详细内容或原文请订阅后点击阅览
为什么大多数网络风险模型在开始之前失败
在网络风险中进行定量思维的案例帖子为什么大多数网络风险模型在开始首先朝着数据科学开始之前就失败了。
来源:走向数据科学“要花多少钱?”和“我们应该花多少钱来停止它?”
当今使用的风险模型仍基于猜测,直觉和五颜六色的热图,而不是数据。
实际上,普华永道的2025年全球数字信任见解调查发现,只有15%的组织在很大程度上使用定量风险建模。
PWC的2025年全球数字信任见解调查本文探讨了传统的网络风险模型为什么不足的原因以及如何应用一些光统计工具(例如概率建模)提供了更好的前进道路。
网络风险建模的两所学校
信息安全专业人员主要在风险评估过程中使用两种不同的方法来建模风险:定性和定量。
定性风险建模
想象两个团队评估相同的风险。一个可能的可能性为4/5,影响为5/5。另一个,3/5和4/5。两者都将其绘制在矩阵上。但是,这也不能回答首席财务官的问题:“这实际发生的可能性有多大,它会花多少钱?”“
一种定性方法分配主观风险价值,主要是由评估者的直觉得出的。定性方法通常会导致风险在序数尺度(例如1-5)上的可能性和影响分类。然后将风险绘制在风险矩阵中,以了解它们以这种序数量的位置。
通常,这两个序数乘以将基于概率和影响的最重要风险进行优先级。乍一看,这似乎是合理的,因为信息安全性的常用定义是:
态
从统计的角度来看,定性风险建模具有一些非常重要的陷阱。
第一个是使用顺序尺度。在将数字分配给序数尺度的同时,将一些数学支持的外观显示给建模,但这仅仅是一种幻想。
可能性。