问衡量不管理风险的风险

EN

您没有使用有用的风险评估过程，这就是为什么您在制定一个度量方法时遇到了困难。

内在风险

的重要性

您正在将likelihood和impact与缓解(人员、控件、策略等)结合起来。风险评估首先在没有减轻风险的情况下评估风险。这给了你内在的风险。有时，您可以在固有的或常量中假定一些缓解，因此您可以在评估固有风险时使用这些知识。但是，正如您所说的，您不能假设您拥有需要减轻的一切。

剩余风险

您的缓解(人员、控制、策略等)将这种风险降低到一个新的水平(希望是较低的水平)，称为残余风险。

您的评估过程需要仔细考虑缓解的影响，以避免假定缓解总是存在的。

策略作为降低风险的策略

政策就是其中之一。您应该仔细考虑策略所产生的影响，或者您有一个无用的策略(或者您从某个来源在线复制/粘贴它，或者某一天有想法的外部专家)。因此，您应该已经知道不执行策略的影响。

风险沟通

你是正确的，拥有正确的信息是你可以做的最好的事情，以改善你的安全态势，并与决策者沟通。你需要沟通以下几个方面的差距：

• 固有风险
• 你目前的剩余风险
• 你的目标剩余风险水平(大多数人都忘记了这一步，因为，不，你不能也不应该在热图上把所有的风险都“绿色”化)

特定示例

如果您不对系统进行风险评估，那么您就无法有效地控制对这些系统的潜在影响(从组织的角度来看，风险评估是一种缓解形式)。因此，您可能没有针对影响的控制，这意味着您固有的风险被认为是您的实际风险。对系统的风险评估有助于确定如何降低风险(影响/可能性)。

虽然晚会有点晚了，但这是我的两分钱(上面对@schroeder的回答/评论中的一些部分作了段措辞，还有一些我自己的秘密调料)。

1. 不遵守政策并不是一种风险。风险是政策存在的原因。

以缺少补丁的例子为例，您似乎走在了正确的道路上。为了确定风险，还需要做一些额外的事情：

那些缺失的补丁能映射到任何CVE吗？如果是，这些CVE的可利用性吗？如果是，影响是什么(远程代码执行、服务器妥协、潜在的数据泄漏等)？开发的前提条件是什么(前、后、权限提升等)；

你的普通VA工具(例如，nessus，nexpose等)应该给你这方面的数据。

B-数据(在服务器上有缺失的补丁)有多重要？如果服务器和它上的数据不是关键的，它们是否连接到任何(关键的)机器？

你的内部风险评估方法对限定/量化风险有什么看法？

在限定/量化风险(总是有风险的场景，而不是漏洞/威胁/数据)之后，您就可以声明没有遵循的现有控制(策略)，从而导致风险场景是可信的。

风险沟通失败，因为场景与业务不一致，也没有为业务提供上下文。除非风险导致潜在的损失，否则企业不会在意。

他们这样做是对的。