為什么在評估網(wǎng)絡(luò)風(fēng)險時識別不同類型的信息至關(guān)重要,。
風(fēng)險信息是指可以影響決策的任何信息。
一些組織傾向于只接受某些類型的信息作為合法的風(fēng)險信息,。此類限制增加了錯過重要內(nèi)容的機會,。
多樣性的重要性
想象一下,組織的風(fēng)險管理方法只能處理以高,、中,、低三個維度描述風(fēng)險的定性信息(例如政策文件、事件報告或評估),。這種方法會錯過通過包含定量信息(例如網(wǎng)絡(luò)流量或安全事件數(shù)量)可以發(fā)現(xiàn)的模式和趨勢,。利用各種信息源可能揭示會被遺漏的風(fēng)險。
組織很少會明確排除某些類型的信息,,但他們通常對特定類型有一種不言而喻的偏見,。有時聲稱安全性是“無法量化的”,或者定性信息被打折,,因為它涉及到一個人的(主觀)意見,。同樣,這些偏見會導(dǎo)致組織在進行網(wǎng)絡(luò)風(fēng)險評估時忽略有價值的信息,。
如果組織對每種網(wǎng)絡(luò)風(fēng)險評估都采用單一,、標(biāo)準化的方法,,就更有可能陷入這個陷阱。當(dāng)組織專注于完成風(fēng)險管理過程而不是應(yīng)該從中產(chǎn)生的風(fēng)險降低活動時,,這種情況更有可能發(fā)生,。當(dāng)組織進入這種風(fēng)險管理行為的“防御性”模式時,這種關(guān)閉被視為“合法”風(fēng)險信息的情況可能會加劇,。
幫助評估信息來源
怎么知道是否考慮了足夠的信息來源,?
這更像是一門藝術(shù)而不是一門科學(xué),我們在下面建議的技術(shù)使用矩陣將信息分類為定性或定量,、客觀或主觀:
定性信息是關(guān)于用人類語言描述某些東西,,例如文檔中呈現(xiàn)的書面信息。
定量信息是關(guān)于可以用數(shù)字衡量的事物,。
客觀信息是可驗證的,,不受意見的影響(例如組織擁有的筆記本電腦數(shù)量,或購買特定防病毒解決方案需要花費的金額),。
主觀信息是一個意見問題(例如判斷特定組織更容易受到 DDoS 攻擊而不是勒索軟件攻擊),。
通過將每種信息類型分配到網(wǎng)格上的相應(yīng)位置,將能夠快速確定是否存在任何潛在的盲點,,因為任何空的象限都會立即顯現(xiàn)出來,。
下面的網(wǎng)格提供了每種類型風(fēng)險信息的一些示例。
此網(wǎng)格的目的不是對單個信息進行分類,,也不建議來自四個象限中任何一個的信息比任何其他類型的信息“更好”,。是關(guān)于查看在風(fēng)險分析中使用的信息源的傳播,并發(fā)現(xiàn)任何盲點,。
那么怎么做呢,?
首先瀏覽進入組織風(fēng)險評估過程的所有各種信息源。
將它們放入上面的網(wǎng)格中,。如果不確定從哪里開始,,請返回與組織中的網(wǎng)絡(luò)安全相關(guān)的決定。哪些信息用于告知該決定,?如果沒有寫下任何內(nèi)容,請返回并與做出決定的人交談,,并詢問他們在該安全問題上是如何決定的,。
檢查網(wǎng)格。它是什么樣子的,?你是偏向一個象限還是一半,?
還可以收集哪些其他信息來填補空白?這會如何改變決定,?為什么它們所在的地方存在差距,?這可能會導(dǎo)致風(fēng)險分析方法出現(xiàn)哪些盲點?
此練習(xí)的目標(biāo)是幫助發(fā)現(xiàn)風(fēng)險評估可能會遺漏一些有價值信息的情況。它不會準確地告訴我們?nèi)鄙偈裁?,但它可以揭示組織對特定類型信息的偏見,。
這絕不是對風(fēng)險信息進行分類的唯一方法。風(fēng)險信息還有其他可能同樣有用的特性,。例如,,還值得考慮是否使用了關(guān)于過去的信息和關(guān)于預(yù)期未來將如何展開的信息以及一些解釋的平衡。
常見的組織偏見
通過使用定性/定量,、客觀/主觀技術(shù),,其實,人們已經(jīng)認識到許多組織的普遍偏見,,其中網(wǎng)格在左上和右下象限中大量填充,,而在其他兩個象限中是空的。在此類組織中,,在評估網(wǎng)絡(luò)風(fēng)險時,,“客觀”和“定量”這兩個術(shù)語的含義相同。
研究結(jié)果表明,,在這些組織中,,與這種有缺陷的假設(shè)不一致的信息被忽略了。例如,,專家對概率的主觀評估被打折扣,。