在棒球比赛中, “最佳击球点”指的是击球者挥棒时将最大能量转移到球上的准确位置. 这是一种平衡——最好的结果与击球手付出的努力成正比. 类似的概念也存在于风险管理中. IT专业人员希望在寻求风险和避免风险之间找到最好的平衡. 太多的风险追求会导致一个组织在投机活动中盲目冒险, 可能导致业务失败. 极度风险厌恶, 另一方面, 导致组织落后于新兴趋势和市场机会——宝丽来(Polaroid)和百视达(Blockbuster)就是这样的例子. 找到适当的平衡可以将组织的风险计划从无休止的风险登记册上打开和关闭条目的循环中转移到真正符合并促进业务目标的计划中.
寻求风险
风险并不一定是坏事. 每个人都为了实现目标而从事冒险行为, 无论是开车还是吃热狗. 这两种活动每年都造成死亡, 但人们愿意承担风险,因为他们看到了好处. 商业也不例外. 将电脑连接到互联网和使用信用卡交易存在风险, 但不参与这些活动会带来更大的风险:完全无法开展业务. 寻找新的机会和接受相应的风险是商业和生活的一部分.
IT专业人员希望在寻求风险和避免风险之间找到最好的平衡.
风险规避
识别和减轻风险是风险管理人员擅长的领域, 有时会损害人们对寻求风险重要性的理解. 这可以在信息安全和技术风险中看到,其中的冲动是将所有红色变为绿色, 忘记了每个安全控制都伴随着机会成本和潜在的终端用户摩擦. 风险之间的联系, 无论是寻求还是逃避, 如果风险管理项目有任何获得长期成功的机会,那么业务就需要紧密地联系在一起.
甜点
把冒险行为想象成棒球棒. 击球手不应击打球的旋钮或端盖. 这是浪费能源. 人们也不想从事极端风险寻求或风险规避行为. 在中间的某个地方有一个平衡. 风险管理人员的工作是帮助领导层在使业务可行的风险和超出组织容忍度的风险之间找到平衡.
这可以通过倾听领导的意见来实现, 了解组织对风险的偏好在哪里,并在一个明智的策略中选择控制, risk-aware方式. 安全性和控制非常重要. 它们可以减轻严重的、代价高昂的风险,但需要平衡.
风险量化是发现和沟通平衡的不可或缺的工具,因为它有助于领导了解一个领域的风险暴露量, 通过多少安全控制可以减少暴露和, 也许最重要的是, 如果控制的成本与减少的风险成正比. 这种平衡是风险治理的关键部分,并帮助领导以一种切实可行的方式将风险与其对业务目标的影响联系起来.
托尼Martin-Vegue, CISM, CISSP, OpenFAIR
是一名作家、演说家和风险专家,对数据驱动的决策有热情吗. 他运用了他在经济学方面的专业知识, 网络风险量化和信息安全,就如何将基于证据的风险分析整合到业务战略中,向高级运营和安全领导者提供建议. Martin-Vegue是信息风险分析师协会的董事会成员,也是致力于推进风险量化的专业组织FAIR institute旧金山分会的联合主席. 可以通过以下方式与他联系 www.tonym-v.com.