十个很少有人谈到的网络安全风险因素
这些风险因素可能不会出现在官方的风险评估报告中,但是每个安全专家都应该考虑这些因素。 传统的风险管理通常包括对潜在的威胁和风险进行分类,评估其发生的可能性,以及估算如果不能减轻它们可能造成的损失。潜在的缓解和控制成本是根据潜在损失来衡量的。如果减轻措施比风险和威胁发生的成本更低、实施效果更好,那么就会采取相应措施。 大家都曾为计算一个事件的可能性及其潜在损失而烦恼过。这一过程一直更像是一种最佳猜测,而不是保险精算表。谁能估计在某一年一个复杂的勒索软件、DDoS 或内部攻击在他们的组织机构中发生的概率或者能够准确预测哪些资产会受到影响?有人能证明某年的可能性是20%还是 60% 吗? 我们都在与庞大的估算做斗争,但是还有很多其他因素影响着风险管理。这里有 10 个很少被公开讨论的问题。 1. 应对“可能发生”的风险 每一次风险评估都是在应对可能发生的事情和什么都不做之间进行斗争,尤其是在以前从未发生过的情况下。很多人认为什么都不做更省钱,那些为某事而奋斗的人可能会被认为是在浪费钱。“为什么要浪费钱?那永远不过发生!” 很少有人会因为保持现状和墨守成规而惹上麻烦。尤其是在涉及大笔资金的情况...
