Một trong những thành ngữ bị lạm dụng nhất được nhắc đến bởi “Wall Street Rambos” là thương trường là chiến trường. Nhưng đôi khi, chiến lược ấy thực sự có ích trong kinh doanh.
Một trong các chiến thuật này là CARVER, một hệ thống để đánh giá và xếp hạng các mối đe dọa và cơ hội. Được phát triển trong Thế chiến II, CARVER (sau đó đã lược bỏ đi chữ cái cuối cùng và được gọi là CARVE) ban đầu được các nhà phân tích sử dụng để xác định nơi những phi công ném bom có thể thả bom hiệu quả nhất. Hệ thống này có thể vừa tấn công vừa phòng thủ, nghĩa là nó có thể được sử dụng cho việc xác định điểm yếu của đối thủ cạnh tranh cũng như việc kiểm soát nội bộ. Ngoài ra, nhiều chuyên gia bảo mật coi đây là công cụ đánh giá hay nhất để bảo vệ các tài sản quan trọng. Trên thực tế, Bộ An ninh Nội địa Hoa Kỳ đã khuyến nghị đây là một phương pháp đánh giá nên được sử dụng. Một số người đam mê về CARVER đến mức đã phát hành một cuốn sách bình phẩm về nó.
Gần đây, CARVER đã biến những nhà CEO, nhà phân tích tài chính và nhà hoạch định quản lý rủi ro trở thành những tín đồ của hệ thống này trong thị trường kinh doanh nhưng không hề đề cập đến bất kỳ một giám đốc bảo mật nào của Fortune 500. Dựa trên những dữ liệu định tính và định lượng, CARVER có thể được áp dụng trong hầu hết mọi viễn cảnh hợp lý đã được đưa ra phân tích và thảo luận. CARVER có thể rất hữu ích trong những trường hợp cần được sử dụng, ví dụ, để ủng hộ một yêu cầu ngân sách hoặc một kế hoạch chiến lược cho những nhà lãnh đạo trong công ty. Bởi vì công cụ này có thể giúp bạn sử dụng hiệu quả những giá trị của con số. Hơn thế nữa, CARVER có thể được sử dụng để làm rõ các mục tiêu nhiệm vụ - cho dù trên chiến trường hay trong một cuộc họp. Bạn có thể coi CARVER giống một phân tích SWOT về một hợp chất cụ thể (steroids).
(Phân tích SWOT là một trong 5 bước tạo thành chiến lược sản xuất kinh doanh của một doanh nghiệp, bao gồm: xác lập tôn chỉ của doanh nghiệp, phân tích SWOT, xác định mục tiêu chiến lược, hình thành các mục tiêu và kế hoạch chiến lược, xác định cơ chế kiểm soát chiến lược.)
CARVER được tạo bởi những chữ cái đầu tiên của:
- Tính quan trọng (Criticality): thể hiện mức độ cần thiết của một tài sản hoặc một hệ thống quan trọng đối với công ty của bạn.
- Khả năng tiếp cận (Accessibility): tính toán độ khó khi đối thủ cố truy cập hoặc tấn công tài sản công ty.
- Khả năng phục hồi (Recoverability): đo lường khả năng phục hồi nhanh nếu xảy ra sự cố với tài sản công ty.
- Tính dễ bị tổn thương (Vulnerability): thể hiện mức độ chống lại sự tấn công từ đối thủ của những tài sản này.
- Sức ảnh hưởng (Effect):đưa ra mức độ ảnh hưởng đến doanh nghiệp của bạn nếu có sự cố xảy ra với tài sản.
- Khả năng nhận biết (Recognizability): dự đoán khả năng đối thủ sẽ có thể thăm dò được số tài sản của công ty là một mục tiêu giá trị.
Để có thể sử dụng CARVER - cho dù bạn đang đánh giá một hệ thống, mục tiêu kinh doanh hay bất kì thứ gì khác - bạn chỉ cần chấm điểm từ 1 đến 5 (với 5 là “cần thiết nhất”, “có khả năng nhất” và cứ như vậy với mức điểm dưới) cho từng tiêu chí ở trên. Tổng điểm của sáu tiêu chí này là tổng số điểm của vấn đề bạn đang đánh giá. Một khi bạn đã tính tổng số điểm cho một số dự án khác nhau, bạn có thể so sánh chúng với nhau. Ví dụ, bạn có thể sử dụng CARVER để so sánh hai cơ hội kinh doanh; cơ hội nào có điểm cao hơn có lẽ sẽ là lựa chọn tốt hơn để theo đuổi.
Dưới đây là một ví dụ. Hãy nói rằng giám đốc an ninh cho một công ty dầu khí đang quyết định cách phân bổ ngân sách của họ trên nhiều địa điểm và tài sản. Ở cấp độ chiến lược, CSO có thể sử dụng CARVER để xem xét thông qua các yếu tố liên quan đến từng địa điểm và sau đó phân bổ tài nguyên cho từng cơ sở.
