Gartner Blog Network
·
没有人对风险有偏好
💡
原文英文,约900词,阅读约需4分钟。
📝
内容提要
风险偏好是指组织在安全风险管理中对风险的态度和倾向。它与个人对风险的偏好不同,而是指组织在网络安全投资方面的偏好的相反。人们对风险没有偏好,他们对更高水平的回报有偏好,他们认为这需要更高水平的风险来获得。
🎯
关键要点
- 风险偏好是组织在安全风险管理中对风险的态度和倾向。
- 风险偏好与个人对风险的偏好不同,主要指组织在网络安全投资方面的偏好。
- 人们对风险没有偏好,而是对更高回报的偏好,认为需要更高风险来获得更高回报。
- 风险偏好可以理解为在资金耗尽后剩余的风险。
- 这种理解将‘偏好’的意义颠倒,实际上是因为缺乏资金来消除风险。
- 许多安全风险是分形的,无法减少,因此风险偏好的基本概念存在局限性。
- 在金融风险管理中,高风险通常伴随高回报,但在网络安全中并不适用。
- 网络安全管理中,风险的增加并不意味着回报的增加,反而增加了失败的概率。
- 更好的表达方式是组织的失败容忍度,即组织可以接受多少安全失败。
- 安全的基本目标是防止系统操作或员工行为中的失败,以确保业务的可预测性。
- 在零售销售中,企业会预期一定的损失,但不会称之为‘损失偏好’。
- 关注失败容忍度有助于消除风险与回报之间的虚假关联,促使领导者关注安全威胁的实质。
➡️
