他们上周在澳大利亚黄金海岸举行的AusCERT网络安全会议上说:“他们在谈论飞机和飞机失事以及黑匣子记录器。我从来没有真正弄明白这是什么。”
“我认为这导致了一种思考风险的方式.我觉得这种风格不合适。”
他说,考虑你的飞机业务意味着你在考虑如山的风险。你可以通过转向或绕过风险山来避开它。
Pinton更愿意把你的生意想象成一艘船。同样的情况是,风险专家告诉你,为了消除风险,你需要把你的船从水中移开,放到高地上。
“等一下。如果我把我的船从海里拿出来放在高地上,那么我现在拥有的是一个倾斜的仓库,有一个糟糕的通道,”他说。
“你的业务需要笼罩在风险之中,这样才能做好。管理风险不仅仅是消除风险。它是关于救生衣、训练、旅程和你的旅行类型,以及你拥有的船的类型,以及它是否适合你将要进行的旅行类型。"
平克顿的核心信息是,风险实际上与风险偏好有关——这是你应该衡量和定义的东西。
您需要使用风险矩阵等工具来识别和评估风险。之后,您需要通过分析缓解成本和不利事件的影响,优先考虑如何解决每个风险。
风险可能是灾难性的,但不太可能发生在组织的保险公司身上。
或者坏事的潜在影响可能如此之小,但成本却如此之高,根本不值得降低。
“风险不是找到并解决你的组织面临的所有问题,”平克顿说。
“这是承认你没有时间、金钱或资源来解决所有问题,然后创造一个可辩护的立场和理由——不只是为你所做的事情,而是为你的事情提供一些决定不这么做的理由。”
还可以根据补救所需的工作量,甚至所需的时间范围来分析风险。虽然坏事的潜在影响可能没那么大,但先处理一些快速低调的果实可能是值得的。
平克顿说:“在你商业生涯的不同阶段,风险偏好会随着时间而变化。”
所有这些对于在互联网上处于危险中的人来说都是令人惊讶的。
平克顿说:“他们提出了一系列的东西。他们认为企业决定对此无所作为。他们认为这是因为组织不了解风险。”
“但通常不是这样,因为网络人员不了解组织和这些风险,在企业争吵的其他事情的背景下,他们不会真正列出要做的事情。”。
他说,在大多数组织中,无论是否得到认可,都有一条概念性的虚线,即你所做的和你刚刚放入风险登记册并标记为可接受的之间的差异。
然而,组织的风险偏好和它的实践意味着什么之间通常是有区别的。组织总是说他们的风险偏好低,但平克顿指出,这往往是非常不同的。
“老兄,我已经读过你最近三年的报告了。如果你的风险偏好是一项运动,那就像在光秃秃的基础上跳跃,”他说。
标签:
版权声明:转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢您的支持与理解。