为什么在评估网络安全风险时识别不同类型的风险信息至关重要。
风险信息是管理可以影响决策的任何信息。一些组织倾向于只接受某些类型的险管息信息作为合法的风险信息。这些限制增加了错过重要事情的理信可能性。
想象一下,风险您的管理组织的网络安全风险管理方法只能处理描述高、中、险管息低风险的定性信息(例如政策文件、事件报告或评估)。这种方法会错过可以通过包含定量信息(例如网络流量或安全事件数量)来发现的模式和趋势。利用各种信息源可能会揭示原本会被忽视的风险。
组织很少明确排除某些类型的风险信息,但他们通常对特定类型有不言而喻的偏见。安全有时被声称是“无法量化的”,或者定性信息被低估,因为它是一个人的(主观)意见。同样,这些偏见可能导致组织在进行网络安全风险评估时忽视有价值的信息。
如果您的组织对每种网络安全风险评估采用单一的标准化方法,您就更有可能陷入这个陷阱。当组织专注于完成风险管理或合规流程,而不是关注应由此产生的风险管理活动时,更有可能发生这种情况。当组织进入这种“防御”的风险管理行为模式时,这种对“合法”风险信息的封锁可能会加剧。
您如何知道您是否正在考虑足够的信息源?这与其说是一门科学,不如说是一门艺术,我们在下面建议的技术使用一个矩阵,将信息分类为定性或定量、客观或主观:
首先将上面的每个信息类型分配到网格上的相应位置。您将很快能够识别是否存在任何潜在的盲点,因为任何空象限都会立即显现出来。我们完成了下面的示例网格,其中为每个象限分配了不同类型的风险信息。
定量 | 定性 | |
客观的 |
|
|
主观 |
|
|
我们并不是说来自四个象限中任何一个的信息都比任何其他类型的信息“更好”。此练习的目的是可视化您在风险分析中使用的信息源的传播情况,以便您可以快速识别任何盲点。它不会告诉您到底缺少什么,但它可以揭示组织对特定类型信息的偏见。
那么你可以怎样做呢?
这绝不是对风险信息进行分类的唯一方法。风险信息还有其他可能同样有用的属性。例如,还值得考虑的是,您是否正在平衡使用有关过去的信息和有关您预期未来将如何展开的信息,并进行一些解释。当今用于评估和分析网络安全风险的大多数方法都使用定性和主观信息。那些想要了解更多有关使用定量信息的感兴趣的读者可以阅读我们的网络风险量化简介。
通过使用定性/定量、客观/主观技术,NCSC 认识到许多组织中存在一个共同的偏见,即网格中左上和右下象限的人口较多,而其他两个象限则为空。在此类组织中,在评估网络风险时,“客观”和“定量”这两个术语被认为具有相同的含义。
我们的研究结果表明,在这些组织中,与这种有缺陷的假设不一致的信息被忽略了。例如,专家对概率的主观评估就被打了折扣。
责任编辑:武晓燕 来源: 祺印说信安 风险管理NCSC(责任编辑:百科)
安徽当涂县立足“四着重”工作要点 切实推进国库集中支付中心高效运行
深高速(00548.HK)年度净利润减少19.88% 末期现金股息每股0.43元
监管严打违规行为 妖股中潜股份现形:信披违规收监管函 董秘引咎辞职
10月份全国服务业生产指数同比增长3.8% 总体保持恢复态势