作為CIO，你處于風險業(yè)務之中，或者更準確地說，你的每一個職責都涉及風險，無論你是否關注它們。盡管有一系列書籍贊揚冒險為唯一明智的道路，但值得記住的是，這些作者并沒有面對CIO每天必須處理的可能是最大的風險：擅長宣揚冒險但實際上不支持冒險的高管團隊。

例如，有些領導層在推崇冒險的價值的同時，也堅持“追究人員責任”。如果這是你公司高層常用的一句話，那么冒險就是一種虛幻的美德。為了避免危險，可以發(fā)起一些無害的項目——這些項目可能不太可能成功，如果偶然成功了，它們會通過酷炫測試，但如果失敗了也不會造成太大的損害。

用精心制作的PowerPoint向你的高管推廣這些項目，明確表明它們符合公司的冒險文化。當項目啟動時，你將因為冒險而獲得認可。當它們真的失敗時，你可以提醒公司領導，這些項目本來就應該失敗，或者你可以追究項目負責人的責任——這樣一層保護讓你因為負責追責而得到認可，卻不用承擔因失敗而被指責的后果。

專業(yè)提示：讓那些最讓你感到煩惱的員工和贊助人負責這些項目。最壞的情況是他們成功了，你不喜歡的人現(xiàn)在欠你一個或兩個人情。最好的情況是他們失敗了，將被追究責任。你不會有損失。

冒險與應對風險

那些鼓勵冒險的人往往忽略了它的多義性。一種含義是：正如上文所述，具有潛在利益但高概率失敗的計劃。另一種是結構性風險——可能成為現(xiàn)實并對IT組織及其業(yè)務合作伙伴造成嚴重損害的情況。

你可以選擇不啟動一個風險項目，忽略并回避其潛在的好處。當涉及到結構性風險時，你也可以忽略它們，但你不能通過這樣做讓它們消失，如果它們“實現(xiàn)”了(風險管理術語中的“變?yōu)楝F(xiàn)實”)，你將受到責備。

舉一些例子來說明：

應用程序組合理性化：技術架構管理的最基本指導原則是精確地填補每個所需服務。如果你的應用程序組合沒有被理性化——也就是說，如果它包括多個功能重疊的能力——那么就會產(chǎn)生對幾何級數(shù)增長的同步集合的需求，以及一系列其他的漏洞。

一個未經(jīng)合理化的應用程序組合，以及其他架構層次的糟糕合理化，在一個詞中可以概括為“風險”。

合理化應用程序組合可以降低這些風險實現(xiàn)的可能性。用風險管理的術語來說，它“預防”(即避免)了這些風險。

身份管理：現(xiàn)代安全架構包括用于管理身份的工具——用于認證員工，將他們分配到不同角色，并為這些角色分配權利、特權和限制，而不是分配給執(zhí)行這些角色的個人。如果管理身份不當，錯誤的人就可能處于做錯事的位置。

建立健全的身份管理實踐可以降低多種風險實現(xiàn)的概率——同時也可以減少即使在組織的預防措施下風險實現(xiàn)時的損害。

在風險管理的術語中，預防是關于降低風險發(fā)生的概率。緩解則是關于減少風險帶來的損害。

勒索軟件：盡管人工智能已經(jīng)將勒索軟件推出了頭條新聞，但它遠未消失，與勒索軟件攻擊相關的風險根本沒有改變。

你需要采取的應對勒索軟件風險的步驟涵蓋了四種風險/應對策略：它們預防(降低發(fā)生的可能性)、緩解(減少損害)以及為你免受最壞結果的影響提供保險(保險是為了分攤成本)。

如果我們彼此坦誠，我們的應對措施還包括第四種風險應對方式——接受，也被稱為“希望”。

風險應對的局限性

無論你做什么，你對風險的應對都不會是完美的。具體來說：

預防：預防減少了風險實現(xiàn)的概率。但它并不能消除風險。最終，風險要么實現(xiàn)，要么不實現(xiàn)。如果實現(xiàn)了，猜猜誰會被追究責任?

如果沒有實現(xiàn)，IT風險的另一個無可辯駁的法則將會生效：成功的預防與風險的不存在無異。也就是說，如果你的預防措施起作用，你會被指責虛報風險——哭狼。

緩解：緩解是關于在風險實現(xiàn)時減少損害。就像你的預防措施不能完美一樣，你的緩解措施也不能。如果風險實現(xiàn)了，你的緩解措施不太可能完全消除傷害，而且你可以預計會因為任何滲透的傷害而受到指責。

如果你的預防措施完全成功，你將因為在不必要的緩解措施上浪費預算和努力而被責備。

保險：你知道這會如何發(fā)展。如果你購買了保險，而保險涵蓋的風險沒有實現(xiàn)，你將因為在保險費上的浪費而受到指責。如果風險實現(xiàn)了，你將因為預防不成功和緩解不充分而受到指責。

風險的底線：即使你公司的高管團隊真正重視冒險，他們所重視的風險與你日復一日必須應對的重要風險無關。

爭論沒有意義，只需確保你將關于冒險計劃的討論與管理結構性風險的討論保持分開，否則，你將面臨錯失機會和危及業(yè)務的雙重風險。