十个很少有人谈到的网络安全风险因素

这些风险身分也许不会呈此刻官方的风险评估陈诉中，可是每个安详专家都应该思量这些身分。

传统的风险打点凡是包罗对隐藏的威胁和风险举办分类，评估其产生的也许性，以及估算假如不能减轻它们也许造成的丧失。隐藏的缓解和节制本钱是按照隐藏丧失来权衡的。假如减轻法子比风险和威胁产生的本钱更低、实验结果更好，那么就会采纳响应法子。

各人都曾为计较一个变乱的也许性及其隐藏丧失而烦恼过。这一进程一向更像是一种最佳揣摩，而不是保险精算表。谁能预计在某一年一个伟大的打单软件、DDoS 或内部进攻在他们的组织机构中产生的概率可能可以或许精确猜测哪些资产会受到影响?有人能证明某年的也许性是20%照旧 60% 吗?

我们都在与复杂的估算做斗争，可是尚有许多其他身分影响着风险打点。这里有 10 个很少被果真接头的题目。

1. 应对“也许产生”的风险

每一次风险评估都是在应对也许产生的工作和什么都不做之间举办斗争，尤其是在早年从未产生过的环境下。许多人以为什么都不做更省钱，那些为某事而格斗的人也许会被以为是在浪花钱。“为什么要浪花钱?那永久不外产生!”

很少有人会由于保持近况和墨守陈规而惹上贫困。尤其是在涉及大笔资金的环境下，起劲采纳动作，要比坐等丧失呈现并办理题目要坚苦得多。

以 911 和航空旅途安详举例。并不是说航空安详专家们在 2001 年 9 月 11 日之前就不知道劫机者可以通过一把美工刀节制驾驶舱，或将爆炸物偷运上飞机。这些风险早在几十年前就已为人所知。想象一下，假如在 911 变乱产生之前，搭客就被要求甩掉水瓶并接管满身扫描，会引起公家何等凶猛的抗议。这也许会激愤公家，航空公司也会主动去掉这些安详法子。

911 之后，我们很愿意脱掉鞋子，甩掉水瓶，接管满身扫描。得到资金来应对也许的风险峻比在丧失产生后得到资金坚苦得多。每当风险评估职员就从未产生过的题目发出告诫时，都很是必要勇气。他们是无名好汉。

2. 政治风险

主动包袱风险会激发相干的未知风险之一：政治风险。每当起劲主动的好汉们争取应对从未产生的工作时，他们城市失去一点政治成本。他们只有在他们起劲主动去应对的工作产生的时辰才气获告捷利。假如他们能乐成说服公司实验节制缓和解法子，那么糟糕的工作就永久不会产生，好吧，它永久不会产生。

这是一个悖论。当他们胜利的时辰没有人知道，由于他们乐成争取到了节制。以是，每当他们担忧的工作从未产生时，他们就会被视为 “狼来了”。他们失去了政治成本。

任何经验过这些风险打点斗争的人都可以汇报你，他们不想包袱太多的挑衅。每一次斗争城市给他们的荣誉带来一点侵害(或者多)。以是，这些兵士们会打算他们想要打哪些仗。跟着时刻的推移，履历富厚的兵士会镌汰战斗次数。他们不得不这么做。适者保留。他们中的许多人只会守候某一天，当一件真正糟糕的工作产生时，他们没能为组织机构止损而斗争，而成为了替罪羊。

3. “我们说已经做完了，但并不必然”的风险

我们所说的许多节制缓和解法子并没有真正完成，至少没有到达 100%。许多人在这个进程中大白工作并没有真正完成。最常见的例子是打补丁和备份。我知道的大大都公司都说他们打了 99% 到 100% 的补丁。在本文作者 30 多年的职业生活中，搜查了数百万台装备的打补丁状况，但从来没有发明一个装备是安装了全部补丁的。然而审计过的每家公司城市说，他们已经安装了全部的补丁，可能靠近完成了。

备份也是云云。当前打单软件的泛滥袒露了大大都组织机构并没有做好备份。尽量大大都组织机构和他们的审计职员多年来都在搜查是否已经完成了要害备份，并按期举办测试，但只要一次大型打单软件进攻就能表现出实情是何等的差异。

风险打点规模的每小我私人都知道这一点。在没偶然刻和资源的环境下，认真备份的人怎样可以或许测试全部内容呢?要测试备份和规复是否可以事变，你必需对许多差异的体系举办规复测试，并将其同时放到必需事变的单独情形中(纵然全部资源都指向原始情形)。这必要投入大量的人力、时刻和其他资源，而大大都组织机构都不会给认真人这些理睬。

4. 制度化的风险：“一向都是这么做的”

很难辩驳 “我们一向都是这么做的”，尤其是在几十年都没有产生针对瑕玷的进攻的环境下。譬喻，我常常碰着应承暗码为 6 个字符且从不修改的组织机构。偶然是由于PC收集的暗码必需与毗连到公司所依靠的一些迂腐的 “各人伙” 体系的暗码沟通。每小我私人也许都知道，6 个字符且稳固的暗码不是一个好主意，但这从来不会造成任何题目。

假如你以为全部对象都必要进级，以支持更长的、更伟大的暗码(也许要耗费数百万美元)，那么制度化的“伶俐”是倒霉于你的，而大大都人在组织机构中的时刻比你长得多。

5. 营业间断的风险

你所实验的每个节制缓和解法子都也许导致运营题目。并且乃至也许会间断运营。你更有也许由于运营不测间断而被开除，而不是提前提防了一些理论上的风险。对付你敦促的每一项节制缓和解法子，你都要思量是否会导致隐藏的运营间断。

节制越彻底，就越有也许镌汰其所抵制的威胁带来的风险，但你会更猜疑是否可以在不间断运营的环境下做到这一点。假如在不造成运营间断的环境下低落风险是轻易的一件工作，那么每小我私人城市这么做。

6. 员工不满的风险

没有哪个风险经抱负让员工气愤。假如你想要这种环境产生，就限定他们可以会见的 Internet 地点和他们在计较机上的操纵。70% 到 90% 的恶意数据泄漏(通过收集垂纶和社会工程)都是由终端用户造成的。你不能信托终端用户能靠直觉掩护组织机构。

然而，仅仅限定终端用户操纵，好比只应承预先核准的措施运行，可能限定他们对互联网的会见和操纵，就会遭到大大都员工的阻挡。劳动力市场供不该求。每个公司都在全力图取优越的员工，他们不想被奉告他们不能在“他们的”电脑上做任何他们想做的工作。你锁定的太多，他们也许会去此外处所事变。

7. 客户不满足的风险

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!