《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 風(fēng)險管理之風(fēng)險信息多樣化

風(fēng)險管理之風(fēng)險信息多樣化

2021-10-21
來源:祺印說信安
關(guān)鍵詞: 風(fēng)險管理

  為什么在評估網(wǎng)絡(luò)風(fēng)險時識別不同類型的信息至關(guān)重要,。

  風(fēng)險信息是指可以影響決策的任何信息。

  一些組織傾向于只接受某些類型的信息作為合法的風(fēng)險信息,。此類限制增加了錯過重要內(nèi)容的機會,。

  多樣性的重要性

  想象一下,組織的風(fēng)險管理方法只能處理以高,、中,、低三個維度描述風(fēng)險的定性信息(例如政策文件、事件報告或評估),。這種方法會錯過通過包含定量信息(例如網(wǎng)絡(luò)流量或安全事件數(shù)量)可以發(fā)現(xiàn)的模式和趨勢,。利用各種信息源可能揭示會被遺漏的風(fēng)險。

  組織很少會明確排除某些類型的信息,,但他們通常對特定類型有一種不言而喻的偏見,。有時聲稱安全性是“無法量化的”,或者定性信息被打折,,因為它涉及到一個人的(主觀)意見,。同樣,這些偏見會導(dǎo)致組織在進行網(wǎng)絡(luò)風(fēng)險評估時忽略有價值的信息,。

  如果組織對每種網(wǎng)絡(luò)風(fēng)險評估都采用單一,、標(biāo)準化的方法,,就更有可能陷入這個陷阱。當(dāng)組織專注于完成風(fēng)險管理過程而不是應(yīng)該從中產(chǎn)生的風(fēng)險降低活動時,,這種情況更有可能發(fā)生,。當(dāng)組織進入這種風(fēng)險管理行為的“防御性”模式時,這種關(guān)閉被視為“合法”風(fēng)險信息的情況可能會加劇,。

  幫助評估信息來源

  怎么知道是否考慮了足夠的信息來源,?

  這更像是一門藝術(shù)而不是一門科學(xué),我們在下面建議的技術(shù)使用矩陣將信息分類為定性或定量,、客觀或主觀:

  定性信息是關(guān)于用人類語言描述某些東西,,例如文檔中呈現(xiàn)的書面信息。

  定量信息是關(guān)于可以用數(shù)字衡量的事物,。

  客觀信息是可驗證的,,不受意見的影響(例如組織擁有的筆記本電腦數(shù)量,或購買特定防病毒解決方案需要花費的金額),。

  主觀信息是一個意見問題(例如判斷特定組織更容易受到 DDoS 攻擊而不是勒索軟件攻擊),。

  通過將每種信息類型分配到網(wǎng)格上的相應(yīng)位置,將能夠快速確定是否存在任何潛在的盲點,,因為任何空的象限都會立即顯現(xiàn)出來,。

  下面的網(wǎng)格提供了每種類型風(fēng)險信息的一些示例。

  此網(wǎng)格的目的不是對單個信息進行分類,,也不建議來自四個象限中任何一個的信息比任何其他類型的信息“更好”,。是關(guān)于查看在風(fēng)險分析中使用的信息源的傳播,并發(fā)現(xiàn)任何盲點,。

  那么怎么做呢,?

  首先瀏覽進入組織風(fēng)險評估過程的所有各種信息源。

  將它們放入上面的網(wǎng)格中,。如果不確定從哪里開始,,請返回與組織中的網(wǎng)絡(luò)安全相關(guān)的決定。哪些信息用于告知該決定,?如果沒有寫下任何內(nèi)容,請返回并與做出決定的人交談,,并詢問他們在該安全問題上是如何決定的,。

  檢查網(wǎng)格。它是什么樣子的,?你是偏向一個象限還是一半,?

  還可以收集哪些其他信息來填補空白?這會如何改變決定,?為什么它們所在的地方存在差距,?這可能會導(dǎo)致風(fēng)險分析方法出現(xiàn)哪些盲點?

  此練習(xí)的目標(biāo)是幫助發(fā)現(xiàn)風(fēng)險評估可能會遺漏一些有價值信息的情況。它不會準確地告訴我們?nèi)鄙偈裁?,但它可以揭示組織對特定類型信息的偏見,。

  這絕不是對風(fēng)險信息進行分類的唯一方法。風(fēng)險信息還有其他可能同樣有用的特性,。例如,,還值得考慮是否使用了關(guān)于過去的信息和關(guān)于預(yù)期未來將如何展開的信息以及一些解釋的平衡。

  常見的組織偏見

  通過使用定性/定量,、客觀/主觀技術(shù),,其實,人們已經(jīng)認識到許多組織的普遍偏見,,其中網(wǎng)格在左上和右下象限中大量填充,,而在其他兩個象限中是空的。在此類組織中,,在評估網(wǎng)絡(luò)風(fēng)險時,,“客觀”和“定量”這兩個術(shù)語的含義相同。

  研究結(jié)果表明,,在這些組織中,,與這種有缺陷的假設(shè)不一致的信息被忽略了。例如,,專家對概率的主觀評估被打折扣,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。