日期:2023 年 12 月 5 日
撰稿人:Teaganne Finn、Amanda Downie
风险缓解是风险管理过程中的一个关键步骤。它指的是规划和制定备选方案的战略,以减少企业经常面临的威胁。
风险缓解是各种技术和战略的集中性应用,用于最大限度地降低风险水平,并将其减少到可承受的程度。通过采取措施消除威胁和灾难,一个组织将处于消除和限制各种危险的有利地位。
风险缓解的目的不是消除威胁。相反,它侧重于为不可避免的灾难制定防范计划,并减轻灾难对业务连续性的影响。不同类型的潜在风险包括网络攻击、龙卷风或飓风等自然灾害、财务不确定性、法律责任、战略管理失误和意外事故。
订阅 IBM 时事通讯
当常见风险情况发生时,可能会对组织造成损害。如果组织没有处理该问题的能力,小问题就可能变成大问题,给企业带来巨大的财务负担。在最坏的情况下,企业甚至可能要关闭。
防止这种情况发生的最佳方法是制定风险缓解计划。如果发生事件,组织有应急计划来减轻组织可能遭受的损失。风险缓解侧重于某些灾害的不可避免性,最常用于威胁不可避免的情况。风险缓解计划的目的是做好最坏的打算,接受可能会发生所列的一种或多种灾害的事实。一旦意识到这一点,领导层就有责任确保风险缓解计划到位,并为可能发生的任何灾难做好准备。
在最广泛的层面上,风险缓解需要一个由人员、流程和技术组成的团队,使组织能够评估其风险,然后制定一个全面的计划来缓解这些风险。项目管理团队将是评估风险的最佳业务策略。
各个组织的情况不尽相同,风险缓解的过程也没有统一的计划。不过,在制定全面的风险缓解计划时,有几个步骤是相对标准化的步骤。这些步骤包括识别经常出现的风险、确定某些风险的优先次序以及实施和监控既定计划。
风险缓解的第一步是风险识别,即了解存在哪些风险,评估对组织、业务和员工的威胁。重要的是要考虑一系列业务风险,包括网络安全威胁(如数据风险和数据泄露)、金融风险、自然灾害和其他可能扰乱组织和业务运营的潜在有害风险事件。
一旦确定了已识别风险的清单,下一步就是由风险缓解小组对每项风险进行评估并量化风险。风险级别将在这一步骤中确定,通常需要检查现有的措施、流程和控制措施,以减少风险的影响。
风险评估可比较每种风险的严重程度,并根据其重要性和后果对其进行排名。这是至关重要的一步,因为组织必须确定哪些风险对组织及其员工的影响最大。此外,在这一步骤中,组织还将确定不同领域可接受的风险级别。这样就能为企业创建一个参考点,更好地准备业务连续性所需的资源。
风险会变化,风险级别也会变化,这取决于几个不同的因素。由于风险不断变化,风险缓解计划中的监控阶段是一个重要步骤。通过监控风险,组织可以确定严重性何时增加、何时减少,然后采取相应行动。对于组织而言,拥有强大的风险跟踪指标非常重要。这种跟踪有助于组织在不同的法规和合规要求下保持合规。
一经对风险进行了评估、优先排序和评价,就该实施计划了。在这一步骤中,所有适当的措施都应在整个组织内落实到位。应向员工介绍风险缓解计划的各个方面并对其进行培训。应经常进行定期测试和分析,以确保计划与时俱进并符合法规要求。
在这一步骤中,以及在今后的工作中,可能需要做出调整。当团队学到新知识或工作重点发生变化时,做出改变非常重要。对风险管理策略的不断评估将揭示薄弱环节,加强决策过程。
与风险缓解流程一样,一个组织用来制定风险缓解计划的战略或方法也因组织而异。不过,在解决风险方面有一些常见的技术。
规避风险
风险规避战略是一种通过采取措施避免风险发生来降低风险的方法。这种方法可能需要组织牺牲其他资源或战略。例如,不进行投资或启动产品线,因为这样可以避免损失风险。
降低风险
在组织完成风险缓解分析并决定采取措施降低风险发生的几率或影响之后,就会采用这种方法。这种方法不会消除风险,而是接受风险,集中精力控制损失,尽力防止风险蔓延。医疗保健行业的一个例子是涵盖预防性护理的医疗保险。
风险转移
风险转移是指将风险转嫁给第三方,例如投保财产损失或伤害等特定风险。这就把风险从组织转移到了其他方身上,在很多情况下,就是转移到了保险公司。
风险接受
这种策略就是接受回报大于风险的可能性。它不一定是永久性的,但在一定时期内,它可能是优先考虑其他风险和威胁的最佳策略。几乎不可能消除所有风险,这就是所谓的残余风险或“剩余风险”。
制定风险缓解计划需要在整个组织内进行大量的活动和协调。以下是一些关于制定和执行风险缓解计划的最佳做法。
让利益相关者了解情况
在整个组织内交流和沟通风险是风险缓解规划的一个重要方面。整个组织的开放式沟通不仅对组织至关重要,而且对所有相关员工也至关重要。对组织影响较大的关键风险应在所有部门进行明确沟通和监控。
建立强大的风险文化
风险文化始于高管层面。风险文化是一群人围绕风险所持有的集体价值观和信念。为了使组织完全合规,风险文化必须来自企业领导和管理层,并得到明确传达。合规的重要性应从最高层开始坚定不移地贯彻到整个组织。
建立风险工具
确保有强有力的控制措施和指标来监控风险。风险评估框架等管理工具可以帮助进行持续监控。RAF 通过监控哪些风险高、哪些风险低,为相关的技术和非技术利益相关者提供报告。
定期进行风险评估
不断更新组织的风险状况极为重要。组织领导者需要最新的数据和报告来做出明智的决策和强有力的行动计划,以控制风险。
了解网络安全专业人员如何利用威胁管理来防止网络攻击、检测网络威胁和响应安全事件。
了解公司如何进行网络安全风险管理,以保护信息系统免受网络攻击及其他数字和物理威胁。
了解组织如何利用 GRC 来管理治理情况、风险管理以及遵守行业和政府法规的情况。
了解在混合多云环境中管理复杂业务运营的策略。
在 2023 年《数据泄露成本》报告中深入了解可帮助您的组织避免数据泄露的财务影响和安全措施。
通过阅读切实可行的见解,了解威胁行动者如何发动攻击,从而从全球视角了解网络攻击风险。