理解风险偏好——暴露管理的关键组成部分
风险是任何企业固有的。组织如何理解和管理风险,才是关键所在。从运营挑战到市场波动、监管变化和技术进步,公司面临一系列不确定性,这些不确定性可能带来增长,也可能导致损失。为了有效管理这些风险,企业需要建立一个框架,帮助其确定在追求目标时愿意接受多少风险。这就是“风险偏好”概念的由来。
但要定义其风险偏好,公司必须看到并理解其面临的所有风险。对于正在为其暴露管理策略奠定基础的安全团队来说,定义组织的风险偏好是至关重要的一步。
什么是风险偏好?
风险偏好是组织在追求其目标时愿意接受的风险水平。定义它为组织设定了关于它将承担哪些风险以及承担到什么程度的界限。高风险偏好意味着愿意接受更大的风险以换取可能更高的回报,而低风险偏好意味着组织倾向于尽可能减少风险。
考虑一家想要投资尖端研发的科技初创公司。它可能采用更高的风险偏好来实现颠覆性的突破性创新,知道潜在回报值得这种不确定性。相反,一家大型成熟公司可能具有较低的风险偏好,专注于稳定增长,同时避免可能严重损害其市场地位或声誉的项目。
风险偏好既是定量的也是定性的
风险偏好从来不是静态的;它是一个动态的衡量标准,应根据行业、公司规模和健康状况、战略目标、监管要求和整体市场环境等因素进行调整。
它也不仅仅是关于数字:风险偏好是定量和定性因素的结合。
一方面,企业可能有可衡量的元素,如它愿意容忍多少损失、其债务比率以及它追求的投资回报率(ROI)。它也可能有主观方面需要考虑,如对公司声誉的潜在影响、道德考虑以及其决策与核心价值观的一致性。
为什么定义风险偏好很重要?
几乎任何想要成功的组织都必须承担经过计算的风险。但如果没有对其风险偏好的清晰理解,它可能会陷入不一致、被动或过于谨慎的决策中。这可能导致错失机会或业务损失。以下是定义风险偏好至关重要的原因:
对齐战略和风险管理
拥有明确定义的风险偏好提供了一个战略框架,使风险管理实践与整体业务目标保持一致。当企业知道它愿意接受多少风险时,它可以追求与其风险偏好匹配的机会,同时避免可能使其暴露于不当风险的其他机会。
改进决策
定义风险偏好使领导者和经理能够通过清晰理解什么构成可接受的风险来做出明智的决策。它还为整个组织的风险承担和风险规避行为设定了期望,帮助经理评估不同场景下的风险/回报权衡。
建立利益相关者信心
明确定义的风险偏好让投资者、监管机构、员工和其他利益相关者放心,组织优先考虑风险管理。它还展示了一种有条不紊、值得信赖的平衡风险与回报的方法,进一步巩固利益相关者的信心。
促进一致性
当组织中的每个人都“收到备忘录”关于允许多少风险时,这有助于他们做出一致的决策,因为他们都理解什么是可接受的赌博。这意味着不太可能发生目标冲突甚至方向相反的情况。例如,如果法律部门对可接受风险的看法与营销团队不同,他们可能会阻止营销团队的“大想法”。
支持有效的风险监控
当公司定义其风险偏好时,它们可以建立系统来监控整个企业的风险水平,从财务到运营。因此,它们能够及早发现潜在问题,并确保活动保持在被视为安全——或至少可接受的——界限内。设置和监控关键风险指标(KRIs)提供了早期警告,如果有人过于接近这些界限。
公司如何定义其风险偏好?
