風(fēng)險(xiǎn)管理的失敗很大程度取決于未深入了解風(fēng)險(xiǎn)的癥結(jié),僅僅是單純的嘗試管理,那么風(fēng)險(xiǎn)管理注定失敗。
  風(fēng)險(xiǎn)管理失敗的三大原因
  1、風(fēng)險(xiǎn)的定義不一致。一些從業(yè)者似乎認(rèn)為風(fēng)險(xiǎn)來源于風(fēng)險(xiǎn)的不確定性,有的人認(rèn)為風(fēng)險(xiǎn)來自于造成損失的頻率和幅度。而這兩種觀念有本質(zhì)的不同。理論上的風(fēng)險(xiǎn)代表不確定性,但是很多理論卻不能應(yīng)用到信息安全中去。
  2、使用的術(shù)語不一致。很多管理員正在嘗試做風(fēng)險(xiǎn)管理,他們努力的解決風(fēng)險(xiǎn)出現(xiàn)的原因,并建立明確的定義來解決這些問題。但是很多威脅并不是按照常規(guī)的手段和正常的方法都能解決,因?yàn)樗鼈儾皇鞘褂谜5臄?shù)據(jù)代碼就能夠解決問題。因?yàn)橛械娜苏J(rèn)為這是一個(gè)“威脅”,有的人認(rèn)為這是一個(gè)“風(fēng)險(xiǎn)”,而有的人認(rèn)為這是一個(gè)“漏洞”。就如同,物理學(xué)上的質(zhì)量、重量、速度的單位各有不同是一個(gè)道理。
  3、漏洞評(píng)分系統(tǒng)(CVSS)不同。很多風(fēng)險(xiǎn)評(píng)估需要相關(guān)的計(jì)算公式和測量工具。如果選擇的工具和變量不同,測得的風(fēng)險(xiǎn)也有所不同。目前風(fēng)險(xiǎn)評(píng)估分幾個(gè)等級(jí),很多時(shí)候企業(yè)風(fēng)險(xiǎn)被夸大,或者風(fēng)險(xiǎn)被忽略,就是因?yàn)轱L(fēng)險(xiǎn)評(píng)級(jí)時(shí)的失誤。
  決策者怎么才能在風(fēng)險(xiǎn)管理中做出正確的決策?
  一個(gè)明智的決定,往往需要平衡運(yùn)營成本和風(fēng)險(xiǎn)成本。其實(shí)很多IT管理者都了解以上幾個(gè)風(fēng)險(xiǎn)管理失敗的原因,但是為什么還是會(huì)失敗呢?
  首先是管理者自認(rèn)為非常了解風(fēng)險(xiǎn)。什么樣的風(fēng)險(xiǎn)會(huì)找出什么樣的后果,什么樣的風(fēng)險(xiǎn)如何去衡量,IT管理者總是在不斷變化的風(fēng)險(xiǎn)中尋找解決的辦法。但是很多時(shí)候,風(fēng)險(xiǎn)的標(biāo)準(zhǔn)和模式并不是按照他們預(yù)想準(zhǔn)備的工具和標(biāo)準(zhǔn)出現(xiàn)的。因?yàn)榫W(wǎng)絡(luò)的威脅也會(huì)更新?lián)Q代。
  其次,管理者不知道如何評(píng)價(jià)一個(gè)風(fēng)險(xiǎn)指標(biāo)。大多數(shù)人將不會(huì)投資于風(fēng)險(xiǎn)和度量,直到他們明白風(fēng)險(xiǎn)評(píng)估的價(jià)值。
  再次是過度的自信。過度自信效應(yīng)(一個(gè)嚴(yán)重的認(rèn)知偏差),容易導(dǎo)致企業(yè)金錢和時(shí)間的浪費(fèi)。這種過度自信效應(yīng)導(dǎo)致普遍不屑一顧的態(tài)度形式主義。事實(shí)上,就像醫(yī)生過度自信,因?yàn)橹讣獾奈⑿《秳?dòng),可能都會(huì)產(chǎn)生嚴(yán)重的損失。