風險管理和利潤率之間的關系不只是相關關系，確切地說，是因果關系。做好風險管理，可以實現更好的利潤增長。

[[136413]]

人人都知道IT部門是成本中心，但很多人不知道的是，認識和利用安全風險緩解和利潤之間的聯(lián)系可以創(chuàng)造利潤率增長。

根據全球會計公司普華永道2015年4月的最新調查報告《風險調查：解碼不確定性風險》顯示，73%的受訪高管認為風險在上升，只有12%的人算得上是成功的風險管理領導者。報告顯示，在最近的三年時間里，這12%當中有41%的年利潤增長率超過10%。由此可見，風險管理不只是降低風險，還可以放大凈利潤。

那么，風險和利潤之間是什么樣的關系呢?企業(yè)應該如何利用信息安全風險管理來提高利潤率的增長呢?

風險管理和利潤率增長的關系

信息安全風險會通過影響企業(yè)的聲譽、股價以及有效運作能力來影響企業(yè)的利潤率，優(yōu)秀的風險管理者和管理方法可以對該影響進行反擊，從而產生利潤率的增長。

“有效的風險管理特別像是汽車的剎車。開得慢的時候用不著剎車，只有當你想在快速行駛中保持控制才用得著剎車。”例如銀行就使用資本來保持控制。一些金融機構會預留資本以防范由于安全漏洞所帶來的損失。

這些資本就是銀行領域關于有效風險管理和利潤增長之間的關系是直接因果關系的一個很好的例子。有了有效的風險管理，就可以騰出這些資本來用于業(yè)務;而缺少有效的風險管理，可用于業(yè)務的資本就會減少。

利用風險管理提高利潤率增長

因為犯罪分子對公司的持續(xù)性滲透攻擊，造成防護成本和事件響應成本的上升，網絡風險如今已經成為運營風險的重要組成部分。而成本的上升就等于利潤的下降。企業(yè)信息安全風險管理就意味著安全可操作化、減少損失和增加利潤。

利用美國國家標準與技術研究院所(NIST)發(fā)布的最佳實踐，或參照聯(lián)邦金融機構檢查委員會檢查手冊信息庫，將風險管理用于利潤增長，對風險進行隔離對于企業(yè)及垂直行業(yè)都有著特殊的意義。如果企業(yè)所在的行業(yè)中有一項公認的安全風險評估，那就要考慮使用它，或同時結合其他測試和評估。然后在利用風險管理來促進利潤率增長的同時，要遵循以下這些指導意見。

首先，與災難性網絡入侵所產生的成本相比，安全風險管理所產生的成本是相當低的。

這一條是毋庸置疑的。因為人人都知道，現在每家公司都將最終難逃被網絡犯罪分子滲透攻擊的命運。攻擊者們使用自動程序對互聯(lián)網上的主機持續(xù)不斷地進行著端口掃描以尋找漏洞，最終會發(fā)現企業(yè)系統(tǒng)中的漏洞并加以利用。企業(yè)必須同樣將自動化安全作為風險管理的一部分，或者將安全規(guī)程簡化到安全人員可以將一些任務安排給操作員進行完成。這就是安全可操作化，并且可以包括使用日志管理與安全信息和事件管理工具(SIEM)，讓安全任務可以由專業(yè)人員進行操作。

有效的風險管理特別像是汽車的剎車。開得慢的時候用不著剎車，只有當你想在快速行駛中保持控制才用得著剎車。

從長遠來看，企業(yè)需要采取足夠的風險緩解技術并結合科技來應對那些對于企業(yè)來說比風險緩解技術成本更高的風險。數據泄露防護技術(DLP)就是技術解決方案一個很好的例子，與那些動輒造成數以百萬計的隱私信息、個人身份信息、金融賬戶信息泄露的大規(guī)模數據泄露相比，還是要劃算得多。

公司董事會必須決定何時風險的成本大于風險管理的成本，并通過相應的管理層進行網絡安全部署。他們必須對收入和潛在利潤率增長的減少了如指掌。

其次，風險的存在和變化就像不斷蛻變成長的生物體。尤其是在企業(yè)采取行動之后風險所發(fā)生的變化。根據牛頓第三物理定律，企業(yè)每次采取行動，風險都會以相等且相反的反作用力做出響應。所以說風險是有著的動態(tài)特性的。

降低風險必須同樣流暢、靈活和動態(tài)，以快速有效地響應信息風險事件。例如，要降低風險必須足夠靈活，不管是什么樣可能的漏洞，必須要先關閉漏洞，以確保不再發(fā)生更多的損失。

再次，風險像時間一樣從不停留。隨著網絡風險事件的繼續(xù)，由事件所造成的損失也在增加，而且許多網絡犯罪傾向于將其攻擊無限期延續(xù)下去，直到有人對其進行阻斷。想要提高利潤率的企業(yè)需要快速行動，盡快采取可靠的、有針對性的風險管理計劃。

最后，要知道公司里有些風險都是人為造成的。他們才是真正的風險因素，并應該為風險負責。把他們找出來，然后看看采取什么措施可以減輕風險。公司要對這些人有所管控，并對他們不斷進行考評。如果不能對他們進行有效管控，那就要加強管控力度。

可盈利的風險管理領導者

能夠有效實施風險管理并將風險管理與業(yè)務節(jié)奏緊密結合的領導者，正是那些可創(chuàng)造更好利潤率增長的人。這些領導者都有著某些特定的風險管理行為和特征。

他們尤其能對企業(yè)最初對信息安全風險所使用的簡單匯總和分級的風險評估措施進行很好的擴展。進行風險評估后，這些領導者會將風險管理規(guī)程與規(guī)劃流程的戰(zhàn)略業(yè)務單元相結合。事實上，這些領導者應該由董事會發(fā)起，并且從管理層開始將安全責任貫徹到公司每個人身上。

這些領導者要對風險管理進行積極討論，并結合運行中的每一項業(yè)務流程的預測，讓風險管理變得異常透明和顯而易見。

最后，風險永遠不會消失，但從風險中遭受負面影響也并不是不可避免的通過將風險管理集成到業(yè)務生命周期并開發(fā)有效的策略，企業(yè)可以實現巨大的競爭優(yōu)勢。

原文地址：http://www.aqniu.com/neo-points/8101.html