為什么在評估網絡風險時識別不同類型的信息至關重要。

　　風險信息是指可以影響決策的任何信息。

　　一些組織傾向于只接受某些類型的信息作為合法的風險信息。此類限制增加了錯過重要內容的機會。

　　多樣性的重要性

　　想象一下，組織的風險管理方法只能處理以高、中、低三個維度描述風險的定性信息（例如政策文件、事件報告或評估）。這種方法會錯過通過包含定量信息（例如網絡流量或安全事件數量）可以發現的模式和趨勢。利用各種信息源可能揭示會被遺漏的風險。

　　組織很少會明確排除某些類型的信息，但他們通常對特定類型有一種不言而喻的偏見。有時聲稱安全性是“無法量化的”，或者定性信息被打折，因為它涉及到一個人的（主觀）意見。同樣，這些偏見會導致組織在進行網絡風險評估時忽略有價值的信息。

　　如果組織對每種網絡風險評估都采用單一、標準化的方法，就更有可能陷入這個陷阱。當組織專注于完成風險管理過程而不是應該從中產生的風險降低活動時，這種情況更有可能發生。當組織進入這種風險管理行為的“防御性”模式時，這種關閉被視為“合法”風險信息的情況可能會加劇。

　　幫助評估信息來源

　　怎么知道是否考慮了足夠的信息來源？

　　這更像是一門藝術而不是一門科學，我們在下面建議的技術使用矩陣將信息分類為定性或定量、客觀或主觀：

　　定性信息是關于用人類語言描述某些東西，例如文檔中呈現的書面信息。

　　定量信息是關于可以用數字衡量的事物。

　　客觀信息是可驗證的，不受意見的影響（例如組織擁有的筆記本電腦數量，或購買特定防病毒解決方案需要花費的金額）。

　　主觀信息是一個意見問題（例如判斷特定組織更容易受到 DDoS 攻擊而不是勒索軟件攻擊）。

　　通過將每種信息類型分配到網格上的相應位置，將能夠快速確定是否存在任何潛在的盲點，因為任何空的象限都會立即顯現出來。

　　下面的網格提供了每種類型風險信息的一些示例。

　　此網格的目的不是對單個信息進行分類，也不建議來自四個象限中任何一個的信息比任何其他類型的信息“更好”。是關于查看在風險分析中使用的信息源的傳播，并發現任何盲點。

　　那么怎么做呢？

　　首先瀏覽進入組織風險評估過程的所有各種信息源。

　　將它們放入上面的網格中。如果不確定從哪里開始，請返回與組織中的網絡安全相關的決定。哪些信息用于告知該決定？如果沒有寫下任何內容，請返回并與做出決定的人交談，并詢問他們在該安全問題上是如何決定的。

　　檢查網格。它是什么樣子的？你是偏向一個象限還是一半？

　　還可以收集哪些其他信息來填補空白？這會如何改變決定？為什么它們所在的地方存在差距？這可能會導致風險分析方法出現哪些盲點？

　　此練習的目標是幫助發現風險評估可能會遺漏一些有價值信息的情況。它不會準確地告訴我們缺少什么，但它可以揭示組織對特定類型信息的偏見。

　　這絕不是對風險信息進行分類的唯一方法。風險信息還有其他可能同樣有用的特性。例如，還值得考慮是否使用了關于過去的信息和關于預期未來將如何展開的信息以及一些解釋的平衡。

　　常見的組織偏見

　　通過使用定性/定量、客觀/主觀技術，其實，人們已經認識到許多組織的普遍偏見，其中網格在左上和右下象限中大量填充，而在其他兩個象限中是空的。在此類組織中，在評估網絡風險時，“客觀”和“定量”這兩個術語的含義相同。

　　研究結果表明，在這些組織中，與這種有缺陷的假設不一致的信息被忽略了。例如，專家對概率的主觀評估被打折扣。