Để bắt đầu, CSO (Chief Security Officer - Giám đốc bảo mật thông tin) sẽ hỏi một loạt các câu hỏi liên quan đến các tiêu chí CARVER. Bắt đầu với Tính quan trọng (Criticality), những giám đốc này có thể hỏi: “Đường ống dẫn dầu ở Abuja, Nigeria, quan trọng như thế nào đối với những hoạt động chung của công ty?”. Bởi vì Tính quan trọng dựa trên mức độ quan trọng của tài sản (trong trường hợp này là đường ống), CSO sẽ cần xác định xem liệu việc phá hủy hoặc giữ nguyên tài sản này có ảnh hưởng đáng kể đến sản phẩm , nhiệm vụ hay hoạt động của công ty hay không. CSO sẽ xếp hạng Tính quan trọng như thế này:
5 - Mất đường ống làm công ty ngừng hoạt động
4 - Mất đường ống sẽ làm giảm hoạt động của công ty một cách đáng kể.
3 - Mất đường ống sẽ làm giảm hoạt động của công ty
2 - Mất đường ống có thể làm giảm hoạt động công ty.
1 - Mất đường ống sẽ không ảnh hưởng đến hoạt động
Rõ ràng, con số đưa ra càng cao, tổn thất tài sản sẽ càng gây bất lợi cho doanh nghiệp. Con số càng thấp, tổn thất sẽ gây ra những bất lợi không đáng kể, hoặc có thể có đưa ra phương án dự phòng lập tức - ví dụ như thay thế bằng các đường ống khác. Những khoản dự phòng này cũng sẽ ảnh hưởng đến Khả năng phục hồi của tài sản (Recoverability).
Để đánh giá Khả năng phục hồi (Recoverability) của cùng một đường ống (có thể sau một thảm họa thiên nhiên, hay bị tàn phá hoặc một cuộc tấn công từ những tên khủng bố), CSO sẽ xếp hạng khả năng này như sau:
5 - Cực kỳ khó thay thế, thời gian ngừng hoạt động lâu
4 - Khó thay thế, thời gian ngừng hoạt động lâu
3 - Có thể thay thế được trong một thời gian tương đối ngắn
2 - Dễ dàng thay thế trong thời gian ngắn
1 - Có thể thay thế ngay lập tức; thời gian ngắn hoặc không có thời gian ngừng hoạt động
CSO sau đó sẽ tiếp tục xếp hạng đường ống Abuja theo bốn tiêu chí khác. Ví dụ, nếu đường ống nhận được điểm 5 cho Tính quan trọng (Criticality) và Khả năng phục hồi (Recoverability), có vẻ như đó sẽ là một nhân tố tốt để CSO đầu tư.
Hãy xem xét một ví dụ khác, giả sử một quỹ đầu tư thanh khoản đang tìm cách mua lại một công tysở hữu công nghệ hàng đầu. Ngoài việc đơn giản là kiểm toán sổ sách của công ty, các nhà phân tích có thể thực hiện một đánh giá bằng CARVER để xác định mức độ cạnh tranh để có thể bắt kịp công nghệ này như thế nào, dựa vào đó để cân bằng rủi ro của khoản đầu tư. Công ty công nghệ này có thể đạt điểm thấp (mang nghĩa tốt) về Tính quan trọng và Khả năng phục hồi nhưng điểm cao (mang nghĩa xấu) về Khả năng truy cập và Sức ảnh hưởng. Đạt mức điểm Khả năng tiếp cận này thể hiện một đối thủ cạnh tranh có thể tận dụng một sản phẩm để tiếp thị sản phẩm khác và Sức ảnh hưởng có thể là điểm yếu từ chiến dịch tiếp thị gây tranh cãi này.
Một câu hỏi mà các nhà phân tích có thể hỏi về Sức ảnh hưởng (Effect) là: “Yếu tố nào ảnh hưởng tới chúng ta nếu các công nghệ của các đối thủ cạnh tranh có thể đánh bại chúng ta để tiếp thị cho sản phẩm khác?. Sức ảnh hưởng này được thể hiện:
5 - Tác động rất cao về kinh tế, chính trị hoặc xã hội đối với tổ chức
4 - Tác động cao kinh tế, chính trị hoặc xã hội
3 - Tác động vừa phải
2 - Ít tác động
1 - Không có tác động bất lợi
Điều quan trọng nên nhớ là những bài tập này được tiến hành để xác định, phân loại và ưu tiên các tài sản có rủi ro cao; để đánh giá các lỗ hổng; và để đưa ra khuyến nghị xung quanh rủi ro. Một khi một đánh giá CARVER đã được hoàn thành, và các rủi ro và các mối đe dọa trọng yếu sẽ được xác định; hơn nữa, các chuyên gia quản lý rủi ro và bảo mật có thể dựa vào những tính toán này để xác định phương pháp tốt nhất có thể thực hiện. Ngay cả sự khác biệt nhỏ nhất giữa những điểm số của CARVER cũng có thể ảnh hưởng đến việc bạn mở cửa hàng ở một địa điểm này hay địa điểm khác hoặc có thể giúp bạn quyết định giữa việc nâng cấp một dòng sản phẩm hiện có và lựa chọn tạo một dòng sản phẩm mới.
Những quyết định quan trọng đang được đưa ra trọng mọi cuộc họp để tìm kiếm lợi thế cạnh tranh cho các doanh nghiệp. Các nhà lãnh đạo đang tìm kiếm những con số có thể cung cấp cho họ một lợi thế trong quá trình đưa ra quyết định của mình. Công cụ CARVER có thể cung cấp một minh chứng đã được đo lường cho một quyết định thực hiện - hoặc từ bỏ - một ý tưởng hay sáng kiến.