信息化觀察網

正確而客觀地評估風險承受能力(即“風險偏好”)是正式風險管理方法中的第一步，也是最重要的任務之一。風險管理的很多方面都可以是復雜的，而風險偏好則完全相反。但在它的核心，其內涵就是一些企業(yè)更愿意承擔風險，而其他的一些企業(yè)則不愿意承擔風險。

云計算風險偏好是什么?

組織的“風險偏好”工作方式與之相同。一家企業(yè)可能愿意承受某種風險(比方說業(yè)務風險)但在其他風險方面則顯得更為謹慎(例如，技術風險)。另外，即便是同一種類的風險中，在某一方面的承受能力也是存在著較大差異的。例如，一家企業(yè)可能會不重視與雇員桌面使用相關的風險，但在涉及付款或財務系統(tǒng)就會變得非常謹慎。

從操作實際看，這就意味著某一個組織相對孤立地評估分析承受程度是比較有利的——具體而言就是，具有獨特需求的領域是新的、或之前還未被評估過、或是新興市場或者正在迅速變化。孤立地評估這些因素將會導致發(fā)生兩件事情。首先，它允許“非周期”風險管理(其中包括分析和緩解)而無需重新評估無所不在的風險——這是一個潛在費時且可能需要不斷重復的活動。其次，它允許靈活性，因為相對不成熟的技術可能會隨著威脅出現和支持技術的成熟而快速發(fā)展。

云計算是這些領域中的一個：云計算相對較新(至少在很多企業(yè)中它還處于應用實施階段)，并具有一些可影響風險的獨特屬性(我們將在一篇相關文章中詳細討論這些屬性中的部分)。因為云計算技術是在快速發(fā)展著的，而新的威脅也在不斷涌現;隨著云計算監(jiān)管重點的不斷擴大，了解企業(yè)在該特定領域中的承受程度是較為有利的。這種對企業(yè)關于特定云計算風險承受程度的集中了解就是我們所謂的“云計算風險偏好”。

評估云計算風險承受能力

那么，一家企業(yè)應當如何評估其云計算風險偏好呢?有幾個因素需要考慮。第一個也是最重要的因素是考慮企業(yè)業(yè)務、財務以及技術方面的風險偏好，這是因為這些方面的因素將影響企業(yè)的文化和整體目標。在企業(yè)中有無數的文化、法規(guī)以及業(yè)務等具體因素將影響企業(yè)的風險偏好，并且也會因此影響企業(yè)實施云計算。如果一家企業(yè)已經實施了風險管理工作，那么就幾乎可以肯定這些因素已經經過評估并已形成了相應文檔。在這些基礎之上開展進一步的工作將節(jié)省重復基礎工作的時間。

如果你的企業(yè)從未進行過任何系統(tǒng)的或正式的風險管理，那么這種評價工作就變得具有挑戰(zhàn)性了。你將需要對更廣范圍的風險輸入企業(yè)的承受能力，但是這些可用于借鑒的文檔可能并不存在。因此，你將需要完成充分的工作以便于能夠告知你的活動，但是需要指出的是，充分評估每一個領域或獲得主管級授權可能并不容易。

其次，你將需要了解你自己的技術戰(zhàn)略。你是否會計劃把你的大部分業(yè)務轉移至云計算?你是否計劃以非常有限的方法有選擇性地使用云計算?這種性質的問題將影響你的企業(yè)將愿意承擔云計算風險的數量，特別是在第一步中所分析的文化因素。例如，如果你下大注在云計算將其作為長期戰(zhàn)略但你的企業(yè)文化卻是以外部意見為重，那么你反而可能會不太愿意承受短期內的云計算風險。這是為什么呢?因為，非常明顯的攻擊可能會削弱企業(yè)長期實施云計算的信心，從而危及你的長期戰(zhàn)略。

最后，人才和技術能夠支持你按期望推出待評估的云計算。例如，企業(yè)的其他方面的(例如合規(guī)性、法律和審計)是否有助于風險評估、威脅監(jiān)測、持續(xù)運行、供應商審批等等?你是否可以使用技術策略以標記威脅、脆弱性以及其他存在的風險?如果你明確地了解隨著時間推移你跟蹤、管理和應對這些風險的能力，那么你就可能能夠容忍更高等級的風險。

一旦你已經評估了這些領域，那么下一步就是正式記錄你的云計算風險偏好。這就意味著，將其形成書面文字并傳達給企業(yè)。在書面文字上正式形成將有助于確保所有方面都是經過深思熟慮和審核的，并幫助企業(yè)其他方面的組織行為能夠與你的決定保持一致。如果他們閱讀你關于風險承受程度是如何低以及其原因的報告，那么他們就不會冒然實施不合適的云計算部署。