首页。 / 资源 / 新闻及趋势 / 澳门赌场官方软件 / 2021 / 风险治理室里的大象

风险治理室里的大象

托尼Martin-Vegue
作者: 托尼Martin-Vegue, CISM, CISSP, OpenFAIR
发表日期: 2021年7月19日

风险治理室里有一头大象.

有效的风险治理意味着组织正在利用当前可用的最佳信息做出数据驱动的决策. 当然,大象指的是用于分析和可视化风险的手段和方法. 的 事实上的 商业风险的语言是风险矩阵, 这使得关于威胁的对话成为可能, 优先次序和投资,但缺乏深度和严谨性,无法将其视为战略决策的工具. 然而, 有一个更好的选择——一个能解开更深层次的选择, 更全面的对话不仅仅是关于风险, 还有风险如何阻碍或实现组织战略和目标. 

风险量化与通过损失超越曲线(LEC)可视化的结果相结合,是组织可以采用的一种工具,可以帮助他们做出明智的风险投资决策. 采用风险量化可以帮助组织获得真正的竞争优势.

风险矩阵

图1 给出了一个带有4个一般风险主题的典型风险矩阵的例子. 风险矩阵对于不同行业的许多组织来说都很熟悉. 它之所以有效,是因为它能一目了然地传达信息,帮助领导者了解风险. 在 图1,风险矩阵告诉领导层以下内容:

  • 风险1似乎和风险2差不多.
  • 风险#1和#2是红色的,因此,它们应该优先于风险响应#3和#4.
  • 风险#3是黄色的,因此,应该对它做出反应,但不是在#1或#2之前

图1 -风险矩阵

图1

换句话说,矩阵支持关于风险排序和优先级的对话. 

这似乎足够了, 但它并没有告诉我们不可避免的下一个问题:组织的安全支出是否具有成本效益,它们是否物有所值? 例如, 假设一位风险经理说,投资100万美元用于安全控制可以将红色风险降低为黄色风险. 它可能是准确的, 但它带来了一定程度的不精确性,这使得确定成本效益变得困难, 价值和成本效益困难, 如果不是不可能的话. 有了风险矩阵, 关于风险排名的讨论与关于花多少钱来降低风险的讨论是分离的. 

有没有更好的办法?

进入损失超越曲线

如果组织想要就风险进行更深入的对话,他们应该考虑LEC. 像风险矩阵一样,它是风险的可视化显示,但它还有几个额外的优点. 一个好处是,它可以在进行风险排名的同时进行投资对话.

图2 显示相同的风险主题 图1中, 但它们被量化并绘制在LEC上. LEC对网络风险从业者来说可能是新的, 但它是一种经过时间考验的可视化方法,用于许多学科, 包括会计, 精算学和灾难模型.

图2 -损失超出曲线

图2

组织可以沿着曲线跟踪每个风险并得出结论. 在这个例子中, 从业员可以按照勒索软件的路线,得出以下结论:

  • 如果发生勒索软件攻击, 损失超过2000万美元的概率为60%,损失超过6000万美元的概率为20%.
  • 勒索软件造成的损失超过9500万美元的概率不到10%. 这可以被认为是最坏的结果——广泛传播, 大规模勒索软件攻击,影响关键系统.
  • 红色虚线表示组织的损失容忍度, 哪些可以被认为是风险矩阵中的红色象限. 它代表了比组织所能承受的更大的风险, 因此, 领导层应该通过缓解来减少这种风险, 移情, 逃避或三者的结合.
如果组织想要就风险进行更深入的对话,他们应该考虑LEC. 像风险矩阵一样,它是风险的可视化显示,但它还有几个额外的优点.

LECs是由常见的网络风险量化(CRQ)模型生成的. OpenFAIR就是这样一个模型,但还有许多其他模型可以用于网络风险. 在这种情况下, 风险分析师将从内部和外部来源输入概率和量级数据到模型中,并运行一系列模拟. 例如, 该模型可以设置为运行100,000次迭代, 哪个等于100,这个组织有5000年的历史.

一旦组织学会了如何理解LEC, 一个全新的数据解释世界变得可用. 理解LEC的第一步是比较单个风险是如何在风险矩阵上可视化的. LEC. 

In 图1, 风险矩阵让观众相信勒索软件攻击只有一个结果:高风险, 哪个被普遍认为是负面的. 然而,LEC表明情况并非如此. 可能产生的后果范围很广,包括损失从1000美元到1亿美元不等. 该范围与已知的勒索软件攻击一致. 损失因多种因素而有很大差异, 包括有多少系统被入侵, 当防御系统检测到恶意软件时(例如.g., 之前感染, 攻击期间, 在赎金要求之后),如果攻击被发现得足够早,可以进行干预. 风险矩阵中的单一颜色无法传达这些微妙之处, 由于不考虑存在于风险矩阵中其他颜色的风险,领导层正在错过重要的投资决策.

LEC还可以围绕项目规划进行有意义的对话, 投资决策和关于如何最好地应对风险的深入讨论.

在这个例子中, 风险矩阵使该组织认为,勒索软件和数据泄露的风险是相同的(高),领导层在制定缓解计划时应平等对待它们. 然而, LEC显示,数据泄露的预计损失比勒索软件要高,而且损失要高多少. 最坏的结果也以不同的概率发生. 当决定在曲线的哪个位置管理风险:最可能的结果时,这种差异是显著的, 最坏的结果或者介于两者之间.

LEC为进一步分析建立了财务基线, 比如成本/收益, 评估重大损失的资本储备, 评估保险和控制比较.

结论

越来越多地。, 组织对数据非常着迷,并使用分析和解释来做出决策, 然而,许多澳门赌场官方下载仍在使用风险矩阵等一维工具来管理风险. 这是众所周知的决策室里的一头大象,也是一个不容忽视的大问题.

托尼Martin-Vegue, CISM, CISSP, OpenFAIR

是一名作家、演说家和风险专家,对数据驱动的决策充满热情吗. 他运用了他在经济学方面的专业知识, 网络风险量化和信息安全,就如何将基于证据的风险分析整合到业务战略中,向高级运营和安全领导者提供建议. Martin-Vegue是信息风险分析师协会的董事会成员,也是致力于推进风险量化的专业组织FAIR institute旧金山分会的联合主席. 可以通过以下方式与他联系 http://www.tonym-v.com/.