任何行業都無法避免這個問題，數據一旦泄露，在今天的數字世界，是非常嚴重和非常現實的威脅。在國外一些地區，僅在醫學領域，客戶數據如果丟失，要承擔違約責任，甚至超過醫療事故的成本。 不過，保護數據、減少數據破壞的概率和影響的核心，是基于風險管理能力的提升。下面教你幾招。

01

Dec/2015

雖然很多企業已經認識到風險評估和管理的需要，還有傾向于把風險評估和管理同來做。 不過，要使一個風險管理計劃真正發揮作用，需要做好下面幾件事情:

1.企業級風險管理實踐。 從定位上來說，這個風險管理團隊，需要是一個獨立的和得到授權的部門。并且需要在CXO級別進行操作，意思是這個部門要和業務部門處于同等重要的位置。

2.IT級別的風險管理實踐。 這個團隊要專注于研發、應用適用于自身企業的應用程序和測試風險管理框架，以及相關的控制與框架。

3.經過認證的、合格的風險管理專業人士。 目前來說，已經有幾個行業認證，比如CRISC(認證和信息系統風險控制)和CRMP(注冊風險管理專業)。慮到網絡安全已經成為移動互聯網時代運營最重要的前提，公司需要給他們上大量的繼續教育培訓課程，這是至關重要的。

其實，我們可以看到大部分企業只是采用了以上部分方法，很少能夠全部做到。

02

Dec/2015

風險評估沒必要當作一個保密的事情來做。 一旦風險已經確定，他們只能選擇下面這四種處理方式之一，具體選擇哪個，這取決于每個風險因素與對應的業務的關聯性:

1.接受風險。 這適合于低概率和低風險的情況。

2.避免風險。舉個形象的例子來說，比如病人對醫生說：“因為什么原因，我的胳膊受傷了。 ”醫生會說：“你不要這樣做就不會了。” 企業風險也是一樣，企業不應該做具有風險性的業務，或者是不符合他們主要任務的，或者是不擅長的專業領域。 這是適合高概率和高風險的情況。

3.轉移風險。 這是適合風險概率較低但風險很高的情況。舉個例子來說就是，公司可以把風險轉移給保險公司，或者類似外包的高資本或高專業性行業，如數據中心服務。

4.減輕風險。 這種方法適用于高概率但相對較低風險的情況。 此外，如果你碰巧是一個服務提供者，其他公司轉移風險給你(如數據中心供應商)，那么你作為承擔風險的最后一站，你必須找到方法來減輕它。

顯然，從風險因素的判斷，再到采取適當的行動，是一個復雜的過程，涉及風險管理知識、風險管理技術、業務關聯性分析，以及供應商能力分析等精算數據等。

話說回來，無論是接受風險還是避免它，都不會幫助你的企業更成功。主動防御而不是被動防范才是關鍵。怎么做？就是，覆蓋盡可能多的漏洞。

另一方面，許多企業意識到，他么實際上并沒有那么多員工、時間或錢，分配給風險管理這個部分。 這些是最大的障礙，還有公司內部一些問題，比如會引起部門間的利益矛盾。 因此，上面第從四個選項，是現在最受歡迎的選擇，將風險轉嫁給別人，這樣就可以完全緩解風險了。

這么做的最大好處是，外包的方式是最具成本效益的選擇，對比來說，認證的風險管理專業人員和獲得認證的費用非常高，還有公司要提供的培養時間、資源等間接成本。因此有問題時，管理者總是建議將責任轉移到更有效地降低風險的方式。

03

Dec/2015

值得注意的是，在你要搭建一個真正管用的風險管理系統之前，你需要評估的是你現在所處的行業環境， 而不是試圖評估自己公司的情況。重要的是，你雇傭的第三方可以不遺余力地，苛求每個細節地完成風險評估業務。完全掌握風險知識將是你公司發展的一個優勢；你知道的越多，越能降低風險。

第二個需要你做決定的是，是打算花錢自己建立風險部門，并且花一些精力在公司內部利益管理上，還是你想通過外包的方式來轉移風險。

當然，無論你是如何選擇的，你都是要盡可能的把資源放在減少漏洞上。

總結來說，作為一個企業管理者，意識不到風險管理的重要性、或者不懂得如何進行風險管理的后果是可怕的，不僅無法吸引到高質量的人才，還會破壞公司的名聲和業務信譽。

最后一問：你是合格的風險防范者嗎?

注：文章翻譯自networkworld

作者Rich Banta

譯者：許冬琦