风险管理转型：从可见性到风险减少

关键要点

身处风险管理行业，我们需从“风险分析”转向“风险减少”。实现有效的风险减少需要关键的可见性、正确的解读数据与适当的响应。通过风险减少流程，组织可以更有效地应对风险，同时提升沟通与协作。

“你看不见的东西无法保护。”我们都知道这句话，但在这个过程中，我们忘记问自己：“我们能保护我们所看见的东西吗？”这句“你不能保护”使我们不断寻求风险可见性，因此我们设计了一个“风险分析”功能，虽然它是一个被动的功能专注于识别风险，而非降低风险。现在，是时候转变我们的思维，重新调整我们的沟通和运营方式。我们应该开始更多地讨论“风险减少”，而不是“风险分析”。

针对“可见性”这一目标，脆弱性和风险管理行业多年来努力提升产品和服务的可见性，以此来应对三个“R”，帮助我们的风险分析过程：

关键要素说明相关性我们工具呈现的数据是否对我们相关？如果不相关，哪些部分是？对我们而言，了解“又一个资产”没有帮助。知道一个新发现的资产已暴露于互联网、包含敏感数据且尚未打补丁这些信息才是相关的，我们需重视。正确解读读取安全数据时容易出错，原因简单：我们往往沉浸在数据中，无法看到全貌。这是一项棘手的技能，即使对数据迷也不例外。例如，某反病毒公司发布的数据显示，本季度病毒数量有所下降，但他们可能未意识到，不可见的病毒数量却在增加。响应一旦团队知道哪些信息是相关且能够正确阅读，那么接下来该做什么？组织如何从这些数据中获益？例如，对于被揭示的“又一项风险资产”，安全团队必须对该资产采取措施。他们需要了解资产的所有者、使用情况、包含的数据类型，然后决定是限制互联网访问、控制访问权限，还是其他任何控制措施。

穿越时间来到今天，我们可以自信地说，作为一个行业，我们在关注这些“R”上取得了进展：我们拥有更准确和具有情境的发现数据。当然，这些发现最终还是落到CISO的责任上。尽管我们已生成更高质量的数据，但仍然量庞大。同时，安全专业人员和恢复团队清楚地知道，CISO及其安全运营人员并不是不同发现的整改人员。

因此，如果可见性曾经不足，现在已经改善，但我们仍有大量未处理的发现，我们需要问自己下一步的演变是什么？答案是：让可见性变得可操作。

知道采取什么行动将“风险分析”的讨论转变为“风险减少”的行动。这是我们希望行业发展到的方向。不要把风险分析视为一种业务流程它是对当前风险状态的评估，没有与之相关的关键绩效指标KPI测量。另一方面，将风险减少视为团队可以并应该衡量的行动。风险减少让我们看到进展情况，并提供一个流程改进的路径。它设定KPI，监控我们的安全状态，并帮助我们提升。它为我们决定需要实施哪些技术提供了业务流程依据。

白鲸加速器破解版

一个有效的风险减少流程使我们能够与所有流程相关者沟通从董事会到业务线，再到开发团队和DevOps。我们可以准确展示我们如何采取行动，而不仅仅是分享工具的输出。此外，它强调了风险减少需要多团队合作，并突显出每个团队在这一流程中的责任。

一个良好的风险减少程序，加上有效的沟通与协作，让组织在应对风险时更具韧性，并减少突发事件的发生。

脆弱性和风险管理的从业者们推动了一场重要的变革，从要求更高的可见性转向实际获取可见性。现在是时候采取行动，实现这一可见性。将焦点从“风险发现”转向“风险减少”，将进一步推动技术的发展。

Ravid Circus，Seemplicity 联合创始人兼首席产品官