问脆弱性管理、风险缓解和风险接受

EN

没有所谓的“没有风险”。总有残余的风险。因此，管理层必须接受某种程度的风险(称为“可接受的风险”)。

“不作为”与“接受风险”是不一样的。你所看到的是管理层不想做出一个花费金钱的决定。就这样。这里没有“风险思维”，所以你不能从风险的角度来看待它。

是的，应该有一个简单的风险过程来识别、评估和处理这种情况下的风险。大多数管理人员没有经过良好的风险基础培训，也没有意识到风险有多么简单、有效和直接。许多小公司的经理害怕正式的风险流程，因为他们看起来像很多开销和麻烦。

你可以通过提出无判断力的管理问题来启动这件事。

• 在这种情况下，你的噩梦场景是什么？
• 如果最坏的情况发生，你会觉得舒服吗？
• 在此期间，你对这些漏洞不感兴趣吗？
• 你想加入一些额外的监控或其他保护措施来帮助降低风险吗？
• 你想让我看看修补的低成本替代方案，看看它们是否能将风险降低到一个你会更舒服的水平？