為什么在評估網(wǎng)絡安全風險時識別不同類型的信息至關重要。

介紹

風險信息是可以影響決策的任何信息。一些組織傾向于只接受某些類型的信息作為合法的風險信息。這些限制增加了錯過重要事情的可能性。

為什么多樣性很重要

想象一下，您的組織的網(wǎng)絡安全風險管理方法只能處理描述高、中、低風險的定性信息（例如政策文件、事件報告或評估）。這種方法會錯過可以通過包含定量信息（例如網(wǎng)絡流量或安全事件數(shù)量）來發(fā)現(xiàn)的模式和趨勢。利用各種信息源可能會揭示原本會被忽視的風險。

組織很少明確排除某些類型的風險信息，但他們通常對特定類型有不言而喻的偏見。安全有時被聲稱是“無法量化的”，或者定性信息被低估，因為它是一個人的（主觀）意見。同樣，這些偏見可能導致組織在進行網(wǎng)絡安全風險評估時忽視有價值的信息。

如果您的組織對每種網(wǎng)絡安全風險評估采用單一的標準化方法，您就更有可能陷入這個陷阱。當組織專注于完成風險管理或合規(guī)流程，而不是關注應由此產(chǎn)生的風險管理活動時，更有可能發(fā)生這種情況。當組織進入這種“防御”的風險管理行為模式時，這種對“合法”風險信息的封鎖可能會加劇。

幫助評估信息來源

您如何知道您是否正在考慮足夠的信息源？這與其說是一門科學，不如說是一門藝術，我們在下面建議的技術使用一個矩陣，將信息分類為定性或定量、客觀或主觀：

• 定性信息是用人類語言描述某些事物，例如文檔中呈現(xiàn)的書面信息
• 定量信息是關于可以用數(shù)字來衡量的事物
• 客觀信息是可驗證的，不受意見影響（例如您的組織擁有的筆記本電腦數(shù)量，或者您購買特定防病毒解決方案所需的費用）
• 主觀信息是一個觀點問題（例如判斷某個組織遭受 DDoS 攻擊的風險比勒索軟件攻擊的風險更大）

首先將上面的每個信息類型分配到網(wǎng)格上的相應位置。您將很快能夠識別是否存在任何潛在的盲點，因為任何空象限都會立即顯現(xiàn)出來。我們完成了下面的示例網(wǎng)格，其中為每個象限分配了不同類型的風險信息。

我們并不是說來自四個象限中任何一個的信息都比任何其他類型的信息“更好”。此練習的目的是可視化您在風險分析中使用的信息源的傳播情況，以便您可以快速識別任何盲點。它不會告訴您到底缺少什么，但它可以揭示組織對特定類型信息的偏見。

那么你可以怎樣做呢？

1. 首先瀏覽進入組織風險評估流程的所有各種信息源。
2. 將它們放入上面的網(wǎng)格中。如果您不確定從哪里開始，請返回到與組織中的網(wǎng)絡安全相關的決策。該決定使用了哪些信息？如果沒有寫下任何內(nèi)容，請回去與做出決定的人交談，并詢問他們在該安全問題上做出的決定。
3. 檢查網(wǎng)格。它是什么樣子的？你的權(quán)重是偏向一個象限，還是偏向二分之一？
4. 您還可以收集哪些其他信息來填補空白？這會如何改變這個決定？為什么它們所在的地方有間隙？這可能會在您的風險分析方法中造成哪些盲點？

這絕不是對風險信息進行分類的唯一方法。風險信息還有其他可能同樣有用的屬性。例如，還值得考慮的是，您是否正在平衡使用有關過去的信息和有關您預期未來將如何展開的信息，并進行一些解釋。當今用于評估和分析網(wǎng)絡安全風險的大多數(shù)方法都使用定性和主觀信息。那些想要了解更多有關使用定量信息的感興趣的讀者可以閱讀我們的網(wǎng)絡風險量化簡介。

常見的組織偏見

通過使用定性/定量、客觀/主觀技術，NCSC 認識到許多組織中存在一個共同的偏見，即網(wǎng)格中左上和右下象限的人口較多，而其他兩個象限則為空。在此類組織中，在評估網(wǎng)絡風險時，“客觀”和“定量”這兩個術語被認為具有相同的含義。

我們的研究結(jié)果表明，在這些組織中，與這種有缺陷的假設不一致的信息被忽略了。例如，專家對概率的主觀評估就被打了折扣。