首页。 / 资源 / 新闻及趋势 / 澳门赌场官方软件 / 2021 / 使用风险评估来支持决策

使用风险评估来支持决策

托尼Martin-Vegue
作者: 托尼Martin-Vegue, CISM, CISSP, OpenFAIR
发表日期: 4月12日

一个有效和成熟的风险治理程序可以在组织的各个方面推动更好的决策:直到领导层和董事会, 向下到个人贡献者,横向到所有业务线. 有风险意识的决策制定,无论在哪个领域(例如.g., 金融, 技术, 澳门赌场官方下载, 网络), 是任何组织有效资源管理的基石吗.

COBIT® 5 .风险 将风险评估定义为“用于识别、限定或量化风险及其潜在影响的过程”,描述身份的, 范围, 分析与控制评价. 成功的组织将整个风险管理生命周期过程与业务决策相结合, 但他们是怎么做到的呢? 第一个, 组织必须知道什么是决策,以及决策如何驱动风险评估活动——而不是相反. 理解了这一点之后,剩下的部分就就位了.

什么是决定?

如果没有决策,风险评估充其量只是一项无聊的工作. 在最坏的情况下, 它会导致注意力不集中, 耗费大量时间的工作无助于领导者实现目标. 信息风险专业人员的工作节奏很快, 不断变化和经常混乱的环境, 而且没有足够的时间来评估每一种风险, 每一个弱点和每一个资产. 识别驱动风险评估的潜在决策确保活动是有意义的, 与业务目标相联系,而不仅仅是忙碌的工作.

风险分析通过减少不确定性来帮助决策的想法与概率思维本身一样古老. 这个概念是由Ron A. 霍华德, 加州斯坦福大学决策科学教授, 美国), 在他1963年颇具影响力的论文中, 决策分析:应用决策理论.1 他形式化并定义了决策的组成部分, 所有这些都可以用来集中风险评估活动.

决策的组成部分

霍华德将决策分为三个组成部分:选择、信息和偏好(图1).2 Together they are the foundation of decision-making; without all 3, a decision cannot be made. 决策者使用逻辑来单独或一起识别和评估组件, 得出结论.

图1 -决策的组成部分
图1 -决策的组成部分

一旦风险分析师了解了组件以及它们如何协同工作, 很容易看出他们是如何支持风险决策的:

  • 选择-这描述了决策者可以澳门赌场官方软件. 必须有多种可能的行动方案才能作出决定. 只有一个行动方针,没有决定.
  • 偏好决策者必须对期望的结果有偏好或倾向. 例如, 信息风险, 决策者通常倾向于优化用户功能, 有效的安全, 有效的资源配置(1).e.(金钱、时间、人)或者这些选项的组合. 了解请求者的偏好是帮助确定风险评估范围的有价值的练习. 决策者应该能够清楚地表达请求者想要实现的决策结果.
  • 信息在做决定时,信息是三者中同等重要的一部分, 信息也是任何风险评估的一个组成部分. 当你做决定的时候, 评估风险的信息可从各种来源获得.

构建风险评估作为决策支持

如果缺少这些组件中的任何一个, 没有什么要做的决定, 通过扩展, 风险评估将是一种挫折练习,不会产生有价值的结果. 如果风险分析师通过确定选择来开始风险评估, 偏好和信息, 评估将更容易集中和确定范围. 交替, 人们可能会得出结论,风险评估是不必要的,或者采用不同的方法可能更合适.

ISACA的 风险IT框架,2nd 描述风险评估过程中的3个高级步骤:

  1. 风险识别
  2. 风险分析
  3. 评估已识别风险的业务影响

将决策过程集成到风险评估步骤中需要分析师在风险识别阶段之前和期间提出问题,以了解决策的全部范围. 这提供了将评估活动与组织的战略目标结合起来的机会.

图2 提供一个简单的矩阵来说明这一点.

图2 -在风险识别之前和过程中理解决策
图2

实际的例子

以下是3个常见的风险评估请求的例子,以及风险分析师澄清决策和确定风险分析是否是正确工具的提示.

