压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

世上無完美，假裝完美只會(huì)讓事情變得更糟。所以，做好基于風(fēng)險(xiǎn)的決策。

作者簡介

多年前，我曾與一家銀行的風(fēng)險(xiǎn)管理主管聊過。當(dāng)時(shí)我為這家銀行提供咨詢服務(wù)。這位主管是新上任的，向我描述了他實(shí)現(xiàn) IT 風(fēng)險(xiǎn)管理項(xiàng)目的計(jì)劃。該公司的項(xiàng)目將建立在早于 NIST 網(wǎng)絡(luò)安全框架的 NIST 800 系列標(biāo)準(zhǔn)基礎(chǔ)之上，而且他們已經(jīng)基于 SP 800-53 安全控制標(biāo)準(zhǔn)做出了自身專屬的風(fēng)險(xiǎn)評(píng)分系統(tǒng)。計(jì)劃很是詳盡，該主管在上一職位上也就相同解決方案取得了一些成功。

最終，作為該過程結(jié)果給出的風(fēng)險(xiǎn)評(píng)分歸結(jié)于評(píng)估者的個(gè)人意見。但此方法真正的問題是，這位安全主管認(rèn)為該過程最終能夠得到 NIST SP 800-53 實(shí)現(xiàn)的所有控制。因此，他們開發(fā)的模型旨在當(dāng)實(shí)現(xiàn)更多控制時(shí)給出良好風(fēng)險(xiǎn)評(píng)分，而在缺失這些控制時(shí)給出不良風(fēng)險(xiǎn)評(píng)分。

認(rèn)為更多控制相當(dāng)于更少風(fēng)險(xiǎn)的人，絕不止這位主管一個(gè)。太多風(fēng)險(xiǎn)登記都僅僅是問題事項(xiàng)或缺失事項(xiàng)的列表。我們太過確信自己需要更多安全，以至于傾向認(rèn)為只有完美才能保證安全。安全大會(huì)充斥各種格言，比如 “我們每次都得做對，黑客只需要做對一次?！?這種觀點(diǎn)很悲觀，而且勸阻了公司領(lǐng)導(dǎo)采取保護(hù)自身安全所需的正確行動(dòng)。他們何必糾結(jié)于自己能否做到完美呢？

我常說我們需要認(rèn)為自己能夠百分百阻止入侵的網(wǎng)絡(luò)安全人士來做封鎖和應(yīng)對工作。這種思維對高品質(zhì)威脅管理和安全運(yùn)營而言很重要。但我知道，這些人最終都會(huì)失敗的。這并不意味著他們的工作毫無意義。事實(shí)上，我們應(yīng)該頌揚(yáng)的正是這些小成功和一致的行為，而不是完美。

不應(yīng)責(zé)怪控制框架；它們只是在歸類各種可能性。應(yīng)責(zé)備的是對安全控制采取 “必須全逮住” 方法的風(fēng)險(xiǎn)模型。該方法假裝安全控制和損失風(fēng)險(xiǎn)之間存在線性關(guān)系。這就忽略了攻擊頻率、攻擊者能力和公司損失承受力等關(guān)鍵變量。

這種 “收藏家” 式風(fēng)險(xiǎn)管理方法審計(jì)那些常自稱基于風(fēng)險(xiǎn)卻把每個(gè)缺失或不足都認(rèn)為是風(fēng)險(xiǎn)本身的框架。該方法讓昭示零胃納的風(fēng)險(xiǎn)聲明直通高管和企業(yè)董事會(huì)。出于好意的風(fēng)險(xiǎn)胃納聲明，如 “我們不接受任何網(wǎng)絡(luò)相關(guān)風(fēng)險(xiǎn)”，實(shí)際上預(yù)算有限的公司（所有公司都預(yù)算有限）是無法付諸實(shí)踐的。接受零風(fēng)險(xiǎn)意味著將把公司每分錢都花到損失規(guī)避上，且即使如此，也沒人能保證一個(gè)零事件的未來。

