风险评估应该是一项理性、客观的工作。作为人类,我们的情绪有时可能是非理性和主观的。作为安全专业人员,会使我们违背了客观评估、管理和降低风险的职责。
不幸的是,主观性会带来偏见,从而扭曲风险评估。当风险评估中融入过多的主观性时,可能会产生不能准确反映现实的风险图景。这反过来又导致整体安全状况较差。
鉴于此,安全专业人员如何在风险评估中尽可能消除主观性?可能可以采取许多不同的方法。我想提供安全团队可以使用的七个步骤,以确保他们的风险评估、管理和缓解尽可能客观。
关键资源和数据:当我们开始客观地考虑风险时,我们很快意识到我们需要关注可能对业务造成损害和损失的地方。损害最常见的原因是数据受损、资源(系统)受损和/或帐户受损造成金钱损失。这种金钱损失可能表现为收入损失(由于应用程序不可用、品牌声誉受损等)、监管罚款、披露成本、违规补救成本、欺诈等。因此,客观风险评估的第一步是列举如果受到安全事件影响可能对业务产生金钱影响的关键资源和数据。
潜在影响:一旦列举了关键资源和数据,就必须了解每个资源和数据的潜在影响。我们所说的潜在影响是指财务影响。在某些情况下,这可能比其他情况更容易确定。无论如何,这种影响需要作为该过程中重要的下一步来确定。
威胁形势:不乏安全威胁。其中一些比其他更相关且更适用于业务。需要列举相关的内容,以保持风险评估流程的顺利进行。
映射:企业的风险和威胁并不存在于真空中。如上所述,有些比其他更相关且更适用于业务。此外,并非所有风险和威胁都与已列举的所有关键资源和数据相关且适用。因此,准确地将适当的风险和威胁映射到可能受到影响的资源和数据变得非常重要。在衡量真正的风险暴露之前,这是一项必要的重要工作。
暴露:安全事件后对企业造成的损害是由于风险暴露而不是绝对风险造成的。风险暴露定义为风险发生的概率*风险发生时的影响。如果影响的潜力很大,但风险实现的可能性很低(反之亦然),则风险暴露将远远低于绝对风险。可能需要一段时间才能适应,但风险暴露是一种更加客观和理性的风险管理方式。如果您需要更多帮助才能实现这一目标,请考虑一下中彩票的影响。巨大,对吧?尽管如此,中彩票的概率太低了,据我所知,没有人买了彩票后立即辞职。
翻译:我们的高管和董事会通过金钱损失和业务损失的角度来了解风险。对于所有业务风险(包括安全风险)都是如此。如果我们在步骤 1-5 中做得很好,应该能够计算我们所列举的风险和威胁的潜在货币影响。为此,我们需要使用上述所有数据点,特别是我们在步骤 2 中评估的财务影响。
总结:虽然高管和董事会对风险有很好的了解,但我们不能指望他们能够理解我们在步骤 1-6 中所做的详细工作。因此,我们必须确定可以汇总风险和潜在损失的分组。例如,我们必须聚合为业务部门、产品线、应用程序等。一旦我们这样做了,我们就可以用他们期望看到的语言向我们的高管和董事会展示风险敞口。
尽可能多地消除风险评估过程中的主观性需要投入大量的时间、金钱和资源。然而,这是一项值得的投资。除了初始工作之外,风险评估是一个持续的过程,需要迭代地完成,以维持企业的安全状况并努力改进它。作为额外的好处,一旦风险评估以高管和董事会能够理解的方式客观完成,就成为展示安全团队的价值以及对必要的人员、流程和技术进行安全投资的平台。
>>>错与罚<<<
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...