思考范围:大象的例子
您可能不是兽医、动物学家或大型动物猎人。但我敢打赌,您无需使用谷歌就知道大象的重量。您甚至可以估算特定动物园中特定大象的重量。你知道一头大象的重量超过10磅。您也可能有充分的理由相信100,000磅对于一头大象来说是不可能的重量。事实上,如果有压力的话,您可能会想出一个更合理的范围——让我们这样做吧。
我们将此合理范围称为90% CI。首先预测范围内的最高数字。它应该是一个“令人惊讶的高”值——但并非不可能。更具体地说,您认为正确答案只有5%(二十分之一)的机会高于此上限。如果您认为大象的体重大于20,000磅的可能性只有5%,那么这就是90% CI的上限。它也被称为“P95”,即您认为有95%的机会高于正确答案的金额。
接下来我们选择下限值。您认为正确答案有95%的可能性高于5,000磅,而正确答案只有5%的可能性低于5,000磅。这使得5,000成为您的P5。您的90%区间现在是5,000到20,000磅,如果大象重量的90% CI与大多数企业损失类似,则典型损失更接近下限。(我们已经自动扭曲了您的损失分布。)
完成此快速风险审核后,您将获得一个总金额,该金额近似于所有列出的威胁的总概率加权损失。它让您了解风险的真实规模。每种风险的AEL还可以让您了解哪些风险应该更值得关注。
同样,这并不比风险矩阵复杂多少,根据我们的调查,大约一半的组织已经在使用风险矩阵。我们只是将每个风险一一替换为风险矩阵。那么这与许多组织现在所做的有什么不同呢?
由于我们仍在对可能性和影响做出一些简单的判断,因此看起来我们并没有太大改变。毕竟,我们之所以将替换风险矩阵的方法称为一对一替换,是因为我们可以直接将先前的风险映射到所提出的模型。然而,尽管我们描述的方法非常简单,并且可能仍然主要基于主观估计,但它引入了风险矩阵排除的一些基本定量原则。下表(表3.3)对这两种方法进行了对比。
表3.3定量模型与风险矩阵的简单替换
|
代替: |
我们替代: |
|
按1到5或“低”到“高”的等级对可能性进行评级。示例:“X的可能性为2”或“X的可能性为中等”。 |
估计给定时间段(例如1年)内发生事件的概率。示例:“事件X在未来12个月内发生的可能性为10%。”对于某些项目,我们可以使用行业数据。如果我们感到困惑,我们可以使用第2章中的LRS来获取指导。 |
|
按1到5或“低”到“高”的等级对影响进行评级。示例:“X的影响是2”或“X的影响是中等”。 |
估计货币化损失的90% CI。示例:“如果事件X发生,损失有90%的可能性在100万美元到800万美元之间。” |
|
在风险矩阵上绘制可能性和影响分数,并将风险矩阵进一步划分为风险类别,例如“低/中/高”或“绿/黄/红” |
利用定量的可能性和影响来生成年化预期损失(AEL),我们可以确定风险和控制的优先顺序。当我们在非常简单的蒙特卡罗模拟中使用相同的输入时,我们可以在AEL的基础上进一步构建。 |
在接下来的章节中,我们将更详细地描述风险矩阵引入的问题以及使用更多定量方法时观察到的可衡量的改进,即使定量评估是主观的。
在本章的其余部分中,我们将讨论这个简单模型中使用的初始估计的两个输入来源:实际数据(来自您自己的公司或行业)和专家的判断。接下来我们将讨论这两个问题。之后,我们将介绍如何使用这个简单的模型进行控制决策,以及如何通过简单的模拟来改进风险审计的输出。
原文始发于微信公众号(河南等级保护测评):快速风险审计:思考大象的例子
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论