客观评估风险七步走

风险评估应该是一项理性而客观的工作。但身为人类，难免会受情绪影响，有时候是不理性且主观的。对于安全专业人员而言，这就有悖于其客观评估、管理和缓解风险的职责了。
主观会引入偏向，从而影响风险评估的准确性。如果风险评估中掺杂太多主观因素，得到的风险视图可能就无法准确反映真实情况，造成整体安全态势下滑。
有鉴于此，安全专业人员该如何尽可能地消除风险评估中的主观性呢？可以采取的措施或许有很多。不过，下面这七个步骤可供安全团队用以确保其风险评估、管理和缓解尽量客观。

1、关键资源和数据

开始客观考虑风险的时候，我们会很快意识到需要关注业务可能受损的地方。损害往往是因数据、资源（系统）和/或账户所致金钱损失而造成的。这种金钱损失可能以收入损失（应用不可用、品牌声誉受损等导致）、监管罚款、披露成本、漏洞修复成本、欺诈等形式呈现。因此，通往客观风险评估的第一步就是列举关键资源和数据，这些东西在受安全事件影响时可能会对业务造成金钱方面的影响。

2、潜在影响

列举关键资源和数据后，必须了解每一项关键资源和数据的潜在影响。此处所说的潜在影响指的是财务方面的。某些情况下，财务方面的潜在影响相对更容易确定。无论如何，作为这一过程的下一步，我们需要确定这种影响。

3、威胁形势

安全威胁到处都是。其中一些相对其他更为业务相关，也更加适用于业务。想要持续推进风险评估过程，就需要列举业务相关的那些安全威胁。

4、映射

业务风险和威胁并不存在于真空中。如前所述，某些威胁比其他威胁更为业务相关。此外，不是所有风险和威胁都关乎列举出的全部关键资源和数据。因此，很有必要将风险和威胁准确映射到可能受影响的资源和数据上。这是真正衡量风险暴露前很有必要的重要一步。

5、暴露

安全事件对业务造成的损失源自风险暴露而非绝对风险。风险暴露定义为“风险发生的概率×风险发生后的影响“。如果潜在影响巨大但风险发生概率很低（反之亦然），风险暴露就远低于绝对风险。可能需要点时间才能熟练掌握，但风险暴露是更加客观和理智的风险管理方式。为帮助理解，不妨类比一下中彩票的影响。奖金丰厚，对吧？尽管如此，中大奖的概率太低了，没人会刚买了张彩票就马上辞职的。

6、业务损失

这适用于所有业务风险，包括安全风险。如果我们确实做好了前面5步，那就应该能够计算出我们列举出的风险所能造成的潜在金钱影响。为此，我们需要用到上述所有数据点，尤其是第2步中评估的财务影响。

7、聚合

虽然高管和董事会充分了解风险，但我们不能指望他们能够了解我们上面6个步骤所做的各项具体工作。因此，我们必须确定可以聚合风险和潜在损失的分组。例如，我们必须聚合业务部门、产品线、应用等等。这么做，我们就能用高管和董事会期望的方式呈现风险点。
在风险评估过程中尽量剔除主观性需要投入大量时间、金钱和资源，但这些投资很值得。除了这些初步工作，风险评估还是个持续的过程，需要反复进行，这样才能保持企业的安全态势并加以改善。此外，只要风险评估在高管和董事会参与下客观完成，就会成为展示安全团队和安全投资价值的平台。

* 本文为nana编译，原文地址：https://www.securityweek.com/humans-are-notoriously-bad-at-assessing-risk/

注：图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。

— 【 THE END 】

原文始发于微信公众号（数世咨询）：客观评估风险七步走