作为CIO,你处于风险业务之中,或者更准确地说,你的每一个职责都涉及风险,无论你是否关注它们。尽管有一系列书籍赞扬冒险为唯一明智的道路,但值得记住的是,这些作者并没有面对CIO每天必须处理的可能是最大的风险:擅长宣扬冒险但实际上不支持冒险的高管团队。
例如,有些领导层在推崇冒险的价值的同时,也坚持“追究人员责任”。如果这是你公司高层常用的一句话,那么冒险就是一种虚幻的美德。为了避免危险,可以发起一些无害的项目——这些项目可能不太可能成功,如果偶然成功了,它们会通过酷炫测试,但如果失败了也不会造成太大的损害。
用精心制作的PowerPoint向你的高管推广这些项目,明确表明它们符合公司的冒险文化。当项目启动时,你将因为冒险而获得认可。当它们真的失败时,你可以提醒公司领导,这些项目本来就应该失败,或者你可以追究项目负责人的责任——这样一层保护让你因为负责追责而得到认可,却不用承担因失败而被指责的后果。
专业提示:让那些最让你感到烦恼的员工和赞助人负责这些项目。最坏的情况是他们成功了,你不喜欢的人现在欠你一个或两个人情。最好的情况是他们失败了,将被追究责任。你不会有损失。
冒险与应对风险
那些鼓励冒险的人往往忽略了它的多义性。一种含义是:正如上文所述,具有潜在利益但高概率失败的计划。另一种是结构性风险——可能成为现实并对IT组织及其业务合作伙伴造成严重损害的情况。
你可以选择不启动一个风险项目,忽略并回避其潜在的好处。当涉及到结构性风险时,你也可以忽略它们,但你不能通过这样做让它们消失,如果它们“实现”了(风险管理术语中的“变为现实”),你将受到责备。
举一些例子来说明:
应用程序组合理性化:技术架构管理的最基本指导原则是精确地填补每个所需服务。如果你的应用程序组合没有被理性化——也就是说,如果它包括多个功能重叠的能力——那么就会产生对几何级数增长的同步集合的需求,以及一系列其他的漏洞。
一个未经合理化的应用程序组合,以及其他架构层次的糟糕合理化,在一个词中可以概括为“风险”。
合理化应用程序组合可以降低这些风险实现的可能性。用风险管理的术语来说,它“预防”(即避免)了这些风险。
身份管理:现代安全架构包括用于管理身份的工具——用于认证员工,将他们分配到不同角色,并为这些角色分配权利、特权和限制,而不是分配给执行这些角色的个人。如果管理身份不当,错误的人就可能处于做错事的位置。
建立健全的身份管理实践可以降低多种风险实现的概率——同时也可以减少即使在组织的预防措施下风险实现时的损害。
在风险管理的术语中,预防是关于降低风险发生的概率。缓解则是关于减少风险带来的损害。
勒索软件:尽管人工智能已经将勒索软件推出了头条新闻,但它远未消失,与勒索软件攻击相关的风险根本没有改变。
你需要采取的应对勒索软件风险的步骤涵盖了四种风险/应对策略:它们预防(降低发生的可能性)、缓解(减少损害)以及为你免受最坏结果的影响提供保险(保险是为了分摊成本)。
如果我们彼此坦诚,我们的应对措施还包括第四种风险应对方式——接受,也被称为“希望”。
风险应对的局限性
无论你做什么,你对风险的应对都不会是完美的。具体来说:
预防:预防减少了风险实现的概率。但它并不能消除风险。最终,风险要么实现,要么不实现。如果实现了,猜猜谁会被追究责任?
如果没有实现,IT风险的另一个无可辩驳的法则将会生效:成功的预防与风险的不存在无异。也就是说,如果你的预防措施起作用,你会被指责虚报风险——哭狼。
缓解:缓解是关于在风险实现时减少损害。就像你的预防措施不能完美一样,你的缓解措施也不能。如果风险实现了,你的缓解措施不太可能完全消除伤害,而且你可以预计会因为任何渗透的伤害而受到指责。
如果你的预防措施完全成功,你将因为在不必要的缓解措施上浪费预算和努力而被责备。
保险:你知道这会如何发展。如果你购买了保险,而保险涵盖的风险没有实现,你将因为在保险费上的浪费而受到指责。如果风险实现了,你将因为预防不成功和缓解不充分而受到指责。
风险的底线:即使你公司的高管团队真正重视冒险,他们所重视的风险与你日复一日必须应对的重要风险无关。
争论没有意义,只需确保你将关于冒险计划的讨论与管理结构性风险的讨论保持分开,否则,你将面临错失机会和危及业务的双重风险。
