管理的領(lǐng)導(dǎo)人,對(duì)提升新型CIO的威信將具有非常重要的作用�����。