为什么企业会在风险管理中失败?

来源:畅享网  作者:孔维维
2013/5/24 11:16:03
畅享网:一位IT管理专家这样说到,很多风险管理工作失败,不是因为风险管理的软件程序不运行,而是很多IT管理员不了解风险的由来,未深入了解风险的症结,仅仅是单纯的尝试管理,那么风险管理注定失败。

在近期举行的RSA大会上,主持人问现场的观众,谁认为自己的风险管理计划是成功的,只有很少的人举手。那么为什么那么多的人在风险管理中失败呢?

一位IT管理专家这样说到,很多风险管理工作失败,不是因为风险管理的软件程序不运行,而是很多IT管理员不了解风险的由来,未深入了解风险的症结,仅仅是单纯的尝试管理,那么风险管理注定失败。

以下总结了风险管理失败的原因:

首先,风险的定义不一致。一些从业者似乎认为风险来源于风险的不确定性,有的人认为风险来自于造成损失的频率和幅度。而这两种观念有本质的不同。理论上的风险代表不确定性,但是很多理论却不能应用到信息安全中去。

其次,使用的术语不一致。很多管理员正在尝试做风险管理,他们努力的解决风险出现的原因,并建立明确的定义来解决这些问题。但是很多威胁并不是按照常规的手段和正常的方法都能解决,因为它们不是使用正常的数据代码就能够解决问题。因为有的人认为这是一个“威胁”,有的人认为这是一个“风险”,而有的人认为这是一个“漏洞”。就如同,物理学上的质量、重量、速度的单位各有不同是一个道理。

再次,漏洞评分系统(CVSS)不同。很多风险评估需要相关的计算公式和测量工具。如果选择的工具和变量不同,测得的风险也有所不同。目前风险评估分几个等级,很多时候企业风险被夸大,或者风险被忽略,就是因为风险评级时的失误。

决策者怎么才能在风险管理中做出正确的决策?

一个明智的决定,往往需要平衡运营成本和风险成本。其实很多IT管理者都了解以上几个风险管理失败的原因,但是为什么还是会失败呢?

首先是管理者自认为非常了解风险。什么样的风险会找出什么样的后果,什么样的风险如何去衡量,IT管理者总是在不断变化的风险中寻找解决的办法。但是很多时候,风险的标准和模式并不是按照他们预想准备的工具和标准出现的。因为网络的威胁也会更新换代。

其次,管理者不知道如何评价一个风险指标。大多数人将不会投资于风险和度量,直到他们明白风险评估的价值。

再次是过度的自信。过度自信效应(一个严重的认知偏差),容易导致企业金钱和时间的浪费。这种过度自信效应导致普遍不屑一顾的态度形式主义。事实上,就像医生过度自信,因为指尖的微小抖动,可能都会产生严重的损失。

最后是懒惰。大多数人都希望这一切都呈现在他们面前。就像把风险和度量工具放在IT人员面前,或者他们等到风险到来的那一刻,才会动手解决问题。

责编:孔维维
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918