通常,组织通过起草风险偏好声明(RAS)来做到这一点。RAS的第一部分列出了公司的战略目标和涉及的风险。
一家公司可能希望成为其行业的领先软件提供商。他们应该列出对实现该目标至关重要的战略目标,并列出与之相关的风险。例如,Ivanti从事提供基于云的IT服务和安全管理的业务。这意味着我们有责任让我们的风险偏好声明列出该业务线涉及的所有风险,并解释我们将如何管理它们。
以下是软件提供商风险偏好声明中一个部分可能看起来的示例:
| 一般风险偏好 | [公司XYZ] 采用平衡的风险方法,认识到并非所有风险都是平等的,并且某种程度的风险对于实现我们的战略目标是必要的。 |
|---|---|
| 创新风险 | 我们对投资先进技术和创新解决方案具有高风险偏好,这些解决方案使我们的产品在竞争格局中脱颖而出。我们理解这需要在研发和产品开发中接受一定程度的不确定性。 |
| 运营风险 | 我们保持低到中度的风险偏好。在追求运营卓越的同时,我们优先考虑提高效率和服务质量而不妥协我们的交付标准的举措。 |
| 安全风险 | 我们对安全威胁和漏洞具有极低的风险偏好。我们对网络安全和数据保护的承诺至关重要,并且我们大量投资于保护我们的系统和客户数据。 |
| 合规风险 | 我们对不遵守法律和监管要求具有低风险偏好。确保在所有运营领域遵守相关法律、标准和最佳实践至关重要。 |
RAS应该定义对组织影响最大的风险,而不是日常业务中简单的风险。它应该考虑多种风险场景;例如,特定策略可能涉及供应链风险,如被锁定在供应商中的影响,或供应商不当处理客户数据时的监管暴露风险。
它还应该定义公司愿意承担的财务风险量。如果其目标包括提供新产品或服务,市场上总是存在失败的可能性。
风险偏好的组成部分
这些是在定义风险偏好时必须考虑的关键因素:
风险容量
这指的是组织可以承受的最大风险量。财务资源、运营能力和监管约束决定了这一点。风险容量不同于风险偏好:组织可能有能力承担一定水平的风险,但可能基于其风险偏好选择不这样做。
风险容忍度
而风险容量是关于组织可以承受多少风险,风险容忍度是其目标的可接受偏差。它甚至可能为不同领域设置不同的容忍度。例如,组织可能愿意冒险推出新产品,但在管理客户数据方面风险规避。
风险阈值
我们在上面提到了风险监控和KRIs,因为它们用于防止公司跨越风险阈值——代表过多风险的“红线”。跨越风险阈值可能需要改变计划、增加安全措施,甚至完全停止他们正在做的事情。
相关:Ivanti研究报告:对齐视角:C-Suite中的网络风险管理
为什么风险偏好在暴露管理中很重要?
曾经,减轻数字风险比今天简单得多。这是因为大多数大型组织的攻击面随着时间的推移大大扩展了。更多设备和应用程序的增加,由更多地方的员工使用,已经改变了工作场所并扩展了数字威胁格局。
这是Ivanti研究发现超过一半的IT专业人员不太有信心他们能在未来12个月内预防破坏性安全事件的原因之一。超过三分之一的人甚至表示,他们检测威胁和响应事件的能力比一年前更差。
传统的漏洞管理长期以来一直专注于被动地修复软件和硬件漏洞和其他CVE,但通常只应用间歇性扫描。但今天的网络威胁场景需要一种新方法。
现代暴露管理专注于持续、主动地发现和修复整个数字攻击面的风险和漏洞。无论它们是由暴露的IT资产、不安全的端点和应用程序、基于云的资源还是其他向量引起的。是什么让暴露管理和风险偏好如此紧密相连?
根据可接受的风险水平评估暴露
暴露管理涉及量化与不同暴露相关的风险水平。通过定义可接受的风险,组织可以将不同风险的可能影响与其风险偏好进行比较。
基于风险部署资源
组织必须优先考虑哪些暴露对其策略构成最大威胁——只有通过对其风险偏好的清晰理解才能做出这种评估。这种优先级排序让它们集中资源减轻最关键的暴露,通常借助先进的RBVM工具。
调整风险偏好
随着业务环境变化或新风险出现,风险偏好可能需要调整。组织作为其暴露管理实践一部分发现的数据和见解帮助它们围绕此类调整做出明智决策。
确保合规性
许多行业有与风险管理相关的监管要求,这反过来影响组织的风险偏好。暴露管理涉及识别和解决可能导致不合规的风险。
相关:Ivanti研究报告:攻击面管理
通过暴露管理的镜头看安全风险
暴露管理与其他安全实践的一个显著区别是,暴露管理不仅包括优先修复对组织构成最大风险的风险,而且积极定义哪些风险落在组织的风险容忍度内。例如,一家电子商务公司可能愿意接受更高的安全风险,以保持其网站在黑色星期五的功能——对他们来说,这种权衡是值得的。
与其将每个潜在风险视为需要即时修复的危机,组织需要根据业务需求优先考虑它们。在这个框架中,大多数风险并不坏:关键在于你如何反应、控制它并减轻它,使其达到可接受的水平。