风险管理“好心办坏事”的六大失误

安全
为了更好的理解企业在安全风险管理方面的误区,本文根据CSO们的亲身经历总结了六大失误,相信会给您带来一些启发。

虽然很多企业管理者已经发现安全风险管理的意义,但是并非所有的风险管理机制都可以杜绝风险,正相反,一旦引入不良的风险处理方法则可能会使企业危机重重。为了更好的理解企业在安全风险管理方面的误区,本文根据CSO们的亲身经历总结了六大失误,相信会给您带来一些启发。

企业管理者们深知自己面临安全风险,但他们往往不清楚这些风险究竟是什么,或者说会给业务带来怎样的影响。安全风险管理机制的作用恰恰在于消除主观推断,帮助企业以更明智的方式制定决策。正如信息风险分析师协会(简称SIRA)副总裁Jay Jacobs所说,“安全风险管理对于企业而言只是一种决策辅助系统,它的存在是为了引导业务决策始终保持在正确轨道之上。”

遗憾的是,专家们发现大多数企业出于善意的努力都并不符合标准,甚至可能由于不良习惯的引入而提高企业面临的风险。

SIRA总裁Jeff Lowder告诉我们,“有一种错误的观念,即安全专业知识等同于风险管理专业知识。事实上,我见过很多自称风险管理专家的安全技术人员,但他们根本不具备处理风险管理工作的能力。安全管理与风险管理是两个独立的学科,一般情况下安全风险管理专家能胜任安全管理工作,但安全管理专家则不能胜任风险管理工作。”

为了更好地理解企业在哪些方面犯下差错,笔者咨询了几位业界专家,探询他们亲身经历过的安全风险管理失误。“我们亲眼目睹许多企业从错误的角度出发选择内部安全风险管理框架。这样做还不如抛硬币来决定,那样至少有二分之一的正确机率,”Lowder回忆道。

下面我们就一起来看看那些最常见的、导致好心办坏事的风险管理失误:

风险管理失误一:一切从头开始?别迷信专家!

很多安全专家都希望能从头开始重塑安全风险管理制度。

幸运的是,风险分析的基本内容已经相当规范,其中包括如何征求专家意见及如何对无法确定的风险模式提出质疑等。然而正如Jacobs与Lowder所解释,很多人仍然没有意识到正确实施才是获得良好效果的关键。推倒重来的粗暴方案不仅没能建立起更好的新机制,反而保留了很多原先就无法克服的严重缺点。

“最知名的管理模式在于挑选几种似乎比较重要的‘风险’因素,根据其重要程度进行排序并打分,然后通过基本的推算或者矩阵模型推导其后果,”Jacobs指出。但事实上,这样的推算结果很可能根本靠不住,除非决策制定者拥有丰富的管理经验以及怀疑一切的审慎态度,否则企业必然会由此受到严重影响。

风险管理失误二:照搬审计部门流程?小心鸡同鸭讲!

作为某家大型企业运营风险及管理事务主管,Alex Hutton与我们分享了他的经验。某些企业会照搬审计部门的运作流程,并以此作为安全风险管理规划的主干,这同样无法达到预期效果。

“虽然两者之间存在相似之处,但企业风险管理团队与审计部门之间仍然属于完全不同的角色定位”Hutton指出。审计部门的关注重点在于事故是否会导致安全控制机制陷入瘫痪,而风险管理团队则需要关注IT风险的潜在发生频度与影响。另外,审计部门的角色在于帮助企业理解控制机制的实施方式,而风险管理团队则需要决定如何才能让针对安全控制及相关流程的投资达到理想效果。

“大多数企业的风险管理规划都无法实现这一目标,因为他们仅仅负责执行政策、而没能帮助企业了解哪些控制机制有效哪些没有”Hutton表示。

“审计部门本身并不一定关心安全威胁,也不需要费心了解风险报告与总体状况。对威胁、资产、控制及影响等因素的全局掌控才是风险管理团队的工作。”Hutton总结称。

风险管理失误三:谁说无法将安全风险归结为数字?别将准确与精确混为一谈!

很多安全专家都无法将IT安全风险与漏洞归结为直观数字。

“我们常常听到人们抱怨称自己无法拿出精确的汇总报表,或者没有足够的数据来形成一份有价值的评估材料,”Lowder指出。“他们显然是把准确与精确两个概念给搞混了。要让评估结果精确到一定程度当然是异想天开,但我们完全可以给出一个比较准确的数值浮动范围。”

提供具备可操作性的信息,并不意味着安全风险管理人员需要对出现负面状况的可能性做出精确预测。

“数字的作用在于正确指导决策,从而帮助企业获得较为清晰的前进方向,”Lowder表示。“我们完全可以通过有力的论据证明当前机制发生意外的概率为60%到90%,这样足矣。”

风险管理失误四:过分强调风险登记册的作用!别总盯着百年一遇的风险!

