为什么要谈风险管理?
数字技术改变了我们的经济、社会和个人生活,促进了科学、物流、金融、通信等一系列基本活动的改进。因此,我们开始依赖数字技术,这导致人们对这些技术的可靠性有很高的期望。
每个组织都必须决定保护其技术和服务需要多少时间和金钱;风险管理的主要目标之一是通知和改进这些决策。在历史上,人们必须处理危险,但直到最近,他们才能系统地预测和渴望控制风险。
每个人的指南
本文针对一系列不同的受众,从非技术人员到传达网络风险评估的人员,再到根据网络风险评估做出决策的人员。这是因为网络风险管理需要没有正式风险知识的人理解。
风险管理技术
目前提出了两种完全不同(但互补)的风险评估技术。
- 组件驱动的风险管理侧重于技术组件及其面临的威胁和漏洞。
- 系统驱动的风险管理采取相反的观点,将系统作为一个整体进行分析。
需要明确的是,我们不提供关于如何应用现有技术的蓝图和步骤描述。但是,我们将描述每种技术背后的一些核心概念,并提供更详细的路标来指导如何实际应用技术。
结束“勾选框”风险管理
正如我们将在风险基础上讨论的那样,只是出于“合规”网络风险管理的目的可能会导致“勾选框”管理风险的方式会产生意想不到的负面后果。这可以防止组织质疑他们是否选择了正确的框架,从而导致对风险管理的过度信心。
由于这些原因,本文不是规定性的;勾选框风险管理可能比根本没有风险管理更糟糕。本文中的任何一种技术都不会适用于所有情况。在选择应用于特定网络安全问题的风险管理技术时,仅通过在本文中指出其存在来证明该选择是合理的。需要解释为什么选择的技术与问题相关。
从哪里开始?
- 对于那些想要一些简单而实用的建议的人来说,风险和网络风险的基本原则:掌握基本知识将是一个很好的起点。
- 进行网络风险评估的专业人员(或监督技术项目的项目经理)可能希望从组件和系统驱动的风险管理之间的差异开始。
- 负责组织网络风险管理战略方法的个人应首先考虑安全管理和风险信息多样性的指导。
本文转载自微信公众号「祺印说信安」,作者何威风。转载本文请联系齐印说信安微信官方账号。