Live Nation的霉霉票务崩溃和网络风险有什么共同之处?糟糕的假设。您是否自信地相信您可以预测记录票务需求或相信您的支付处理基础设施是足够安全要处理它,这种信念是基于一个假设,而这个假设是基于现有模型的过去表现。在Live Nation的案例中,模型是错误的。

网络安全也面临同样的问题。我们的安全“模型”(框架和标准)并没有告诉我们网络风险对业务来说有多大的可能性或严重程度,因此我们不太可能知道我们是否安全足够的.更复杂的是,许多流行的安全标准将自己称为“风险管理”框架,承诺测量和管理风险。在实践中,它们告诉我们要实施哪些控制,解释如何对威胁和漏洞进行分类,或者提供已被证明是有效的定性评估标准(如1 - 5的序数量表)无用的为决策。我们管理方面而不知道风险本身的全部程度。

我的新报告,使用正确的框架开始网络风险量化,指导ciso了解传统风险框架的利弊,定义定量风险模型的标准,并概述了成功实施的构建模块。考虑到:

  • 通过在现有的安全框架上叠加一个定量模型,我们不再对风险做隐含的假设。仅仅因为控制评估确定了不充分的安全控制并不意味着它们等同于“高风险”。另一方面,如果这些控制旨在防止机器人攻击,并在前所未有的演唱会门票销售期间调解网络流量峰值,定量建模将显示重要的概率和损失估计,这可以用于在销售前采取预防措施。
  • 网络风险是复杂的。只有在财务上量化风险事件时,企业才能将风险事件的可能性和影响正常化。你的网络安全框架并不是真正的风险管理框架——它们也不需要是。但我们确实需要模型来帮助我们可靠地衡量网络风险。进入网络风险价值模型。
  • 2023年,ciso将面临压力更好地管理网络风险但你无法管理你无法衡量的东西。FAIR(“信息风险因素分析”)等模型提供了一种定量方法,帮助ciso评估和沟通其网络风险。不要让对当前框架和标准的假设扼杀了风险管理的成熟。

想了解更多吗?与我安排一个指导会议或询问,并寻找我即将进行的关于如何为网络风险量化(CRQ)创建商业案例以及如何成功启动CRQ试点的研究。