定量风险已成为信息安全专业人员越来越感兴趣的领域. 这是个好消息, 因为我坚信这是进行有意义的信息风险评估的正确方法.
我第一次发现定量风险是在图书馆拿起一本叫做 风险管理的失败.1 这本书证实了我对信息安全风险管理的经典方法的担忧,这种方法使用定性指标,如高, 中低档. 作为信息风险管理的实践者, 我无法在同龄人中掩饰我的失望,我真的希望能有更好的办法.
读了哈伯德的书之后, 我获得了信息风险硕士学位, 在那里我上了一门很有启发性的课程,叫做定量风险分析. 然后,我决定将一些定量风险概念引入我的组织,并对同一业务应用程序的定性和定量评估的结果进行比较,执行一个试点风险评估.
这个试点风险评估的结果在我的组织内的同事之间分享, 正如我的 ISACA杂志 article. 在我的组织中,来自关键涉众(业务应用程序所有者)的很多兴趣, IT应用程序所有者和首席信息安全官(CISO). 我的模型故意采用了简单的概率方法,而不是量化专家称赞的更先进的方法, 因为我没有足够的时间深入研究概率分析的领域.
我仍然对进一步发展信息安全定量风险分析的需求充满热情. 定量分析已经广泛应用于金融等其他领域, 医疗保健和保险, 因此,没有理由认为同样的方法不能应用于信息安全.
读读Benoit Heynderickx最近的文章 杂志 文章:
"从定性到定量的风险评估:从业者的困境," ISACA杂志, 2019年第4卷.
1 哈伯德,D. W.; 风险管理的失败:为什么会失败以及如何解决它,威利,美国,2009
