这一切都归结为……
风险。共同点,以及我们对任何前十名列表中的每个“风险”的标准化衡量标准,都是它们都会对组织的风险产生影响。因此,我们应该做的就是衡量它们对组织整体风险的贡献并对它们进行堆叠排名。从表面上看,这似乎是显而易见的,但存在两个重大挑战:
-
比较必须假设被比较的元素之间有很大程度的独立性(或者至少必须考虑任何关系)
-
大多数组织没有准确地衡量信息安全或运营风险,也没有以有助于排名的方式衡量信息安全或运营风险
风险依赖性和关系
让我们参考第 1 部分中的“风险”列表 。
-
由于 社会工程 是各种威胁团体使用的常用方法,因此它与 网络犯罪分子 和 国家支持的黑客密切相关,有时甚至与 内部威胁密切相关。
-
此外, 用户意识 通常被认为是社会工程成功入侵可能性的关键决定因素。
-
用户意识通常在 数据泄露以及与移动技术、第三方、 Web 应用程序漏洞 和 云计算相关的风险中发挥着关键作用, 其中每一项都可能被列表中的各种威胁社区所利用。
因此,在三个项目符号的范围内,我在列表中的每个元素之间建立了复杂的相互关系。因此,任何通过某种湿手指在空中对这些进行排序的努力都是注定要失败的。
此外,我们可以用风险景观的其他元素替换此列表中的内容,例如:
-
补丁管理
-
SDLC
-
黑客活动主义者
-
ETC…
......并且有同样的关系挑战和困难捍卫/解释为什么某件事进入或没有进入前十名名单。
在本系列的后半部分中,我将介绍一种不同的方法来构建顶级风险问题列表,而不是试图分解和评估这样的列表中的复杂关系。
风险衡量
当谈到确定“风险”的优先级时,一个相当大的挑战是风险通常是使用序数尺度(例如,1 到 5、低到高等)来定性测量的。为什么这是个问题?首先,定性衡量风险存在固有的挑战(更多内容请参见单独的博客)。然后,为了让任何事情进入“前十名”列表,甚至可能进入“前二十名”列表,所规定的风险可能会落入“高风险”类别。而且由于没有可靠的方法使用序数尺度来区分属于同一风险级别的事物(特别是如果它们像我们的列表那样具有相互关系),因此我们仍然无法可靠地关注最重要的事情。
另一个挑战是人们定义和方法风险衡量的不一致。有些人认为风险是最坏情况下的潜在影响(无论概率如何)。其他人则将其视为事件的概率(对于构成“事件”的定义不一致)。还有一些人将控制缺陷视为“风险”,并根据某种程度的严重性对其进行评级。还有一些人将其视为上述内容的组合。由于这种不一致,任何有效衡量风险和优先排序的希望都是白日梦。
在阐述了为什么组织今天没有有效地确定优先级之后,在本系列的第 3 部分中,我将开始为有效识别组织的首要风险问题奠定基础。
原文始发于微信公众号(河南等级保护测评):确定风险优先级的最佳方法 - 第 2 部分
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论