Hutton告诉我们,许多企业在对当前风险进行评估时都会执着于列出一份包含所有潜在问题的清单,这就是所谓风险登记册。

“创建风险登记册的问题在于,人们根本不知道应该记到哪里才算结束。他们会不断发掘潜在风险,甚至将那些极为罕见的情况包括在内。夸张点说,有些人甚至会把飞机从屋顶坠入数据中心这类荒谬的例子作为考量对象”他无奈地指出。

“可能性极低的情况虽然也会构成风险,但我们实在没必要把这些百年不遇的事态也登记起来”他表示。Hutton建议企业建立一分安全问题登记册,将所有遇到过的意外情况列入其中,这能够更加真实地反映实际情况、同时帮助企业重视那些发生频率最高的安全风险。

风险管理失误五:误解风险级别和等级分类:别靠想像来理解风险等级

安全风险管理者们往往将威胁与漏洞以几项简单的标准加以衡量:低、中、高——这样粗放的划分方式实在太过儿戏,而且也成了引发故障的导火索。

归根结底,低、中、高到底是什么意思?“这只是三个量级,而且没有任何直观表现形式,”Lowder评价道。

“当我们要求大家根据事件的发生频率为其进行高、中、低标准界定时,似乎没人能给出准确的答案。这样一来,大家对于结论就只能通过想象来理解。这简直比硬性定结论更加危险,”Lowder指出。

举例来说,当我们发现某事件的发生机率为低,有些管理者会认为其机率应该在10%左右,但有些则认为这一门槛应该是33%。“虽然我们没必要对数字太过较真,但要让交流能在清晰的基础上进行,我们还是应该拿出一些有说服力的数字”Lowder总结道。

谈到等级分类,Lowder表示:“这又是一项需要严格杜绝的失误。”举例来说,如果船A最先到达终点、船B位列第二,船C则最后抵达,那么仅靠这些信息我们根本无法得到三艘船完成比赛的平均时间。我们所了解的只是船A最快而船C最慢。“这也正是等级分类机制的最大弱点,仅凭第一、第二、第三或者高、中、低这种模糊的说法根本不足以帮助企业进行风险评估。”

等级分类只对数值进行简单排序,但对于这些数值所代表的含义只字不提。“这样的划分机制简直毫无用处。什么高、中、低这样的标准根本无法帮助我们计算出风险管理因素的具体情况”Lowder解释道。

风险管理失误六: 缺乏风险智能规划:随时监控状态改变

“这是个相当严重的问题,”Hutton表示。“如果将IT安全风险根据信息类型分为四种——即威胁、控制、资产与影响——那么其中任何一项状态的改变都可能会给企业的风险形势带来影响。”遗憾的是,目前的风险管理标准还没有给出一套明确的风险智能规划或者功能的重要程度界定。风险管理人员也无法给出有效的风险智能来源或者对可能影响企业风险形势的新信息进行正确处理。

Hutton指出,实现智能化管理功能的途径比企业想象的更加简单,我们需要做的只是监控那些能够对风险产生影响的变化因素。

“举例来说,一旦入侵检测/防御方面的专家决定辞职,那么这方面的技能鸿沟一时之间恐怕很难填补,这就相当于增加了企业的安全风险。与此相似,对于大量采用OSX系统平台的企业而言,该平台曝出新型恶意软件的消息也可能衍生出安全威胁,”Hutton解释称:如果大家不关注这些变化,也就无法对风险进行有效控制。

总之,风险管理工作难度很高,但任意胡来造成的后果可能比袖手旁观更加恶劣。“企业管理者可能会根据错误的信息、错误的流程以及错误的计算方式制定决策,三者结合起来必然会让最终解决方案变得一塌糊涂,”Jacbos告诉我们。

责任编辑:蓝雨泪 来源: 安库网
相关推荐

2012-06-26 09:35:03

Firefox浏览器

2013-02-22 12:09:55

BYODBYOD安全

2023-07-24 11:01:32

2011-11-15 19:48:36

2009-04-08 08:26:56

Sun沦落福布斯

2017-03-15 19:22:41

2022-10-20 07:47:46

2022-05-16 09:18:47

物联网物联网安全

2011-07-25 09:43:38

目标设备管理工具日志文件

2022-11-24 11:20:12

2018-07-05 04:42:26

网络管理IT网络连续性

2022-04-15 11:36:03

SaaS安全数据安全网络安全

2023-01-13 12:39:27

2012-02-15 09:28:18

2016-12-12 15:50:36

2014-06-12 08:58:04

运维

2020-11-11 14:23:35

网络安全数据泄露网络攻击

2010-01-12 12:00:32

2012-05-23 11:31:09

浏览器帐号管理

2011-04-27 09:34:23

VMware vCen
点赞
收藏

51CTO技术栈公众号