的幾個(gè)月里�����,哥倫比亞號(hào)飛機(jī)墜毀事故的獨(dú)立調(diào)查委員會(huì)發(fā)現(xiàn)�,導(dǎo)致事故的表明原因是由行李箱大小的一塊泡沫材料所引發(fā)的���,這塊材料在升空時(shí)從航天飛機(jī)外部燃料箱上脫落���,在機(jī)翼的隔熱瓷瓦上撞出了一個(gè)洞���,使得鋁合金框架暴露在高溫下被融化�����,更深層次的原因在于:NASA(美國(guó)國(guó)家航空和宇宙航行局)內(nèi)部缺乏有效溝通的松懈的安全文化���,參于整個(gè)航天飛機(jī)項(xiàng)目中的各個(gè)分包商之間缺乏有效的溝通�����。因?yàn)?,各個(gè)部門的經(jīng)理們都是分布在NASA的周圍的��,由于地理位置的限制��,負(fù)責(zé)航天飛機(jī)安全的經(jīng)理們之間并沒有建立起正式的交流��、討論程序���,他們也就不能彼此對(duì)自己關(guān)心的問題和設(shè)計(jì)等進(jìn)行探討��,更不可能制定一個(gè)全面的控制風(fēng)險(xiǎn)的戰(zhàn)略���。
在調(diào)查結(jié)束后�����,NASA 的管理局任命其總經(jīng)理來負(fù)責(zé)促進(jìn)��、改善其內(nèi)部部門���、員工間的交流和溝通。Scott Santiago 做為NASA的代理CIO原來是負(fù)責(zé)IT系統(tǒng)安全的��,現(xiàn)在開始尋找降低IT系統(tǒng)風(fēng)險(xiǎn)的方法和途徑���。從表面上來看����,IT 安全與航天飛機(jī)失事的災(zāi)難沒有任何關(guān)系�,但是Santiago 知道IT系統(tǒng)是航天飛機(jī)項(xiàng)目安全最重要的支持和保證,同時(shí)對(duì)于NASA 其他的大量的項(xiàng)目來說��,IT系統(tǒng)對(duì)于項(xiàng)目的成功也具有至關(guān)重要的作用����。
Santiago 注意到,NASA 的信息系統(tǒng)����,不僅僅是各個(gè)項(xiàng)目的承包商在使用,而且全國(guó)有成百上千的用戶也可以進(jìn)入這個(gè)系統(tǒng)��,并且在不同的層面上可以修改和共享信息��。但是���,這些用戶幾乎都沒有和NASA有什么交流和溝通���,他們對(duì)那些專門針對(duì)IT系統(tǒng)的安全性制定的政策和程序幾乎一竅不通。由于在使用上缺乏一致性���,很可能會(huì)給系統(tǒng)帶來未知的風(fēng)險(xiǎn)�,一些病毒和潛在的漏洞可能會(huì)大大降低信息系統(tǒng)的安全性���。
為了控制和降低上面的風(fēng)險(xiǎn)�����,Santiago 開始采用一般企業(yè)使用的方式:企業(yè)風(fēng)險(xiǎn)管理(ERM)����。世界上第一位首席風(fēng)險(xiǎn)官Lam(最先在GE Capital公司擔(dān)任此職)認(rèn)為,ERM是指“綜合管理業(yè)務(wù)風(fēng)險(xiǎn)�����、財(cái)務(wù)風(fēng)險(xiǎn)�����、經(jīng)營(yíng)風(fēng)險(xiǎn)和風(fēng)險(xiǎn)轉(zhuǎn)移�,力求公司股東價(jià)值的最大化?����!币簿褪钦f���,企業(yè)風(fēng)險(xiǎn)管理思想通過統(tǒng)一分析公司內(nèi)外的所有風(fēng)險(xiǎn)�,制訂行政級(jí)管理策略來處理這些風(fēng)險(xiǎn)��,從而來提高公司的盈利能力����。如果措施得當(dāng)?shù)脑挘珽RM可以通過改善TI系統(tǒng)的管理��,優(yōu)化企業(yè)在IT設(shè)施上的投資,從而最終降低損失和事故發(fā)生的概率��,提高企業(yè)的價(jià)值�。
現(xiàn)在像Santiago 一樣���,很多企業(yè)的CIO 都開始面對(duì)整個(gè)企業(yè)風(fēng)險(xiǎn)所帶來的挑戰(zhàn)�����,原因很簡(jiǎn)單:現(xiàn)在的企業(yè)越來越依靠IT系統(tǒng)的功能��。雖然���,ERM 是非常復(fù)雜的,對(duì)于很多人來說它還是深?yuàn)W難懂的�,同時(shí)采用ERM的方法通常都需要改變企業(yè)現(xiàn)有的企業(yè)文化,這一點(diǎn)往往會(huì)導(dǎo)致企業(yè)現(xiàn)有員工的抵制�����,因?yàn)橐话銇碚f人們都會(huì)把風(fēng)險(xiǎn)的出現(xiàn)看作是對(duì)他們的批評(píng)�����。Santiago 也知道其實(shí)他是很難改變NASA的那些經(jīng)理們以項(xiàng)目為導(dǎo)向的風(fēng)險(xiǎn)管理方法,何況他們使用這種方法已經(jīng)有幾十年了�����?��!耙话愕娜硕紩?huì)傾向從技術(shù)的角度來解決問題���,如防火墻、VPNs等等��,” Santiago 解釋道�,“但是,我們必須從整體上來考慮到底是哪些信息與安全相關(guān)�,我們到底需要做哪些工作來保護(hù)那些信息,同時(shí)還需要知道如何去管理它們����。”
為了讓ERM系統(tǒng)有效的運(yùn)轉(zhuǎn)起來���,CIO們需要制定一個(gè)專門的領(lǐng)導(dǎo)戰(zhàn)略計(jì)劃���。作者曾經(jīng)對(duì)將近30個(gè)實(shí)施ERM的管理顧問�����、學(xué)者和CIO們做過專訪��,在此基礎(chǔ)上做了一個(gè)全面的整理和綜合��。但是����,我們要注意的是�,這個(gè)五步戰(zhàn)略模式其實(shí)還可以應(yīng)用到其他很多的類似領(lǐng)導(dǎo)戰(zhàn)略的挑戰(zhàn)的�����。下面的內(nèi)容是關(guān)于其如何應(yīng)用在ERM中的��。