有一句经常被引用的商业格言(经常有争议,而且通常错误地来自管理大师彼得·德鲁克)说:“如果你不能衡量它, 你控制不了.“虽然我们会让管理专家讨论这一说法的有效性, 当谈到定性技术风险评估的时候, 我们提供了我们自己的修改“如果你能测量它。, 然后你可以改进它.”
在技术, 定性风险评估帮助澳门赌场官方下载识别, 分析和评估其IT流程和安全框架中的弱点. 它们是帮助组织识别潜在威胁、影响和缓解技术的工具. 例如, 如果你正在建造一座房子,而木材短缺即将来临, 这将影响日程安排,你应该做出相应的调整和反应. 根据定义,定性评估是高度主观的,依赖于主题专家的技能和判断来评估可能性和影响.e., 依靠你的木材推销员来估计实际的到期日期,何时和多少木材将交付.).
量化
那么为什么我们要量化一些应该基于主观判断的东西呢? 再一次。, 考虑一下木材的例子——木材销售商可以根据他们的经验猜测木材将在什么时候到达,到达多少. 然而, 如果卖方可以使用过去90天的实际数量和交付数据进行类似规模的项目, 它们可以获得比仅基于判断的评估更精确、更可靠的评估.
技术领域为定性判断提供量化支持的时机已经成熟,因为数据通常很容易获得. 风险评估通常包含诸如固有风险之类的类别, 前/新兴风险, 控制的有效性, 问题管理, 度量标准和剩余风险. 这些类别构成了评估组织风险状态的结构,以及从固有风险(没有任何控制的风险)到剩余风险(应用控制后出现的风险)的旅程。. 图1 勾勒旅程.
图1 -定性风险评估旅程
固有风险和剩余风险按3或5分制进行评估.e.(低、中、高). 中间控制(技术过程或系统的特定控制测试), 问题管理(管理问题的程度), 所携带的问题数量及其相关的严重性)和度量(操作关键风险指标和关键绩效指标的状态)被单独和整体地评估,以得出最终的剩余风险评级.
除了使用数据更好地告知主观结论, 量化的其他好处包括:
- 实质性的理由-高度监管的组织(银行业), 保险, 医疗保健)受到联邦或州监管机构的审查. 量化强化了评估的有效性.
- 一致性将量化要素作为定性风险评估的一部分进行文件化,确保过程的稳定进行, 减少主题专家流失或组织变更带来的风险.
- 更专注于管理-如果其中一个中间控制区是异常值或更显著地影响整体结果, 量化允许管理层重新关注可能提高整体评级的领域.
融合优势
定量方法和定性方法各有其独特的优缺点. 纯粹的定量方法面临着数据不足等挑战, 收集数据困难,费用较高,难以保证技术领域的足够覆盖. 这样的风险评估也很容易通过操纵数据来操纵结果——这可能成为一种政治数学练习. 与此形成鲜明对比的是, 对定性分析的合理批评是,它过于依赖纯粹的判断. 为什么不把这两种方法的优点结合起来,实现一个健壮的、高质量的评估呢?
编者按: 想要进一步了解这个话题,请阅读作者最近在《澳门赌场官方软件》上发表的文章, “量化定性技术风险评估”, ISACA杂志,第5卷2022.
ISACA杂志 今年满50岁! 与我们一起庆祝,不要忘记,您仍然可以通过访问您的 MyISACA仪表板 选择加入!
