為什么在評估網(wǎng)絡風險時識別不同類型的信息至關(guān)重要。

　　風險信息是指可以影響決策的任何信息。

　　一些組織傾向于只接受某些類型的信息作為合法的風險信息。此類限制增加了錯過重要內(nèi)容的機會。

　　多樣性的重要性

　　想象一下，組織的風險管理方法只能處理以高、中、低三個維度描述風險的定性信息（例如政策文件、事件報告或評估）。這種方法會錯過通過包含定量信息（例如網(wǎng)絡流量或安全事件數(shù)量）可以發(fā)現(xiàn)的模式和趨勢。利用各種信息源可能揭示會被遺漏的風險。

　　組織很少會明確排除某些類型的信息，但他們通常對特定類型有一種不言而喻的偏見。有時聲稱安全性是“無法量化的”，或者定性信息被打折，因為它涉及到一個人的（主觀）意見。同樣，這些偏見會導致組織在進行網(wǎng)絡風險評估時忽略有價值的信息。

　　如果組織對每種網(wǎng)絡風險評估都采用單一、標準化的方法，就更有可能陷入這個陷阱。當組織專注于完成風險管理過程而不是應該從中產(chǎn)生的風險降低活動時，這種情況更有可能發(fā)生。當組織進入這種風險管理行為的“防御性”模式時，這種關(guān)閉被視為“合法”風險信息的情況可能會加劇。

　　幫助評估信息來源

　　怎么知道是否考慮了足夠的信息來源？

　　這更像是一門藝術(shù)而不是一門科學，我們在下面建議的技術(shù)使用矩陣將信息分類為定性或定量、客觀或主觀：

　　定性信息是關(guān)于用人類語言描述某些東西，例如文檔中呈現(xiàn)的書面信息。

　　定量信息是關(guān)于可以用數(shù)字衡量的事物。

　　客觀信息是可驗證的，不受意見的影響（例如組織擁有的筆記本電腦數(shù)量，或購買特定防病毒解決方案需要花費的金額）。

　　主觀信息是一個意見問題（例如判斷特定組織更容易受到 DDoS 攻擊而不是勒索軟件攻擊）。

　　通過將每種信息類型分配到網(wǎng)格上的相應位置，將能夠快速確定是否存在任何潛在的盲點，因為任何空的象限都會立即顯現(xiàn)出來。

　　下面的網(wǎng)格提供了每種類型風險信息的一些示例。

　　此網(wǎng)格的目的不是對單個信息進行分類，也不建議來自四個象限中任何一個的信息比任何其他類型的信息“更好”。是關(guān)于查看在風險分析中使用的信息源的傳播，并發(fā)現(xiàn)任何盲點。

　　那么怎么做呢？

　　首先瀏覽進入組織風險評估過程的所有各種信息源。

　　將它們放入上面的網(wǎng)格中。如果不確定從哪里開始，請返回與組織中的網(wǎng)絡安全相關(guān)的決定。哪些信息用于告知該決定？如果沒有寫下任何內(nèi)容，請返回并與做出決定的人交談，并詢問他們在該安全問題上是如何決定的。

　　檢查網(wǎng)格。它是什么樣子的？你是偏向一個象限還是一半？

　　還可以收集哪些其他信息來填補空白？這會如何改變決定？為什么它們所在的地方存在差距？這可能會導致風險分析方法出現(xiàn)哪些盲點？

　　此練習的目標是幫助發(fā)現(xiàn)風險評估可能會遺漏一些有價值信息的情況。它不會準確地告訴我們?nèi)鄙偈裁矗梢越沂窘M織對特定類型信息的偏見。

　　這絕不是對風險信息進行分類的唯一方法。風險信息還有其他可能同樣有用的特性。例如，還值得考慮是否使用了關(guān)于過去的信息和關(guān)于預期未來將如何展開的信息以及一些解釋的平衡。

　　常見的組織偏見

　　通過使用定性/定量、客觀/主觀技術(shù)，其實，人們已經(jīng)認識到許多組織的普遍偏見，其中網(wǎng)格在左上和右下象限中大量填充，而在其他兩個象限中是空的。在此類組織中，在評估網(wǎng)絡風險時，“客觀”和“定量”這兩個術(shù)語的含義相同。

　　研究結(jié)果表明，在這些組織中，與這種有缺陷的假設不一致的信息被忽略了。例如，專家對概率的主觀評估被打折扣。