风险偏好:什么是真正重要的?
Information Systems Audit and Control Association(全球ISACA)
风险偏好:什么是真正重要的?
当考虑风险偏好时,这可能是一个有益的锻炼来进行自省,并思考组织真正的风险会出现在哪里。如果我们真正理解风险 与组织希望避免的不良后果的可能性和严重性相关,我们应该思考技术风险领域的不好的事情是怎样在商业活动中发生的。
无数的研究报告,包括最近的《威瑞森数据泄露报告》表明,绝大多数的组织攻击来自外部,而不是来自内部,组织遭受内部恶意攻击的百分比很小。
不幸的是,审计人员和技术风险专业人士历来都是将焦点放在向内看,往往脱离了他们负责识别和缓解的真实风险的现实。大量的时间和金钱都花在安全威胁和保护内部员工上,而不是实现真正的保护,尽管历史经验表明内部威胁是不可能的。
更多详情请访:http://www.isaca.org/Journal/Blog/Lists/Posts/Post.aspx?ID=192