对于每一位CIO而言,有效的风险管理都是首要任务。遵循一些基本法则将有助于你的IT战略与企业的风险承受能力保持一致。
风险无处不在,环顾四周,你会发现技术、经济和竞争障碍,这些障碍CIO们不仅必须应对,更要战胜。
普华永道全球风险调查显示,75%的风险管理领导者认为财务压力限制了他们投资于评估和监控风险所需先进技术的能力,然而,未能通过有效的风险管理计划成功应对风险,无异于自寻灾难。
你的企业是否正在竭尽所能地保护自己免受内外部威胁?以下七条基本法则有助于确保你步入正轨。
法则一:从可接受的风险承受能力水平出发
企业咨询公司Resultant的首席顾问保拉·赛贝内(Paola Saibene)表示,一旦CIO了解企业的风险承受能力,其余的一切——战略、创新、技术选择——都将顺利实现协调一致。
但确定这一风险承受能力,即特定情况下可接受的风险水平,颇具挑战性。赛贝内指出,许多企业对风险有直观的了解,但并未以结构化的方式明确界定或传达风险。
“事实上,CIO经常将风险管理与合规或网络安全混为一谈,然而风险的范围要广泛得多,”她说,并建议IT领导者指定一名企业风险官,此人可以作为CIO的最佳盟友,帮助应对风险、加速战略举措,并在需要谨慎和可能加速的地方提供指导。
赛贝内认为,风险管理是领导层中最常被误解但最有价值的方面之一。当CIO采纳风险框架时,他们可以主动识别与IT相关的风险、提出缓解策略,并与风险官进行有效协作。“这不仅增强了高层的支持,还加速了进展。”她解释道。
法则二:盘点应用程序
网络安全制造创新研究所(Cybersecurity Manufacturing Innovation Institute)首席执行官霍华德·格里姆斯(Howard Grimes)建议,对于任何CIO而言,最关键的风险管理法则都是维护企业整个应用程序组合的全面且持续更新的清单,在安全风险显现之前主动识别和缓解这些风险。网络安全制造创新研究所是一个由美国研究机构组成的网络,专注于通过公私合作开发制造技术。
格里姆斯观察到,这听起来可能很简单直接,但许多CIO在这一基本原则上却有所欠缺。“当企业忽视了严格的应用程序组合管理时,风险便会出现,尤其是快速采用新的由AI驱动的工具,如果不加以控制,这些工具可能会无意中泄露企业的知识产权。”
格里姆斯警告称,缺乏结构化的应用程序审查和合理化,企业将容易受到运营效率低下、合规失败以及网络安全风险急剧增加的影响。“CIO应采取主动预防的方法——全面管理企业应用程序,以防止安全漏洞出现。”
格里姆斯说,当前的一个主要担忧是AI驱动工具的快速采用,虽然提高了效率,但也对企业的知识产权构成风险。“企业必须部署机制来保护知识产权,并防止敏感数据被输入公共AI引擎。”他表示,“在许多情况下,公司应选择未连接到互联网的封闭专有AI模型,确保关键数据在企业内部保持安全。”
格里姆斯补充道:“CIO必须对企业内的每个应用程序、资源和资产进行合理化,确保消除冗余或不必要的工具,主动解决安全漏洞,防止员工将未经授权的应用程序引入IT生态系统。”
他还建议,对于将应用程序的使用范围扩大至其原始用途之外的情况,应进行仔细评估,因为这样做可能会带来意料之外的安全风险。“此外,如果不进行频繁且主动的应用程序合理化,应用程序的蔓延就会导致效率低下、网络安全风险增加以及IT支持团队负担加重。”
法则三:积极主动
风险管理咨询公司Founder Shield的技术业务负责人乔纳森·塞尔比(Jonathan Selby)建议,每位CIO都需要对网络安全采取积极主动的方法。他建议通过员工培训、系统更新和实施全面的安全措施(包括事件响应计划)来创建以安全为先的文化。