成熟的網(wǎng)絡(luò)風(fēng)險(xiǎn)胃納談?wù)摲绞绞强紤]一些非零損失量。風(fēng)險(xiǎn)與損失聲明應(yīng)關(guān)注可損失的數(shù)額范圍，以及此類損失可能發(fā)生的時(shí)間線。這些范圍是必要的，因?yàn)槲覀冇懻摰氖强赡芑蚩赡懿粫?huì)發(fā)生的未來事件，因此，針對胃納做出的任何具體措施都會(huì)錯(cuò)。

有效風(fēng)險(xiǎn)管理的目標(biāo)

有效風(fēng)險(xiǎn)管理可使公司企業(yè)以最少量的資本支出逐漸實(shí)現(xiàn)可接受的損失金額。換句話說，我們試圖以當(dāng)下花的錢來降低未來發(fā)生一定數(shù)量損失的風(fēng)險(xiǎn)。而良好風(fēng)險(xiǎn)管理中并沒有完美風(fēng)險(xiǎn)規(guī)避的位置。這種對風(fēng)險(xiǎn)的關(guān)注限制了創(chuàng)新和良好業(yè)務(wù)管理。

首先，花在風(fēng)險(xiǎn)降低上的每分錢都無法投入企業(yè)目標(biāo)上。因此，風(fēng)險(xiǎn)減少方面的投資肯定意味著企業(yè)目標(biāo)縮減。其次，缺乏適量的無保障運(yùn)營自由度，企業(yè)創(chuàng)新也會(huì)受限。

駕馭風(fēng)險(xiǎn)

若想駕馭風(fēng)險(xiǎn)并以安全控制過程消除風(fēng)險(xiǎn)，準(zhǔn)確表征風(fēng)險(xiǎn)本質(zhì)的良好模型必不可少。而且，此類模型應(yīng)支持公司現(xiàn)代需求，如網(wǎng)絡(luò)保險(xiǎn)購買和/或?yàn)轱L(fēng)險(xiǎn)配置留出資金（風(fēng)險(xiǎn)資本）。FAIR Institute 推動(dòng)網(wǎng)絡(luò)風(fēng)險(xiǎn)量化的開源 FAIR 標(biāo)準(zhǔn)。FAIR 模型可幫助公司主管界定并建模風(fēng)險(xiǎn)場景。該模型將缺失的控制和審計(jì)發(fā)現(xiàn)與損失聲明聯(lián)系起來，讓決策者能作出考慮到風(fēng)險(xiǎn)的明智決策。

另外，該模型使公司企業(yè)有機(jī)會(huì)以有意義且可執(zhí)行的方式：經(jīng)濟(jì)影響，表達(dá)出這些網(wǎng)絡(luò)損失場景。舉個(gè)例子，通過將控制與公司的潛在損失、對客戶的影響和/或其對保險(xiǎn)和風(fēng)險(xiǎn)資本的影響聯(lián)系起來，F(xiàn)AIR 可使公司表達(dá)出為什么該浩瀚目錄中的某個(gè)控制是有意義的。換句話說，這將技術(shù)失效與業(yè)務(wù)影響聯(lián)系在了一起。FAIR 還使實(shí)踐者能夠通過風(fēng)險(xiǎn)效能比的方式證明實(shí)現(xiàn)某個(gè)解決方案可減少風(fēng)險(xiǎn)。風(fēng)險(xiǎn)效能比就是投資到解決方案上的每塊錢能減少的未來潛在損失數(shù)額 “x”。

評(píng)估企業(yè)風(fēng)險(xiǎn)態(tài)勢的時(shí)候需警惕 “最佳實(shí)踐” 模型的誘惑。如果該模型鼓勵(lì)你在控制實(shí)現(xiàn)測試中獲得 A+，你就是在把公司拖入過度控制的環(huán)境，限制創(chuàng)新和斬?cái)嗌虡I(yè)計(jì)劃。所以，專注風(fēng)險(xiǎn)駕馭：為決策者提供做出風(fēng)險(xiǎn)明智決策所需的信息，接受公司網(wǎng)絡(luò)安全問題的完美解決方案可能是不完美實(shí)現(xiàn)的安全。