为什么在评估网络安全风险时识别不同类型的信息至关重要。
创新互联专注于企业网络营销推广、网站重做改版、珠晖网站定制设计、自适应品牌网站建设、H5开发、电子商务商城网站建设、集团公司官网建设、成都外贸网站制作、高端网站制作、响应式网页设计等建站业务,价格优惠性价比高,为珠晖等各大城市提供网站开发制作服务。
风险信息是可以影响决策的任何信息。一些组织倾向于只接受某些类型的信息作为合法的风险信息。这些限制增加了错过重要事情的可能性。
想象一下,您的组织的网络安全风险管理方法只能处理描述高、中、低风险的定性信息(例如政策文件、事件报告或评估)。这种方法会错过可以通过包含定量信息(例如网络流量或安全事件数量)来发现的模式和趋势。利用各种信息源可能会揭示原本会被忽视的风险。
组织很少明确排除某些类型的风险信息,但他们通常对特定类型有不言而喻的偏见。安全有时被声称是“无法量化的”,或者定性信息被低估,因为它是一个人的(主观)意见。同样,这些偏见可能导致组织在进行网络安全风险评估时忽视有价值的信息。
如果您的组织对每种网络安全风险评估采用单一的标准化方法,您就更有可能陷入这个陷阱。当组织专注于完成风险管理或合规流程,而不是关注应由此产生的风险管理活动时,更有可能发生这种情况。当组织进入这种“防御”的风险管理行为模式时,这种对“合法”风险信息的封锁可能会加剧。
您如何知道您是否正在考虑足够的信息源?这与其说是一门科学,不如说是一门艺术,我们在下面建议的技术使用一个矩阵,将信息分类为定性或定量、客观或主观:
首先将上面的每个信息类型分配到网格上的相应位置。您将很快能够识别是否存在任何潜在的盲点,因为任何空象限都会立即显现出来。我们完成了下面的示例网格,其中为每个象限分配了不同类型的风险信息。
定量 |
定性 | |
客观的 |
|
|
主观 |
|
|
我们并不是说来自四个象限中任何一个的信息都比任何其他类型的信息“更好”。此练习的目的是可视化您在风险分析中使用的信息源的传播情况,以便您可以快速识别任何盲点。它不会告诉您到底缺少什么,但它可以揭示组织对特定类型信息的偏见。
那么你可以怎样做呢?
这绝不是对风险信息进行分类的唯一方法。风险信息还有其他可能同样有用的属性。例如,还值得考虑的是,您是否正在平衡使用有关过去的信息和有关您预期未来将如何展开的信息,并进行一些解释。当今用于评估和分析网络安全风险的大多数方法都使用定性和主观信息。那些想要了解更多有关使用定量信息的感兴趣的读者可以阅读我们的网络风险量化简介。
通过使用定性/定量、客观/主观技术,NCSC 认识到许多组织中存在一个共同的偏见,即网格中左上和右下象限的人口较多,而其他两个象限则为空。在此类组织中,在评估网络风险时,“客观”和“定量”这两个术语被认为具有相同的含义。
我们的研究结果表明,在这些组织中,与这种有缺陷的假设不一致的信息被忽略了。例如,专家对概率的主观评估就被打了折扣。
当前文章:风险管理之风险管理信息
本文网址:http://www.shufengxianlan.com/qtweb/news45/237845.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联