web-dev-qa-db-ja.com

脆弱性管理、リスク軽減vsリスク受け入れ

社内の脆弱性管理プログラムについての会話に参加しました。声明の1つは、経営陣は一般的にリスクを受け入れるつもりはなく、それを好ましくはパッチの形で軽減することを目的とすべきであるというものでした。

一方で、脆弱なアプリケーションの例があり(それらのほとんどは重大で重大度が高い)、2020年末までに廃止される予定です。

問題は、1つまたは複数の製品が数か月で廃止されるため、脆弱性を修正するために誰もテーブルにお金を投入したくないということです。

私は今疑問に思っています。脆弱性を修正するための資金を提供しないというリスクをすでに何らかの形で受け入れているのではないですか、それともそれは無視の例ですか?

さらに、この場合、脆弱性を利用した潜在的な悪用によって引き起こされる潜在的な損失とコストを比較するために、リスク管理の正式なプロセスが存在してはなりませんか?

vulnerabilityrisk-managementpatchingrisk
1
user211245

「リスクなし」などというものはありません。 always残存リスクがあります。したがって、経営陣はsomeリスクのレベル(「許容可能なリスク」と呼ばれる)を受け入れる必要があります。

「無反応」は「リスクの受け入れ」と同じではありません。あなたが見ているのは、お金のかかる決断をしたくない経営者です。それで全部です。ここには「リスク思考」がないので、リスクレンズを通してそれを見ることができません。

はい、ありますする必要がありますこのシナリオのリスクを特定、評価、および処理するための単純なリスクプロセス。ほとんどのマネージャーは、リスクの基礎について十分な訓練を受けておらず、それがどれほど単純で効果的で簡単であるかを認識していません。中小企業の多くのマネージャーは、オーバーヘッドが大きく煩わしく思えるため、正式なリスクプロセスを恐れています。

あなたは、経営者の判断のない質問をすることによって、これを自分で始めることができます。

  • この状況での悪夢のシナリオは何ですか?
  • 最悪の事態が発生した場合、どの程度快適ですか?
  • 当面の間、これらの脆弱性が緩和されていなくても大丈夫ですか?
  • リスクを軽減するために、追加の監視またはその他の保護を適用しますか?
  • パッチの代わりに低コストの方法を検討して、リスクをより快適なレベルに下げることができるかどうかを確認しますか?
2
schroeder