为什么有的风险分析需要几周或几个月的时间,而不是几小时或几天?为什么利益相关者不相信你的结果的表面价值?风险衡量流程哪里出了问题?
在风险分析中,很容易失去焦点、偏离轨道并产生不支持业务决策的结果。
最终可能会显示太少的数据来说服利益相关者,或者只是要求他们提供太多数据 - 例如,决策者如何在200个风险登记册中筛选出158个“高风险”项目?
如果练习这五个习惯,将更加清晰地完成风险分析任务,并且最终产品将更容易被组织理解并且更易于操作。
1. 了解风险分析的目的
了解根本问题、举措和疑问只会在这一过程中有所帮助。预先确定这些关键问题将提高效率和交付。
每项举措都是不同的,并将带来新的利益相关者和目标。这将有助于正确确定分析范围,了解需要进行哪些类型的分析,并协助项目的最终交付成果(即格式、措辞和内容)。
2.了解真正的风险损失
在每次分析中,定义损失事件和威胁事件至关重要。但他们常常感到困惑。
-
当威胁试图危害资产并且该资产容易受到攻击时,就会发生损失事件,从而导致组织遭受重大损失。
-
威胁事件是不一定会导致损失的尝试。
确定损失发生的位置将防止分析过程中出现任何混乱。这也将防止范围蔓延:分析师常常会考虑那些“假设”场景,这些场景会偏离切线且不适合指定的范围。
3. 定义避免重复计算
公司应该拥有风险模型、方法或通用语言以及一致的定义,以防止大规模的沟通错误和重复计算。(可以考虑FAIR 模型)。
例如,知道…之间的区别
-
声誉损失/损害(从外部利益相关者的角度来看,组织的价值下降和/或其责任增加而造成的损失)与声誉损失/损害
-
竞争优势(因知识产权或其他关键竞争优势受到损害或损害而造成的损失)
......将巩固部门和组织的方法并防止夸大损失。当模型、方法和语言在组织范围内不为人所知时,记录重要项目将有助于捍卫为手头项目进行的分析和工作。
4. 不要变得比你需要的更细化
一些风险分析部门利用主题专家 (SME) 提供的所有数据。通常,在寻找详细数据时,某些项目可能会被遗忘,甚至已经在另一个数据集中考虑过。
为了避免数据收集的回报递减,请在高水平上进行研究和数据收集。例如,在分析与X相关的服务器的补丁级别时,我们不需要知道组织内每台服务器上执行的每个补丁的5年历史记录。利用您的判断力以有用的精度准确地进行分析。
5.记录一切
记录范围、假设和基本原理可以带来清晰且可靠的工作。忘记记录某些内容可能会导致许多问题,例如工作不完整、不准确,甚至在呈现最终结果时工作毫无根据。
例如,如果对组织 X 的当前安全和密码实践相关的风险进行分析,并且该组织手头的举措是实施多因素身份验证,那么不要仅仅得出表明该举措具有成本效益的结果,还要解释什么已在工作范围内考虑。这听起来似乎很明显,但我已经看到过这个错误。
整个分析过程中的记录将显示所使用的每个数据集背后的关键原理和推理。通过彻底记录,这将使交付物能够引用组织上已知的历史数据。这使得工作和结果在决策过程中更容易被接受和更有力。
原文始发于微信公众号(河南等级保护测评):网络风险分析的5个高效习惯
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论