風險管理失敗的三大原因
  1、風險的定義不一致。一些從業(yè)者似乎認為風險來源于風險的不確定性,有的人認為風險來自于造成損失的頻率和幅度。而這兩種觀念有本質(zhì)的不同。理論上的風險代表不確定性,但是很多理論卻不能應(yīng)用到信息安全中去。
  2、使用的術(shù)語不一致。很多管理員正在嘗試做風險管理,他們努力的解決風險出現(xiàn)的原因,并建立明確的定義來解決這些問題。但是很多威脅并不是按照常規(guī)的手段和正常的方法都能解決,因為它們不是使用正常的數(shù)據(jù)代碼就能夠解決問題。因為有的人認為這是一個“威脅”,有的人認為這是一個“風險”,而有的人認為這是一個“漏洞”。就如同,物理學上的質(zhì)量、重量、速度的單位各有不同是一個道理。
  3、漏洞評分系統(tǒng)(CVSS)不同。很多風險評估需要相關(guān)的計算公式和測量工具。如果選擇的工具和變量不同,測得的風險也有所不同。目前風險評估分幾個等級,很多時候企業(yè)風險被夸大,或者風險被忽略,就是因為風險評級時的失誤。
  決策者怎么才能在風險管理中做出正確的決策?
  一個明智的決定,往往需要平衡運營成本和風險成本。其實很多IT管理者都了解以上幾個風險管理失敗的原因,但是為什么還是會失敗呢?
  首先是管理者自認為非常了解風險。什么樣的風險會找出什么樣的后果,什么樣的風險如何去衡量,IT管理者總是在不斷變化的風險中尋找解決的辦法。但是很多時候,風險的標準和模式并不是按照他們預(yù)想準備的工具和標準出現(xiàn)的。因為網(wǎng)絡(luò)的威脅也會更新?lián)Q代。
  其次,管理者不知道如何評價一個風險指標。大多數(shù)人將不會投資于風險和度量,直到他們明白風險評估的價值。
  再次是過度的自信。過度自信效應(yīng)(一個嚴重的認知偏差),容易導(dǎo)致企業(yè)金錢和時間的浪費。這種過度自信效應(yīng)導(dǎo)致普遍不屑一顧的態(tài)度形式主義。事實上,就像醫(yī)生過度自信,因為指尖的微小抖動,可能都會產(chǎn)生嚴重的損失。