风险管理之风险信息多样化
为什么在评估网络风险时识别不同类型的信息至关重要。
风险信息是指可以影响决策的任何信息。
一些组织倾向于只接受某些类型的信息作为合法的风险信息。此类限制增加了错过重要内容的机会。
多样性的重要性
想象一下,组织的风险管理方法只能处理以高、中、低三个维度描述风险的定性信息(例如政策文件、事件报告或评估)。这种方法会错过通过包含定量信息(例如网络流量或安全事件数量)可以发现的模式和趋势。利用各种信息源可能揭示会被遗漏的风险。
组织很少会明确排除某些类型的信息,但他们通常对特定类型有一种不言而喻的偏见。有时声称安全性是“无法量化的”,或者定性信息被打折,因为它涉及到一个人的(主观)意见。同样,这些偏见会导致组织在进行网络风险评估时忽略有价值的信息。
如果组织对每种网络风险评估都采用单一、标准化的方法,就更有可能陷入这个陷阱。当组织专注于完成风险管理过程而不是应该从中产生的风险降低活动时,这种情况更有可能发生。当组织进入这种风险管理行为的“防御性”模式时,这种关闭被视为“合法”风险信息的情况可能会加剧。
帮助评估信息来源
怎么知道是否考虑了足够的信息来源?
这更像是一门艺术而不是一门科学,我们在下面建议的技术使用矩阵将信息分类为定性或定量、客观或主观:
定性信息是关于用人类语言描述某些东西,例如文档中呈现的书面信息。
定量信息是关于可以用数字衡量的事物。
客观信息是可验证的,不受意见的影响(例如组织拥有的笔记本电脑数量,或购买特定防病毒解决方案需要花费的金额)。
主观信息是一个意见问题(例如判断特定组织更容易受到 DDoS 攻击而不是勒索软件攻击)。
通过将每种信息类型分配到网格上的相应位置,将能够快速确定是否存在任何潜在的盲点,因为任何空的象限都会立即显现出来。
下面的网格提供了每种类型风险信息的一些示例。
此网格的目的不是对单个信息进行分类,也不建议来自四个象限中任何一个的信息比任何其他类型的信息“更好”。是关于查看在风险分析中使用的信息源的传播,并发现任何盲点。
那么怎么做呢?
首先浏览进入组织风险评估过程的所有各种信息源。
将它们放入上面的网格中。如果不确定从哪里开始,请返回与组织中的网络安全相关的决定。哪些信息用于告知该决定?如果没有写下任何内容,请返回并与做出决定的人交谈,并询问他们在该安全问题上是如何决定的。
检查网格。它是什么样子的?你是偏向一个象限还是一半?
还可以收集哪些其他信息来填补空白?这会如何改变决定?为什么它们所在的地方存在差距?这可能会导致风险分析方法出现哪些盲点?
此练习的目标是帮助发现风险评估可能会遗漏一些有价值信息的情况。它不会准确地告诉我们缺少什么,但它可以揭示组织对特定类型信息的偏见。
这绝不是对风险信息进行分类的唯一方法。风险信息还有其他可能同样有用的特性。例如,还值得考虑是否使用了关于过去的信息和关于预期未来将如何展开的信息以及一些解释的平衡。
常见的组织偏见
通过使用定性/定量、客观/主观技术,其实,人们已经认识到许多组织的普遍偏见,其中网格在左上和右下象限中大量填充,而在其他两个象限中是空的。在此类组织中,在评估网络风险时,“客观”和“定量”这两个术语的含义相同。
研究结果表明,在这些组织中,与这种有缺陷的假设不一致的信息被忽略了。例如,专家对概率的主观评估被打折扣。
参考来源:英国国家网络安全中心官网