确定风险优先级的最佳方法 - 第 1 部分

挑战

重点。这是每个组织在管理信息安全和运营风险时都需要的关键品质，但很少有人能做到这一点。 

原因很简单——专注要求组织识别其风险格局中几个最关键的要素，而这只有在能够有效比较要素时才会发生。不幸的是，过去两年我遇到的每一个组织都无法做到这一点。

例如，下面的列表是几个大型组织最近与我分享的“十大网络风险”的代表。（与您组织的列表如有任何相似之处纯属巧合。）

• 移动技术

• 云计算

• 网络犯罪分子

• 第三方风险

• 社会工程学

• 国家资助的黑客

• Web应用程序漏洞

• 用户意识

• 数据泄露

• 内部威胁

乍一看，大多数人都会看到这个列表并点头同意这些似乎是重大的网络风险。也许吧，但现在回答这个问题：“此列表中排名前三的风险是什么？ ”——然后板着脸，用对业务同事有意义的措辞来捍卫你的答案。将我的问题扩展为包括：“…… 未列入列表的第 11 项和第 12 项风险是什么 ？”事情变得更加有趣。当我以这种方式挑战某人时，我还没有听到令人信服的答案。一般来说，我会看到车头灯下的鹿的表情，然后是大量的挥手，“这很复杂。 ”既然如此，这些组织关注其风险格局中最重要要素的可能性有多大？ 

苹果和橙子

优先级的第一个原则是只能在基本相似的事物之间进行比较和/或可以使用通用的度量单位进行评估。不幸的是，上面的列表是不同风险景观元素的集合。例如，移动技术只是一种技术，而网络犯罪分子是整个威胁群体中的一个特定群体，社会工程是各种威胁群体使用的一种方法，而 Web 应用程序漏洞是威胁群体特定部分中的弱点的一个例子。技术景观。显然，这些在本质上并不相似，这意味着为了让我们比较它们，我们必须能够使用通用的度量单位来评估它们。

原文始发于微信公众号（河南等级保护测评）：确定风险优先级的最佳方法 - 第 1 部分