任何行業(yè)都無(wú)法避免這個(gè)問(wèn)題，數(shù)據(jù)一旦泄露，在今天的數(shù)字世界，是非常嚴(yán)重和非常現(xiàn)實(shí)的威脅。在國(guó)外一些地區(qū)，僅在醫(yī)學(xué)領(lǐng)域，客戶數(shù)據(jù)如果丟失，要承擔(dān)違約責(zé)任，甚至超過(guò)醫(yī)療事故的成本。 不過(guò)，保護(hù)數(shù)據(jù)、減少數(shù)據(jù)破壞的概率和影響的核心，是基于風(fēng)險(xiǎn)管理能力的提升。下面教你幾招。

01

Dec/2015

雖然很多企業(yè)已經(jīng)認(rèn)識(shí)到風(fēng)險(xiǎn)評(píng)估和管理的需要，還有傾向于把風(fēng)險(xiǎn)評(píng)估和管理同來(lái)做。 不過(guò)，要使一個(gè)風(fēng)險(xiǎn)管理計(jì)劃真正發(fā)揮作用，需要做好下面幾件事情:

1.企業(yè)級(jí)風(fēng)險(xiǎn)管理實(shí)踐。 從定位上來(lái)說(shuō)，這個(gè)風(fēng)險(xiǎn)管理團(tuán)隊(duì)，需要是一個(gè)獨(dú)立的和得到授權(quán)的部門。并且需要在CXO級(jí)別進(jìn)行操作，意思是這個(gè)部門要和業(yè)務(wù)部門處于同等重要的位置。

2.IT級(jí)別的風(fēng)險(xiǎn)管理實(shí)踐。 這個(gè)團(tuán)隊(duì)要專注于研發(fā)、應(yīng)用適用于自身企業(yè)的應(yīng)用程序和測(cè)試風(fēng)險(xiǎn)管理框架，以及相關(guān)的控制與框架。

3.經(jīng)過(guò)認(rèn)證的、合格的風(fēng)險(xiǎn)管理專業(yè)人士。 目前來(lái)說(shuō)，已經(jīng)有幾個(gè)行業(yè)認(rèn)證，比如CRISC(認(rèn)證和信息系統(tǒng)風(fēng)險(xiǎn)控制)和CRMP(注冊(cè)風(fēng)險(xiǎn)管理專業(yè))。慮到網(wǎng)絡(luò)安全已經(jīng)成為移動(dòng)互聯(lián)網(wǎng)時(shí)代運(yùn)營(yíng)最重要的前提，公司需要給他們上大量的繼續(xù)教育培訓(xùn)課程，這是至關(guān)重要的。

其實(shí)，我們可以看到大部分企業(yè)只是采用了以上部分方法，很少能夠全部做到。

02

Dec/2015

風(fēng)險(xiǎn)評(píng)估沒(méi)必要當(dāng)作一個(gè)保密的事情來(lái)做。 一旦風(fēng)險(xiǎn)已經(jīng)確定，他們只能選擇下面這四種處理方式之一，具體選擇哪個(gè)，這取決于每個(gè)風(fēng)險(xiǎn)因素與對(duì)應(yīng)的業(yè)務(wù)的關(guān)聯(lián)性:

1.接受風(fēng)險(xiǎn)。 這適合于低概率和低風(fēng)險(xiǎn)的情況。

2.避免風(fēng)險(xiǎn)。舉個(gè)形象的例子來(lái)說(shuō)，比如病人對(duì)醫(yī)生說(shuō)：“因?yàn)槭裁丛?，我的胳膊受傷了?”醫(yī)生會(huì)說(shuō)：“你不要這樣做就不會(huì)了。” 企業(yè)風(fēng)險(xiǎn)也是一樣，企業(yè)不應(yīng)該做具有風(fēng)險(xiǎn)性的業(yè)務(wù)，或者是不符合他們主要任務(wù)的，或者是不擅長(zhǎng)的專業(yè)領(lǐng)域。 這是適合高概率和高風(fēng)險(xiǎn)的情況。