塞尔比说,网络安全现在是一场多战线之战。“我们不再拥有从容应对正面袭击的奢侈条件。”领导者必须认识到健全的风险管理计划中各个层级的相互依存性:计划的每个层级都发挥着至关重要的作用。“这不仅仅是一项网络责任保险政策就能完成艰巨任务,也不仅仅是出色的员工培训就能构成你的盔甲——而是这一切的总和。”
塞尔比建议,将风险降至最低的首要方法便是自上而下。“没有必要减少网络责任保险的覆盖范围或在响应计划上松懈,”他说。网络安全必须是全员参与的工作。“每个团队成员在保护公司的数字资产方面都发挥着至关重要的作用。”
法则四:在整个企业中使风险管理正规化
网络安全服务公司GuidePoint Security的高级风险安全顾问威尔·克劳斯(Will Klotz)问道,CIO及其部门每天都在进行风险管理,那么为什么不将这一过程正规化并融入企业的其他业务中呢?“最好是有意将风险管理作为日常管理、决策和运营的一部分。”他建议道。
克劳斯说,以整个企业都能理解的方式表达风险,可以确保项目得到妥善优先级排序,并与技术程度较低的利益相关者进行更有意义的讨论,同时在整个企业内部建立信任。
法则五:实事求是
SaaS安全服务提供商AppOmni的CTO兼联合创始人布莱恩·索比(Brian Soby)说,许多企业的风险管理策略不切实际,未能解决现实世界中的风险,或这些风险是如何产生的。
索比建议根据现实世界中的事件来测试企业当前的风险管理计划。“我们几乎每周都能在新闻中看到信息泄露事件,”他观察到。他建议,对于这些事件中的每一个,都要考虑事件发生的背景或攻击行为,并将它们应用到自己的公司上。“结果会是你们公司也登上了同样的新闻头条吗?”
索比认为,企业在认为需要缓解的威胁和风险类型与它们实际面临的威胁和风险类型之间存在严重的不一致。“企业需要根据现实情况来评估其风险管理计划,而要做到这一点最简单的方法就是将企业计划与实际事件进行对照,看看结果会如何。”
索比建议,看看其他企业正在采取哪些方法来通过安全培训和技术控制来减轻风险。“将它们与我们所看到的现实世界中的信息泄露事件进行比较。”
法则六:寻求恢复力
网络安全和风险管理公司CIOSO Global的创始人兼CEO、嘉年华公司(Carnival Corp.)的前CIO格雷格·沙利文(Greg Sullivan)表示,企业的重点应放在恢复力以及构建可以快速从任何中断中恢复的系统上。“有恢复力的系统可以同时应对多个威胁载体,同时还与业务优先级保持一致,”他说道,“这种方法还创建了一个可衡量的框架,包括恢复时间目标(Recovery Time Objective, RTO)和恢复点目标(Recovery Point Objective, RPO)指标。”
沙利文说,CIO经常犯的一个错误是在防御和预防措施上过度投资,而忽视了恢复力和恢复能力。“这会造成失衡和虚假的安全感,”他警告道,“让所有利益相关者参与恢复工作,并遵循经过充分演练和明确传达的恢复程序,至关重要。”
沙利文建议,每个企业都需要一个更新的灾难恢复和业务连续性计划。“这些计划有助于建立恢复力,同时侧重于恢复系统并制定运营策略,以维持关键业务功能,”他解释道,“最重要的是,该计划应定期测试和改进。”
法则七:使IT风险管理与业务目标保持一致
全球网络安全公司Quorum Cyber的CISO约翰·布鲁斯(John Bruce)说,IT绝不能孤立存在——它必须直接支持业务目标,同时防范相关的技术威胁。
布鲁斯说,强大的IT与业务一致性可确保IT投资将带来业务价值,而不仅仅是技术能力。“当IT和业务目标同步时,企业能做出更明智的风险决策,更有效地分配资源,并获得高层的支持,”他解释道,“这种方法使技术从成本中心转变为业务推动者。”
布鲁斯建议建立一个正式的风险治理结构,其中包括高层的支持。“通过制定将技术风险与业务影响联系起来的风险登记册,并使用高层能够理解的业务指标,CIO可以建立一个由业务利益相关者组成的跨部门风险委员会,以进行定期风险审查。”
