为什么在评估网络安全风险时识别不同类型的信息至关重要。
介绍
风险信息是可以影响决策的任何信息。一些组织倾向于只接受某些类型的信息作为合法的风险信息。这些限制增加了错过重要事情的可能性。
为什么多样性很重要
想象一下,您的组织的网络安全风险管理方法只能处理描述高、中、低风险的定性信息(例如政策文件、事件报告或评估)。这种方法会错过可以通过包含定量信息(例如网络流量或安全事件数量)来发现的模式和趋势。利用各种信息源可能会揭示原本会被忽视的风险。
组织很少明确排除某些类型的风险信息,但他们通常对特定类型有不言而喻的偏见。安全有时被声称是“无法量化的”,或者定性信息被低估,因为它是一个人的(主观)意见。同样,这些偏见可能导致组织在进行网络安全风险评估时忽视有价值的信息。
如果您的组织对每种网络安全风险评估采用单一的标准化方法,您就更有可能陷入这个陷阱。当组织专注于完成风险管理或合规流程,而不是关注应由此产生的风险管理活动时,更有可能发生这种情况。当组织进入这种“防御”的风险管理行为模式时,这种对“合法”风险信息的封锁可能会加剧。
帮助评估信息来源
您如何知道您是否正在考虑足够的信息源?这与其说是一门科学,不如说是一门艺术,我们在下面建议的技术使用一个矩阵,将信息分类为定性或定量、客观或主观:
- 定性信息是用人类语言描述某些事物,例如文档中呈现的书面信息
- 定量信息是关于可以用数字来衡量的事物
- 客观信息是可验证的,不受意见影响(例如您的组织拥有的笔记本电脑数量,或者您购买特定防病毒解决方案所需的费用)
- 主观信息是一个观点问题(例如判断某个组织遭受 DDoS 攻击的风险比勒索软件攻击的风险更大)
首先将上面的每个信息类型分配到网格上的相应位置。您将很快能够识别是否存在任何潜在的盲点,因为任何空象限都会立即显现出来。我们完成了下面的示例网格,其中为每个象限分配了不同类型的风险信息。
定量 | 定性 | |
客观的 |
|
|
主观 |
|
|
我们并不是说来自四个象限中任何一个的信息都比任何其他类型的信息“更好”。此练习的目的是可视化您在风险分析中使用的信息源的传播情况,以便您可以快速识别任何盲点。它不会告诉您到底缺少什么,但它可以揭示组织对特定类型信息的偏见。
那么你可以怎样做呢?
- 首先浏览进入组织风险评估流程的所有各种信息源。
- 将它们放入上面的网格中。如果您不确定从哪里开始,请返回到与组织中的网络安全相关的决策。该决定使用了哪些信息?如果没有写下任何内容,请回去与做出决定的人交谈,并询问他们在该安全问题上做出的决定。
- 检查网格。它是什么样子的?你的权重是偏向一个象限,还是偏向二分之一?
- 您还可以收集哪些其他信息来填补空白?这会如何改变这个决定?为什么它们所在的地方有间隙?这可能会在您的风险分析方法中造成哪些盲点?
这绝不是对风险信息进行分类的唯一方法。风险信息还有其他可能同样有用的属性。例如,还值得考虑的是,您是否正在平衡使用有关过去的信息和有关您预期未来将如何展开的信息,并进行一些解释。当今用于评估和分析网络安全风险的大多数方法都使用定性和主观信息。那些想要了解更多有关使用定量信息的感兴趣的读者可以阅读我们的网络风险量化简介。
常见的组织偏见
通过使用定性/定量、客观/主观技术,NCSC 认识到许多组织中存在一个共同的偏见,即网格中左上和右下象限的人口较多,而其他两个象限则为空。在此类组织中,在评估网络风险时,“客观”和“定量”这两个术语被认为具有相同的含义。
我们的研究结果表明,在这些组织中,与这种有缺陷的假设不一致的信息被忽略了。例如,专家对概率的主观评估就被打了折扣。
