市場份額的下降����。把無形損失�����,比如商譽損失����,轉化為經(jīng)濟術語,估算他們對公司銷售的影響����,是否會引發(fā)營銷下降,公司受到法律懲罰或罰款����。另一個評估資產(chǎn)風險價值的好辦法是計算可能的犯罪利益,也就是會吸引外部人員攻擊的價值����。對于那些損失可能涉及第三方的資產(chǎn)����,應該估算出因為疏忽而可能帶來的潛在債務����。
第三,對每次設想中的攻擊��,計算出每年的風險���。如果你擁有完整的數(shù)據(jù)資料的話���,就能很容易計算出外部對你企業(yè)的攻擊,以及你響應攻擊所用去的費用�����。你可以用下面的等式來計算每年因風險而造成的潛在損失:每年的潛在損失 = 事件發(fā)生的成本 x 漏洞����。然后根據(jù)風險級別進行優(yōu)先性排序。
第四�����,確定可能的防御措施,用它們來平衡風險��。一旦你擁有一張可能的防御清單�,就按照四個標準來檢討取舍:成本�;與企業(yè)目標的一致程度或偏離程度;對業(yè)務流程的影響���,包括成本——這取決于是否需要對流程進行重新設計����;以及對當前和未來風險管理行動的影響���。最后一項可能取決于:你是否需要一直使用昂貴的�、難以獲取的技巧和知識�����;這是否會限制靈活性或緩解其他風險的能力��;這是否有利于促進長期���、而非暫時的風險管理���。
最后�,你還必須執(zhí)行這些防御措施���,并對你的成功進行評估���。而且,你還要定期匯報識別出來的風險的狀態(tài)����,以及你所采取的風險管理措施。在公司的每一級�,管理層應該大致關注五至七個主要的風險,并且定期地向更上一級管理層匯報�����。
在風險管理流程方面���,英國電信批發(fā)公司(BT Wholesale)就是一個很好的例子����。
該公司是英國電信公司(BT)下屬的一家公司,為英國電信公司和其他通信公司提供網(wǎng)絡服務和全面解決方案����。公司CIO菲爾·丹斯(Phil Dance)和他的團隊認為,不完善的語音網(wǎng)絡是公司的主要風險����。這種不完善�,將對公司的股價、信譽以及未來的業(yè)務會帶來不可估量的損害���。由于這種風險的成本非常巨大�,公司因此決定�����,把IP網(wǎng)絡根據(jù)運行在當前網(wǎng)絡上的各種應用進行分割��,負責數(shù)據(jù)處理的網(wǎng)絡部分����,和管理像路由器、交換機那樣的硬件系統(tǒng)、維持網(wǎng)絡運行的網(wǎng)絡部分必須分開�����。這樣做���,使得公司很好地保護了交換網(wǎng)�,極大地降低了危及網(wǎng)絡安全的風險���。英國電信批發(fā)公司對風險管理的這種態(tài)度���,充分說明了網(wǎng)絡和信息安全對提高網(wǎng)絡效率也非常重要。
正如大多數(shù)CIO們所知��,風險管理代價不低���。但值得關注的是����,相對于那些不夠自信的管理者們����,高度自信的風險管理者們的平均支出只增加了20%�。而從占公司收入的百分比看�����,這點差異幾乎可以忽略不計���。
我們把這一點告訴了那些正在努力爭取風險管理預算的CIO們��。如果你的情況也類似�,那么請記住��,風險管理問題不是IT問題����,是企業(yè)問題���,因此�,你也要用針對企業(yè)問題的辦法來對待它�����。
你應該確保你的同事及董事會�����,不僅充分理解這些風險,而且理解為了緩解風險而采取的各種努力是符合企業(yè)風險管理標準的�。然后,在企業(yè)層面上做出決策�,分配預算和資源,并確定什么級別的風險是可以接受的���。
一位CIO在我們近期的座談會上談到�����,在一個IT預算會議上�����,他的團隊提交的預算完全圍繞IT安全����,根本沒有涉及任何具體技術��。他的團隊簡單說明了一些敏感數(shù)據(jù)存在的安全隱患����,以及可能付出的安全代價����,接著就討論如何把錢花在降低風險上�,并指出,這些開支要大大低于潛在風險所帶來的破壞�����。結果����,預算請求不僅獲得了批準,而且公司首席財務官和首席運營官還為該項目增加了額外的預算���。
企業(yè)的風險管理不僅僅是為了IT��,它將會成為新型CIO日常工作的一部分����。如果你還不怎么熟悉風險管理的步驟和程序��,那么�,從今天起就開始練習�。你是一個領導者�,你必須領導和教育其他管理者����,哪些是和技術有關的重大風險。很顯然�����,成為企業(yè)的風險管理的領導人�����,對提升新型CIO的威信將具有非常重要的作用��。