為什么在評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)時(shí)識(shí)別不同類型的信息至關(guān)重要。
風(fēng)險(xiǎn)信息是指可以影響決策的任何信息。
一些組織傾向于只接受某些類型的信息作為合法的風(fēng)險(xiǎn)信息。此類限制增加了錯(cuò)過(guò)重要內(nèi)容的機(jī)會(huì)。
多樣性的重要性
想象一下,組織的風(fēng)險(xiǎn)管理方法只能處理以高、中、低三個(gè)維度描述風(fēng)險(xiǎn)的定性信息(例如政策文件、事件報(bào)告或評(píng)估)。這種方法會(huì)錯(cuò)過(guò)通過(guò)包含定量信息(例如網(wǎng)絡(luò)流量或安全事件數(shù)量)可以發(fā)現(xiàn)的模式和趨勢(shì)。利用各種信息源可能揭示會(huì)被遺漏的風(fēng)險(xiǎn)。
組織很少會(huì)明確排除某些類型的信息,但他們通常對(duì)特定類型有一種不言而喻的偏見(jiàn)。有時(shí)聲稱安全性是“無(wú)法量化的”,或者定性信息被打折,因?yàn)樗婕暗揭粋€(gè)人的(主觀)意見(jiàn)。同樣,這些偏見(jiàn)會(huì)導(dǎo)致組織在進(jìn)行網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估時(shí)忽略有價(jià)值的信息。
如果組織對(duì)每種網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估都采用單一、標(biāo)準(zhǔn)化的方法,就更有可能陷入這個(gè)陷阱。當(dāng)組織專注于完成風(fēng)險(xiǎn)管理過(guò)程而不是應(yīng)該從中產(chǎn)生的風(fēng)險(xiǎn)降低活動(dòng)時(shí),這種情況更有可能發(fā)生。當(dāng)組織進(jìn)入這種風(fēng)險(xiǎn)管理行為的“防御性”模式時(shí),這種關(guān)閉被視為“合法”風(fēng)險(xiǎn)信息的情況可能會(huì)加劇。
幫助評(píng)估信息來(lái)源
怎么知道是否考慮了足夠的信息來(lái)源?
這更像是一門藝術(shù)而不是一門科學(xué),我們?cè)谙旅娼ㄗh的技術(shù)使用矩陣將信息分類為定性或定量、客觀或主觀:
定性信息是關(guān)于用人類語(yǔ)言描述某些東西,例如文檔中呈現(xiàn)的書(shū)面信息。
定量信息是關(guān)于可以用數(shù)字衡量的事物。
客觀信息是可驗(yàn)證的,不受意見(jiàn)的影響(例如組織擁有的筆記本電腦數(shù)量,或購(gòu)買特定防病毒解決方案需要花費(fèi)的金額)。
主觀信息是一個(gè)意見(jiàn)問(wèn)題(例如判斷特定組織更容易受到 DDoS 攻擊而不是勒索軟件攻擊)。
通過(guò)將每種信息類型分配到網(wǎng)格上的相應(yīng)位置,將能夠快速確定是否存在任何潛在的盲點(diǎn),因?yàn)槿魏慰盏南笙薅紩?huì)立即顯現(xiàn)出來(lái)。
下面的網(wǎng)格提供了每種類型風(fēng)險(xiǎn)信息的一些示例。
此網(wǎng)格的目的不是對(duì)單個(gè)信息進(jìn)行分類,也不建議來(lái)自四個(gè)象限中任何一個(gè)的信息比任何其他類型的信息“更好”。是關(guān)于查看在風(fēng)險(xiǎn)分析中使用的信息源的傳播,并發(fā)現(xiàn)任何盲點(diǎn)。
那么怎么做呢?
首先瀏覽進(jìn)入組織風(fēng)險(xiǎn)評(píng)估過(guò)程的所有各種信息源。
將它們放入上面的網(wǎng)格中。如果不確定從哪里開(kāi)始,請(qǐng)返回與組織中的網(wǎng)絡(luò)安全相關(guān)的決定。哪些信息用于告知該決定?如果沒(méi)有寫(xiě)下任何內(nèi)容,請(qǐng)返回并與做出決定的人交談,并詢問(wèn)他們?cè)谠摪踩珕?wèn)題上是如何決定的。
檢查網(wǎng)格。它是什么樣子的?你是偏向一個(gè)象限還是一半?
還可以收集哪些其他信息來(lái)填補(bǔ)空白?這會(huì)如何改變決定?為什么它們所在的地方存在差距?這可能會(huì)導(dǎo)致風(fēng)險(xiǎn)分析方法出現(xiàn)哪些盲點(diǎn)?
此練習(xí)的目標(biāo)是幫助發(fā)現(xiàn)風(fēng)險(xiǎn)評(píng)估可能會(huì)遺漏一些有價(jià)值信息的情況。它不會(huì)準(zhǔn)確地告訴我們?nèi)鄙偈裁?,但它可以揭示組織對(duì)特定類型信息的偏見(jiàn)。
這絕不是對(duì)風(fēng)險(xiǎn)信息進(jìn)行分類的唯一方法。風(fēng)險(xiǎn)信息還有其他可能同樣有用的特性。例如,還值得考慮是否使用了關(guān)于過(guò)去的信息和關(guān)于預(yù)期未來(lái)將如何展開(kāi)的信息以及一些解釋的平衡。
常見(jiàn)的組織偏見(jiàn)
通過(guò)使用定性/定量、客觀/主觀技術(shù),其實(shí),人們已經(jīng)認(rèn)識(shí)到許多組織的普遍偏見(jiàn),其中網(wǎng)格在左上和右下象限中大量填充,而在其他兩個(gè)象限中是空的。在此類組織中,在評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)時(shí),“客觀”和“定量”這兩個(gè)術(shù)語(yǔ)的含義相同。
研究結(jié)果表明,在這些組織中,與這種有缺陷的假設(shè)不一致的信息被忽略了。例如,專家對(duì)概率的主觀評(píng)估被打折扣。