风险评估请求1
“开发团队的一名员工一直将他的计算机从Active Directory域服务(AD DS)中退出,以避免系统更新和所需的设备管理. 你能不能做一个风险评估,这样我们就能强迫员工停止这样做?"

缺少什么??
选择. 没有明确的选择或选择. 请求者只提供了一种选择:强迫员工做特定的事情. 换句话说,请求者在决定澳门赌场官方软件时不需要帮助.

什么是替代方法?
管理或人力资源(HR)的行动和升级在这里是最合适的, 假设有关于安全规避和IT管理软件卸载的书面政策. 如果要作出选择,例如,在这里进行风险评估是适当的, 澳门赌场官方下载是否应该让用户绕过端点管理, 和, 如果是这样的话, 风险是什么??“风险评估将有助于管理层权衡风险和收益,并做出决定.

风险评估请求2
“我们正在评估两家不同的反病毒供应商,以取代我们现有的解决方案, 我们需要一个风险评估来帮助我们做出决定.”

缺少什么??
偏好. 决策者没有表达出期望的决策结果. 当前解决方案是否存在安全问题、成本节约或可用性问题? 没有明确定义的偏好, 评估将没有重点,并可能分析错误的风险.

什么是替代方法?
与领导面谈,询问他们为什么要考虑更换供应商,以及风险评估中需要包括哪些信息,这将有助于做出决定. 需求比较矩阵将是很好的第一步, 比较产品特性和潜在的安全问题. 在列出每个产品的差距之后, 风险评估可能是前进的最佳途径, 但它需要确定范围. 例如, 一个潜在的差距可能是, “Y产品比Z产品便宜, 但是它缺少这3个安全特性. 产品Y会给组织带来什么样的额外风险?" 

风险评估请求3
“我希望你能评估一下黑天鹅网络事件.”

缺少什么??
信息. 纳西姆·塔勒布说, 谁在现代商业环境中创造并推广了这个术语, 黑天鹅事件是一个“异常值”, 因为它位于常规期望的范围之外.”3 只有真正的千里眼才能预见未来,预测今天不知道的事情.

什么是替代方法?
决策者可能误解了“黑天鹅”这个词.问:“你指的是高影响、低概率的事件吗??“如果是这样的话, 可以执行一系列风险评估,以确定影响业务弹性的控制弱点.

风险评估是一个很好的工具,可以减少决策时的不确定性, 但当它们与整体决策过程没有直接联系时,往往会被误用.

结论

风险评估是一个很好的工具,可以减少决策时的不确定性, 但当它们与整体决策过程没有直接联系时,往往会被误用. 未能将风险评估作为决策支持, 由3个决策组件支持, 将分析工作与业务目标分离. 在没有做出决定的情况下进行评估是浪费时间的, 当缺乏完整的信息或不了解负责决策的个人的偏好时. 有明确的, 完整的信息和理解决策背后的动机和选择有助于以有意义的方式构建评估.

这种理解将有助于在下一次有人提交170页的漏洞扫描报告并要求对其进行风险评估时制定响应.

尾注

1 霍华德,R. A.; “决策分析:应用决策理论,《澳门赌场官方软件》,1966年
2 爱德华兹,W.; R. F. 英里,小.; D. 冯·温特菲尔德主编.).; 决策分析的进展:从基础到应用,美国剑桥大学出版社,2007
3 塔勒布,N. N.; “黑天鹅:极不可能事件的影响,” 《澳门赌场官方软件》2007年4月22日

托尼Martin-Vegue, CISM, CISSP, OpenFAIR

是一名作家、演说家和风险专家,对数据驱动的决策充满热情吗. 他运用了他在经济学方面的专业知识, 网络风险量化和信息安全,就如何将基于证据的风险分析整合到业务战略中,向高级运营和安全领导者提供建议. Martin-Vegue是信息风险分析师协会的董事会成员,也是致力于推进风险量化的专业组织FAIR institute旧金山分会的联合主席. 可以通过以下方式与他联系 www.tonym-v.com.