使用未遂事件作为风险指标

路易吉Sbriz
作者: 路易吉Sbriz, CISM, CRISC, CDPSE, ISO/IEC 27001:2022 LA, ITIL V4, NIST CSF, UNI 11697:2017 DPO
发表日期: 2023年9月8日
相关: 使用未遂事件作为风险指标

在组织中,有时会出现不可预见的和不希望发生的情况,而没有可见的后果. 例如, 发票上的总额不正确, but it is detected before it is issued; a virus is intercepted within the extranet before it is able to compromise any devices; a server sometimes has performance drops but never crashes; when it rains, 服务器机房的地板湿了, 但它不会造成任何严重的损害. 在这些情况下,在后果变得明显之前,组织并不担心.

这种相信好运的态度是错误的. 所有没有后果的异常事件都是潜在漏洞的迹象. 正确的态度是了解原因并采取相应的行动. 所有潜在事故(i.e., 不希望的或未预见的事件)被归类为侥幸事件,不应被视为没有后果的侥幸. 它们是一些正在计划中的事情的迹象, 程序或过程没有按预期的方式工作.

异常事件本身发生的事实不应被视为令人担忧. 在规划, 有时被认为概率很低且影响不大的情况不被考虑. 如果有更紧急的设计约束需要满足,这种行为并没有错. 相反,当概率发生变化时,忽略概率的符号是错误的. 险情事件是风险场景发生变化的信号,必须了解险情事件的原因.

要考虑的“侥幸事件”不仅是那些真正具有重大预期影响的事件. 即使是微弱的信号也会带来令人不快的意外. 我们必须把这些信号视为风险指标. 最佳实践是确定已经发生的异常报告的类别,并继续进行风险分析,以确定局部可能无关紧要的漏洞,但从整体上看,可能导致识别相关的风险或改进机会. 与未遂事件相关的漏洞代表了某些防御层的缺陷, 这个指示器让我们有时间进行根本原因分析, 确定解决方案并改进保护系统.

组织不应该忽视来自业务流程的微弱信号,因为它们可能在流程本身中隐藏危险的弱点,必须对其进行分析和处理.

编者按: 要进一步了解这个话题,请阅读路易吉Sbriz最近在《澳门赌场官方下载》上发表的文章, “使用未遂事件作为风险指标,” ISACA杂志,第4卷,2023年.

ISACA杂志