任何行业都无法避免这个问题,数据一旦泄露,在今天的数字世界,是非常严重和非常现实的威胁。在国外一些地区,仅在医学领域,客户数据如果丢失,要承担违约责任,甚至超过医疗事故的成本。 不过,保护数据、减少数据破坏的概率和影响的核心,是基于风险管理能力的提升。下面教你几招。
01
Dec/2015
虽然很多企业已经认识到风险评估和管理的需要,还有倾向于把风险评估和管理同来做。 不过,要使一个风险管理计划真正发挥作用,需要做好下面几件事情:
1.企业级风险管理实践。 从定位上来说,这个风险管理团队,需要是一个独立的和得到授权的部门。并且需要在CXO级别进行操作,意思是这个部门要和业务部门处于同等重要的位置。
2.IT级别的风险管理实践。 这个团队要专注于研发、应用适用于自身企业的应用程序和测试风险管理框架,以及相关的控制与框架。
3.经过认证的、合格的风险管理专业人士。 目前来说,已经有几个行业认证,比如CRISC(认证和信息系统风险控制)和CRMP(注册风险管理专业)。虑到网络安全已经成为移动互联网时代运营最重要的前提,公司需要给他们上大量的继续教育培训课程,这是至关重要的。
其实,我们可以看到大部分企业只是采用了以上部分方法,很少能够全部做到。
02
Dec/2015
风险评估没必要当作一个保密的事情来做。 一旦风险已经确定,他们只能选择下面这四种处理方式之一,具体选择哪个,这取决于每个风险因素与对应的业务的关联性:
1.接受风险。 这适合于低概率和低风险的情况。
2.避免风险。举个形象的例子来说,比如病人对医生说:“因为什么原因,我的胳膊受伤了。 ”医生会说:“你不要这样做就不会了。” 企业风险也是一样,企业不应该做具有风险性的业务,或者是不符合他们主要任务的,或者是不擅长的专业领域。 这是适合高概率和高风险的情况。
3.转移风险。 这是适合风险概率较低但风险很高的情况。举个例子来说就是,公司可以把风险转移给保险公司,或者类似外包的高资本或高专业性行业,如数据中心服务。
4.减轻风险。 这种方法适用于高概率但相对较低风险的情况。 此外,如果你碰巧是一个服务提供者,其他公司转移风险给你(如数据中心供应商),那么你作为承担风险的最后一站,你必须找到方法来减轻它。
显然,从风险因素的判断,再到采取适当的行动,是一个复杂的过程,涉及风险管理知识、风险管理技术、业务关联性分析,以及供应商能力分析等精算数据等。
话说回来,无论是接受风险还是避免它,都不会帮助你的企业更成功。主动防御而不是被动防范才是关键。怎么做?就是,覆盖尽可能多的漏洞。
另一方面,许多企业意识到,他么实际上并没有那么多员工、时间或钱,分配给风险管理这个部分。 这些是最大的障碍,还有公司内部一些问题,比如会引起部门间的利益矛盾。 因此,上面第从四个选项,是现在最受欢迎的选择,将风险转嫁给别人,这样就可以完全缓解风险了。
这么做的最大好处是,外包的方式是最具成本效益的选择,对比来说,认证的风险管理专业人员和获得认证的费用非常高,还有公司要提供的培养时间、资源等间接成本。因此有问题时,管理者总是建议将责任转移到更有效地降低风险的方式。
03
Dec/2015
值得注意的是,在你要搭建一个真正管用的风险管理系统之前,你需要评估的是你现在所处的行业环境, 而不是试图评估自己公司的情况。重要的是,你雇佣的第三方可以不遗余力地,苛求每个细节地完成风险评估业务。完全掌握风险知识将是你公司发展的一个优势;你知道的越多,越能降低风险。
第二个需要你做决定的是,是打算花钱自己建立风险部门,并且花一些精力在公司内部利益管理上,还是你想通过外包的方式来转移风险。
当然,无论你是如何选择的,你都是要尽可能的把资源放在减少漏洞上。
总结来说,作为一个企业管理者,意识不到风险管理的重要性、或者不懂得如何进行风险管理的后果是可怕的,不仅无法吸引到高质量的人才,还会破坏公司的名声和业务信誉。
最后一问:你是合格的风险防范者吗?
注:文章翻译自networkworld
作者Rich Banta
译者:许冬琦
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。