3.轉(zhuǎn)移風(fēng)險(xiǎn)。 這是適合風(fēng)險(xiǎn)概率較低但風(fēng)險(xiǎn)很高的情況。舉個(gè)例子來(lái)說(shuō)就是，公司可以把風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)公司，或者類似外包的高資本或高專業(yè)性行業(yè)，如數(shù)據(jù)中心服務(wù)。

4.減輕風(fēng)險(xiǎn)。 這種方法適用于高概率但相對(duì)較低風(fēng)險(xiǎn)的情況。 此外，如果你碰巧是一個(gè)服務(wù)提供者，其他公司轉(zhuǎn)移風(fēng)險(xiǎn)給你(如數(shù)據(jù)中心供應(yīng)商)，那么你作為承擔(dān)風(fēng)險(xiǎn)的最后一站，你必須找到方法來(lái)減輕它。

顯然，從風(fēng)險(xiǎn)因素的判斷，再到采取適當(dāng)?shù)男袆?dòng)，是一個(gè)復(fù)雜的過(guò)程，涉及風(fēng)險(xiǎn)管理知識(shí)、風(fēng)險(xiǎn)管理技術(shù)、業(yè)務(wù)關(guān)聯(lián)性分析，以及供應(yīng)商能力分析等精算數(shù)據(jù)等。

話說(shuō)回來(lái)，無(wú)論是接受風(fēng)險(xiǎn)還是避免它，都不會(huì)幫助你的企業(yè)更成功。主動(dòng)防御而不是被動(dòng)防范才是關(guān)鍵。怎么做？就是，覆蓋盡可能多的漏洞。

另一方面，許多企業(yè)意識(shí)到，他么實(shí)際上并沒(méi)有那么多員工、時(shí)間或錢，分配給風(fēng)險(xiǎn)管理這個(gè)部分。 這些是最大的障礙，還有公司內(nèi)部一些問(wèn)題，比如會(huì)引起部門間的利益矛盾。 因此，上面第從四個(gè)選項(xiàng)，是現(xiàn)在最受歡迎的選擇，將風(fēng)險(xiǎn)轉(zhuǎn)嫁給別人，這樣就可以完全緩解風(fēng)險(xiǎn)了。

這么做的最大好處是，外包的方式是最具成本效益的選擇，對(duì)比來(lái)說(shuō)，認(rèn)證的風(fēng)險(xiǎn)管理專業(yè)人員和獲得認(rèn)證的費(fèi)用非常高，還有公司要提供的培養(yǎng)時(shí)間、資源等間接成本。因此有問(wèn)題時(shí)，管理者總是建議將責(zé)任轉(zhuǎn)移到更有效地降低風(fēng)險(xiǎn)的方式。

03

Dec/2015

值得注意的是，在你要搭建一個(gè)真正管用的風(fēng)險(xiǎn)管理系統(tǒng)之前，你需要評(píng)估的是你現(xiàn)在所處的行業(yè)環(huán)境， 而不是試圖評(píng)估自己公司的情況。重要的是，你雇傭的第三方可以不遺余力地，苛求每個(gè)細(xì)節(jié)地完成風(fēng)險(xiǎn)評(píng)估業(yè)務(wù)。完全掌握風(fēng)險(xiǎn)知識(shí)將是你公司發(fā)展的一個(gè)優(yōu)勢(shì)；你知道的越多，越能降低風(fēng)險(xiǎn)。

第二個(gè)需要你做決定的是，是打算花錢自己建立風(fēng)險(xiǎn)部門，并且花一些精力在公司內(nèi)部利益管理上，還是你想通過(guò)外包的方式來(lái)轉(zhuǎn)移風(fēng)險(xiǎn)。

當(dāng)然，無(wú)論你是如何選擇的，你都是要盡可能的把資源放在減少漏洞上。

總結(jié)來(lái)說(shuō)，作為一個(gè)企業(yè)管理者，意識(shí)不到風(fēng)險(xiǎn)管理的重要性、或者不懂得如何進(jìn)行風(fēng)險(xiǎn)管理的后果是可怕的，不僅無(wú)法吸引到高質(zhì)量的人才，還會(huì)破壞公司的名聲和業(yè)務(wù)信譽(yù)。

最后一問(wèn)：你是合格的風(fēng)險(xiǎn)防范者嗎?

注：文章翻譯自networkworld

作者Rich Banta

譯者：許冬琦