iT邦幫忙

2022 iThome 鐵人賽

DAY 29
2
Security

可以狼狽,也可以優雅:從資安治理到資安應變的修養之道系列 第 29

Day29 借用IDPRR建構資安韌性II-範例篇:從個人到公司,從心理到生理

  • 分享至 

  • xImage
  •  

今天的小故事

https://ithelp.ithome.com.tw/upload/images/20220929/20102269elU3sWpXJD.png

分享一個朋友的案例,他的太太忽然義無反顧的跑去從事保險員,他的家庭還有兩個幼小的孩子,他跟我說他壓力很重,因為經濟都是他一扛人扛著,工作很忙碌,但又必須接送小孩上下課,簡直像是偽單親的生活,好幾次他都跟我說他想帶著孩子一起做一些不好的事情,想不開....
無奈筆者也只能傾聽跟多陪伴,孩子還需要爸爸,看看孩子,再振作一下,太太發現賺不到錢,也許就會回頭了...

結果回頭的時候,已經那位太太已經是連自己都養不活,還繳不起信用卡費,欠了一堆錢,為了要達成百萬年收或百萬被動收入,要先拿錢去建立人脈等等 (等等這不是跟傳銷很像)...

回到正題:上面筆者做了圖,想表達思考目標與風險所付出的代價成本很重要,要評估自己的資源是否可以達到目標。
看透滿多社會黑暗跟洗腦的,有些人很擅長操弄人心&使用話術(騙術...誤)
例如:利用你的不甘心,不願意,捨棄不掉的隱藏成本,如:已經付出這些了,不要放棄阿;神魔之塔已經玩一陣子了,不玩好可惜啊;投資已經投一部分了,還差一點就可以了;賭博有輸有贏,只是運氣不好,下次再來一定可以連本帶利贏回來啊.....

人生停損很重要,有情緒很正常,但不要被情緒帶著走,請回歸理性評估,把停損跟繼續下來擺在天平上,好好評估,哪一個才是重要的,不要讓自己落入萬劫不復的深淵..


借用IDPRR建構資安韌性II-範例篇:從個人到公司,從心理到生理

https://ithelp.ithome.com.tw/upload/images/20220930/201022691s33oAJX2B.png

https://ithelp.ithome.com.tw/upload/images/20220930/20102269BO0iXwmopu.png
借用IPDRR套用事前、事中、事後,並列出參考方法,說明如下:
I:識別
1.識別目標
2.識別風險:在ISO31000中,風險定義為[對達成目標之不確定性],簡單說即是[造成目標不能達成的因素]

P:保護
以風險管理的角度(請以管理風險就是加速達成目標的角度來思考),來進行保護
前面有說到風險為[造成目標不能達成的因素],所以我們控制風險,理論上目標就可以達成,因為沒有干擾目標達成的因素了。
實務上的風險控制,不可能零風險,會視資源大小,決定控制風險的方式及手段,又分為:
1.接受風險(Retain):接受風險的現狀,風險發生的損失是可以接受的(儘管可能破產)。
2.轉嫁風險(Transfer):藉由風險轉嫁來來降低風險發生時之損失(買保險)
3.降低風險(Reduce):藉由降低風險發生之機會或其重大衝擊。
4.避免風險(Avoid):藉由停止從事產生風險之活動來避免風險(知道山有虎,就不要去了)

再根據每個控制風險的處理,擬定執行的手段。

D:偵測
主要用於偵測風險的發生,是事後得知,還是馬上得知,根據得知的時間,會影響後續應變及復原的計畫

R:應變
事情真的發生了,也被偵測到了,那要如何處理?
如前一篇所舉例:

勒索病毒的防治:事前用自動化偵測(EDR),偵測立即反應,損傷小; 反之,不採用自動化偵測,人工偵測,發現中勒索病毒,再去重灌。 兩個方法沒有對錯,端看該資產的衝擊程度與長官的接受風險的程度,如果是非常重要的資產,勢必即時保護,如果是不重要的資產,可能就無所謂。

R:復原
核心思想是:要復原到哪一種狀態,復原的程度到多好。

最後,先放上個人情境,明日再說明其他情境。


上一篇
Day28 借用IDPRR建構資安韌性I:論點
下一篇
Day30 借用IDPRR建構資安韌性III-範例篇:從個人到公司,從心理到生理
系列文
可以狼狽,也可以優雅:從資安治理到資安應變的修養之道30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言