在管理网络风险的某些方面,情绪可以发挥重要作用. 然而, 太频繁了, 情绪被视为风险管理的默认工具, 而不是它应该成为的专业工具. 认知偏差和启发式对网络风险管理有着巨大的影响. 它们根植于我们的大脑中, 如果管理不善, 能让人难以确定真相吗. 偏见的一个更常见的来源是确认偏见, 搜索的倾向是什么, 解释, 以一种能证实自己先前存在的信念或假设的方式回忆信息.
确认偏误可能导致某人无视与他们现有信念相矛盾的证据. 过度自信的偏见也很常见. 这导致人们高估自己的能力, 比如网络安全控制的有效性. 最后, 锚定效应发生在某人过于依赖所摄取的第一条信息时.e.(锚)在做决定时,例如可能过时的初始风险评估. 另一方面是可用性或近因性偏差, 与过去发生的事情相比,当某人更重视或重视最近发生的事情或经历时,会发生哪种情况.
这些偏差的总和很容易导致对数据的误解,并可能导致组织风险态势的各种负面结果. 每一种偏见都成为自己的启发式或简化的风险决策模型. 例如,我可能会因为听到或读到很多关于某事的信息而决定某事是高风险的. 我可能会认为,如果每个人都在讨论一些事情,那么它一定是我应该关心的事情. 大多数以这种方式运作的决策模型(如风险)经常利用偏见,并可能导致对现实情况的过度简化. 启发式模型是快速的,并且在直接影响可能是毁灭性的情况下工作得很好. 然而, 大多数风险决策都与尚未实现的事件有关, 这意味着通常有足够的时间投入更多的审议. 这种区别就是诺贝尔奖得主丹尼尔·卡尼曼所说的 系统1(快)和系统2(慢)思维.
对网络风险采取更具分析性的方法是解释决策缺陷的有效方法. 定性评估方法通过添加模棱两可的风险标签(例如.g.高/中/低). 网络风险量化(CRQ) 将可测试和可验证的数值嵌入决策工件的语料库中. 因为这些决定是关于未来可能发生的事情, 未来可能的自然范围应该被表述出来. 这些值与三个主要的风险变量有关:事件发生的概率, 控制环境在防止或从事件中恢复方面的强度, 以及影响的严重程度或程度.
然而, 尽管这是公认的, 如果没有广泛实施, 量化网络风险的能力, 决策的情感因素仍然有作用, 主观方面. 假设有人准备了一条超出概率曲线(有时称为损失超出曲线), CRQ分析中的标准工具,用于预测来年遭受一定数量损失的一系列可能性. 他们克服了利用独立的人类判断的偏见,忽视了广泛使用的快速但不准确的风险评估启发式方法(例如.g.热图). 个人将其提交给董事会(BoD). 董事会正在采取什么行动,预计它将如何决定采取什么行动?
通常,CRQ的用例倾向于落入几个离散但复杂的场景. 首先是关于风险转移的决策. 这包括讨论需要多少保险以及相应的免赔额. 这一讨论的一个必然结果是,万一这些事件发生,需要预留多少资金.e.(资本配置策略).
另一个用例是在网络安全控制上投入多少资金. 这是对整体网络安全支出和单个项目计划的宏观评估. 以下是对支持这些工具所需预算的评估, 运营网络安全团队需要人员配备和第三方. 在这些讨论中,决定花多少钱以及在哪些方面可以节省开支是最重要的.
这两个用例将产生一系列关于告诉BoD什么的对话, 向投资者披露的内容(重要性), 以及风险偏好的设定和控制. 记住这一点, 委员会的回应将基于其对风险和网络安全支出过高程度的感受. 事实上,我们都是这样做财务决策的. 我们需要多少保险是基于我们试图保护的资产的重置成本以及我们认为可以接受的损失多少等因素.
在这种情况下, 依靠情绪来设定诸如食欲之类的事物的门槛, 物质, 保险是合理的. 通过控制偏见和启发式的局限性, 人类的大脑可以自由地做出决定,因为它已经准备好了:确定风险暴露的舒适程度. 我们可以在损耗曲线上选择一个点来测试舒适度, 然后根据战略和其他有关组织绩效的数据进行调整. 这种方式, 我们可以对损失敞口和风险承担设定更适当的限制,而不仅仅是说“我们不想接受任何高风险”.”
在网络风险管理的关键方面,超越情感或直觉决策至关重要, 然而,它不可能被完全抛弃. 关注CRQ强调了更接地气的潜力, 设定重要性披露门槛和风险偏好的客观有效方法. 它并不打算取代人类的决策, 而是, 通知它,以便组织可以更好地管理他们的风险暴露和执行他们的目标和目的.
杰克·弗伦德博士.D., cisa, cism, crisis, cgeit, cdpse, nacd.DC
是网络风险量化专家,是 测量和管理信息风险, 2016年入选网络安全佳能, ISSA杰出研究员, 费尔学会澳门赌场官方软件, IAPP信息隐私研究员, (ISC)2 2020年全球成就奖获得者和ISACA的获得者® 2018约翰·W. 雷恩哈特四世共同知识体系奖.