市場份額的下降���。把無形損失,比如商譽損失�����,轉(zhuǎn)化為經(jīng)濟術(shù)語�,估算他們對公司銷售的影響��,是否會引發(fā)營銷下降��,公司受到法律懲罰或罰款����。另一個評估資產(chǎn)風(fēng)險價值的好辦法是計算可能的犯罪利益,也就是會吸引外部人員攻擊的價值�。對于那些損失可能涉及第三方的資產(chǎn),應(yīng)該估算出因為疏忽而可能帶來的潛在債務(wù)�。
第三,對每次設(shè)想中的攻擊,計算出每年的風(fēng)險����。如果你擁有完整的數(shù)據(jù)資料的話,就能很容易計算出外部對你企業(yè)的攻擊��,以及你響應(yīng)攻擊所用去的費用����。你可以用下面的等式來計算每年因風(fēng)險而造成的潛在損失:每年的潛在損失 = 事件發(fā)生的成本 x 漏洞。然后根據(jù)風(fēng)險級別進行優(yōu)先性排序�。
第四,確定可能的防御措施�����,用它們來平衡風(fēng)險�����。一旦你擁有一張可能的防御清單���,就按照四個標(biāo)準(zhǔn)來檢討取舍:成本�;與企業(yè)目標(biāo)的一致程度或偏離程度��;對業(yè)務(wù)流程的影響,包括成本——這取決于是否需要對流程進行重新設(shè)計�����;以及對當(dāng)前和未來風(fēng)險管理行動的影響���。最后一項可能取決于:你是否需要一直使用昂貴的����、難以獲取的技巧和知識��;這是否會限制靈活性或緩解其他風(fēng)險的能力��;這是否有利于促進長期����、而非暫時的風(fēng)險管理�。
最后,你還必須執(zhí)行這些防御措施���,并對你的成功進行評估�����。而且�����,你還要定期匯報識別出來的風(fēng)險的狀態(tài)�����,以及你所采取的風(fēng)險管理措施��。在公司的每一級����,管理層應(yīng)該大致關(guān)注五至七個主要的風(fēng)險,并且定期地向更上一級管理層匯報�����。
在風(fēng)險管理流程方面�,英國電信批發(fā)公司(BT Wholesale)就是一個很好的例子。
該公司是英國電信公司(BT)下屬的一家公司��,為英國電信公司和其他通信公司提供網(wǎng)絡(luò)服務(wù)和全面解決方案���。公司CIO菲爾·丹斯(Phil Dance)和他的團隊認(rèn)為�,不完善的語音網(wǎng)絡(luò)是公司的主要風(fēng)險。這種不完善�,將對公司的股價、信譽以及未來的業(yè)務(wù)會帶來不可估量的損害�����。由于這種風(fēng)險的成本非常巨大����,公司因此決定,把IP網(wǎng)絡(luò)根據(jù)運行在當(dāng)前網(wǎng)絡(luò)上的各種應(yīng)用進行分割���,負責(zé)數(shù)據(jù)處理的網(wǎng)絡(luò)部分���,和管理像路由器、交換機那樣的硬件系統(tǒng)���、維持網(wǎng)絡(luò)運行的網(wǎng)絡(luò)部分必須分開����。這樣做���,使得公司很好地保護了交換網(wǎng)���,極大地降低了危及網(wǎng)絡(luò)安全的風(fēng)險。英國電信批發(fā)公司對風(fēng)險管理的這種態(tài)度���,充分說明了網(wǎng)絡(luò)和信息安全對提高網(wǎng)絡(luò)效率也非常重要�����。
正如大多數(shù)CIO們所知��,風(fēng)險管理代價不低�。但值得關(guān)注的是��,相對于那些不夠自信的管理者們�,高度自信的風(fēng)險管理者們的平均支出只增加了20%。而從占公司收入的百分比看��,這點差異幾乎可以忽略不計�����。
我們把這一點告訴了那些正在努力爭取風(fēng)險管理預(yù)算的CIO們���。如果你的情況也類似���,那么請記住�,風(fēng)險管理問題不是IT問題��,是企業(yè)問題����,因此,你也要用針對企業(yè)問題的辦法來對待它�����。
你應(yīng)該確保你的同事及董事會����,不僅充分理解這些風(fēng)險,而且理解為了緩解風(fēng)險而采取的各種努力是符合企業(yè)風(fēng)險管理標(biāo)準(zhǔn)的�。然后,在企業(yè)層面上做出決策���,分配預(yù)算和資源����,并確定什么級別的風(fēng)險是可以接受的。
一位CIO在我們近期的座談會上談到����,在一個IT預(yù)算會議上��,他的團隊提交的預(yù)算完全圍繞IT安全���,根本沒有涉及任何具體技術(shù)�����。他的團隊簡單說明了一些敏感數(shù)據(jù)存在的安全隱患�����,以及可能付出的安全代價�,接著就討論如何把錢花在降低風(fēng)險上����,并指出,這些開支要大大低于潛在風(fēng)險所帶來的破壞��。結(jié)果��,預(yù)算請求不僅獲得了批準(zhǔn),而且公司首席財務(wù)官和首席運營官還為該項目增加了額外的預(yù)算�����。
企業(yè)的風(fēng)險管理不僅僅是為了IT����,它將會成為新型CIO日常工作的一部分。如果你還不怎么熟悉風(fēng)險管理的步驟和程序����,那么,從今天起就開始練習(xí)���。你是一個領(lǐng)導(dǎo)者���,你必須領(lǐng)導(dǎo)和教育其他管理者,哪些是和技術(shù)有關(guān)的重大風(fēng)險�。很顯然,成為企業(yè)的風(fēng)險管理的領(lǐng)導(dǎo)人��,對提升新型CIO的威信將具有非常重要的作用���。