风险基础

了解网络安全风险管理指南的关键原则。

在这里，不会谈论标准或政策，甚至不会谈论与网络安全直接相关的任何事情。相反，将介绍一些风险管理的基本原则，无论在研究病毒爆发、股票市场的涨跌还是网络攻击的风险，这些原则都是相关的。

为什么风险管理很重要

风险管理的存在是为了帮助我们以深思熟虑、负责任和合乎道德的方式为未来制定计划，要求风险管理人员探索组织、项目或服务中可能出现的对与错，并认识到当我们试图改善前景时，永远无法完全了解未来。

风险管理通常被认为是一个技术官僚和枯燥的职业；这根本不是正确看待风险管理的方式。风险管理是关于分析我们的选择及其未来后果，并以可理解、可用的形式呈现该信息以改进决策。

注意：风险无法完全消除

风险管理的出发点是接受风险不能简单地消除。必须认识到风险，然后以某种方式进行管理（通常是避免、减少降低、转移或保留）。当然，凡事都是说起来容易做起来难，尤其是在面临“消除风险”的需求时，就好像这是一个简单易行的选择一样。

风险管理通常需要分析风险的人和根据该分析做出决策的人之间建立关系。这两个群体之间的沟通必须清晰、易懂且有用。如果做出决策的人无法解释他们所看到的分析，那么进行风险分析就毫无意义。

不同的管理技术将如何定义“风险”

风险可以被描述为“我们可以根据其发生的几率以及其对我们产生的影响来描述的可能的未来结果”。

我们已经了解到有一系列不同的技术可用于分析风险。术语“风险”的确切含义将根据对给定问题应用的技术而有所不同。出于这个原因，重要的是不要拘泥于一个严格的定义，因为可能会不必要地忽略那些与该定义不一致的技术。

正如将在后面看到的，一些网络风险管理技术将风险定义为威胁、漏洞和影响的组合。其他人根据要实现或避免的高级结果来定义风险。可能需要能够同时使用两者，所以不要做不必要地限制自己。

管理不可定义的

参加任何风险管理会议，都会听到以下抱怨：

我们对风险没有明确的定义，究竟如何管理尚未定义的东西？

这是一个公平的观点。风险是一个如此抽象的概念，对我们所有人的生活都有如此强烈的影响，但我们无法就一个定义达成一致。鉴于此，我们如何才能真正了解其他人在谈论“风险”时的意思？

矛盾的是，我们认为缺乏明确的定义是风险管理的一个重要方面。组织不一定确切地知道每个人如何定义“风险”这一事实迫使我们相互解释我们的意思。它让我们提出问题并挑战假设。

这是风险管理的根本力量；提供了一种谈论未来、我们关心的结果以及如何努力实现这些结果的方式。如果我们都能就风险的通用定义达成一致，那么就可以减少对未来、不确定性和风险进行关键讨论的必要性。

当然，对于个别组织来说，为他们自己（也可能是为他们的供应链）定义他们所指的概念可能是值得的。毕竟，风险通常是从组织的角度进行分析的，因此制定本地定义并由代表该组织工作的任何人都同意是明智的。但是，请避免尝试使本地定义成为通用定义。

不确定性是风险的重要组成部分

风险管理的目的是使我们能够根据对未来事件和结果的分析做出最佳决策。未来是可以预期的，但在我们分析中的不确定性所定义的范围内。

风险是我们所做一切的一部分。不仅要“承担”意识到的风险，而且还要“承担”一直不知道的风险。这引入了一个关于风险的重要观点；由于这种不确定性，不可能知道和理解任何人、组织或网络在任何时候运行的所有风险。将始终冒着不知道的风险。

有一些过于大胆的标准和框架声称，如果认真而全面地遵循一组特定程序，将“了解所有风险”。这是一个错误而危险的观念。相反，应该以现实主义和实用主义的态度来对待风险管理。任何人，即使是最勤奋的人，都可能而且确实会发生网络安全漏洞。风险管理的目的不是追求完美安全的系统和无风险业务的无法实现的目标；这是为了确保已经考虑过可能会出现什么问题，并且这种想法已经影响了组织的决策。

不要宿命论；仍然可以保护自己免受许多网络攻击，但如果出现问题，也并非总是有人应该受到指责，或者风险管理者遗漏了什么。

合规≠风险管理

“改善结果”并不总是进行风险管理的主要驱动力。通常，组织出于“合规”原因进行风险管理练习，其中可能包括：

来自外部压力的义务（例如监管要求）
客户的要求
法律约束

如果出于这些原因进行操作，风险管理就有可能成为一项打勾练习流于形式，可能会导致组织相信他们已经进行了管理风险，而实际上只是遵守了可能会产生（尽管是无意的）负面后果的流程。

合规性和安全性不是一回事，可能重叠，但遵守通用安全标准可以与非常薄弱的安全实践共存并掩盖它们。

出于合规原因执行的风险管理有时被描述为“防御性风险管理”。以这种方式进行的风险管理可能会导致过分关注保护组织的声誉（或保护其免于被起诉、罚款或受到类似的外部制裁）。防御性风险管理是关于能够表明没有疏忽，万一发生了不好的事情，重点是证明某事已经完成。

这不一定是坏事。在许多行业中，合规性要求是不可避免的。但是，如果进行防御性风险管理，请确保：

工作人员明白网络风险管理的目标将是满足外部需求，而不是解决特定的安全目标
了解为了合规而应用的风险管理技术的局限性
采用了进一步识别合规性限制的技术

合规风险

以合规为重点的团队目标可能与组织其他部门的目标不一致。当这种分歧发生时，以合规性为重点的团队可能会对组织其他部门的行为产生不切实际的看法，从而导致决策失误。在这里的建议是让组织清楚和诚实地说明为什么要进行网络风险管理。如果这是出于合规性原因，请制定一个计划，说明打算如何防止上述某些行为。

切记！管理“合规”固有的风险与管理任何其他风险一样重要。

参考来源：英国国家网络安全中心官网

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。