善用“风险智商”

　面对新的信息安全风险，在资源紧张的情况下，IT安全管理者必须要为各种风险区分优先次序，再决定先实施哪个安全项目。要合理评估安全风险，信息高管首先要知道组织在各个风险上的“风险智商”有多高。所谓“风险智商”就是公司评估各种可见风险时表现出的优势和劣势。本文作者阿普加（David Apgar）正是“风险智商”一词的发明者，他在此对之进行了深入的分析，帮助企业进一步明白如何管理风险管理。面对新的信息安全风险，如更加隐蔽的病毒和进化的黑客程序，CEO、CFO、审计部门、董事会都会像放连珠炮似地向IT团队提出予以清除的要求。在资源已经很紧张的情况下，IT安全管理者必须要为各种风险排出优先次序：哪些会带来最严重的后果，哪些可以暂时忽略，以及哪些是IT团队无法评估的。其中，找出最后一种风险恐怕是最重要的。

    要将众多待处理的项目排序，通常的方法是设想在最糟糕的情况下不采取任何措施的后果。这些后果包括顾客信息丢失、收益流失、声誉受损和品牌势微。但是，因为许多信息安全风险是新出现的，还没有先例可循，这就给安全问题的定性（出现频率和严重程度）带来了相当大的困难。事实上，有些风险起初很小，却要及早控制，因为我们无法准确把握其影响。简而言之，CIO和信息安全主管（CISO）要评估的不仅仅是安全风险，他们还必须评估自己所做出的风险评估。

    安全风险不尽相同，因此CIO不能对风险“一视同仁”，也不能认为其IT团队对所有风险都驾轻就熟。通常，他们首先会估计最坏情况下的损失或公司内受到威胁的资产，进而估计消除该风险的安全项目所需要的成本，最后，基于预期回报（净利润或投资回报率）对安全项目进行排序。其实，面对安全风险还需要有更宽泛的应对方法：损失预测不应仅停留在各部门内部，而应汇总到整个公司层面。根据汇总的风险评估，可以判断哪些风险会对公司带来最严重的影响。

    其实，面对安全风险还需要有更宽泛的应对方法：损失预测不应仅停留在各部门内部，而应汇总到整个公司层面。根据汇总的风险评估，可以判断哪些风险会对公司带来最严重的影响。

    了解风险智商

    所谓“风险智商”就是公司评估各种可见风险时表现出来的优势和劣势。风险智商水平因公司而异，在同一公司内部也因部门而异。

    因此，可以在风险评估过程中引入一个重要环节，以更好地支配时间和资源：首先，明确公司擅长认识哪些风险；进而，根据风险智商的高低，对不同项目进行区分；最后，确定先对付哪个风险。

    我在《风险智商：学会管理未知》一书的开篇，列出了公司可能面临的主要风险：

    ·顾客资料隐密性

    ·内部营运数据保密性

    ·保护网络不受外部威胁的安全性

    ·数据完整性，尤其是在数据转移和整合期间

    ·认证的可靠性

    ·无线系统安全性

    ·安全研发和安全功能

    ·系统供应商的信誉

    ·在安全流程要求组织变革时能够进行变革

    要列出公司的风险清单，最好的办法就是广泛征求意见。不仅是营运经理，那些来自审计、法务、营销等部门的同事也会有不错的见地，当然更不要忘了其他IT经理的宝贵经验。询问业务合作伙伴，让他们谈谈风险在历经不同周期（例如一个月，一年或五年）时会给他们带来的最大损失预计是多少，风险控制项目的成本和可靠性如何。

    根据列出的风险清单，你必须逐个评估你的风险智商水平。