風(fēng)險管理的失敗很大程度取決于未深入了解風(fēng)險的癥結(jié),僅僅是單純的嘗試管理,那么風(fēng)險管理注定失敗。
  風(fēng)險管理失敗的三大原因
  1、風(fēng)險的定義不一致。一些從業(yè)者似乎認(rèn)為風(fēng)險來源于風(fēng)險的不確定性,有的人認(rèn)為風(fēng)險來自于造成損失的頻率和幅度。而這兩種觀念有本質(zhì)的不同。理論上的風(fēng)險代表不確定性,但是很多理論卻不能應(yīng)用到信息安全中去。
  2、使用的術(shù)語不一致。很多管理員正在嘗試做風(fēng)險管理,他們努力的解決風(fēng)險出現(xiàn)的原因,并建立明確的定義來解決這些問題。但是很多威脅并不是按照常規(guī)的手段和正常的方法都能解決,因為它們不是使用正常的數(shù)據(jù)代碼就能夠解決問題。因為有的人認(rèn)為這是一個“威脅”,有的人認(rèn)為這是一個“風(fēng)險”,而有的人認(rèn)為這是一個“漏洞”。就如同,物理學(xué)上的質(zhì)量、重量、速度的單位各有不同是一個道理。
  3、漏洞評分系統(tǒng)(CVSS)不同。很多風(fēng)險評估需要相關(guān)的計算公式和測量工具。如果選擇的工具和變量不同,測得的風(fēng)險也有所不同。目前風(fēng)險評估分幾個等級,很多時候企業(yè)風(fēng)險被夸大,或者風(fēng)險被忽略,就是因為風(fēng)險評級時的失誤。
  決策者怎么才能在風(fēng)險管理中做出正確的決策?
  一個明智的決定,往往需要平衡運營成本和風(fēng)險成本。其實很多IT管理者都了解以上幾個風(fēng)險管理失敗的原因,但是為什么還是會失敗呢?
  首先是管理者自認(rèn)為非常了解風(fēng)險。什么樣的風(fēng)險會找出什么樣的后果,什么樣的風(fēng)險如何去衡量,IT管理者總是在不斷變化的風(fēng)險中尋找解決的辦法。但是很多時候,風(fēng)險的標(biāo)準(zhǔn)和模式并不是按照他們預(yù)想準(zhǔn)備的工具和標(biāo)準(zhǔn)出現(xiàn)的。因為網(wǎng)絡(luò)的威脅也會更新?lián)Q代。
  其次,管理者不知道如何評價一個風(fēng)險指標(biāo)。大多數(shù)人將不會投資于風(fēng)險和度量,直到他們明白風(fēng)險評估的價值。
  再次是過度的自信。過度自信效應(yīng)(一個嚴(yán)重的認(rèn)知偏差),容易導(dǎo)致企業(yè)金錢和時間的浪費。這種過度自信效應(yīng)導(dǎo)致普遍不屑一顧的態(tài)度形式主義。事實上,就像醫(yī)生過度自信,因為指尖的微小抖動,可能都會產(chǎn)生嚴(yán)重的損失。