今天的小故事

分享一個朋友的案例，他的太太忽然義無反顧的跑去從事保險員，他的家庭還有兩個幼小的孩子，他跟我說他壓力很重，因為經濟都是他一扛人扛著，工作很忙碌，但又必須接送小孩上下課，簡直像是偽單親的生活，好幾次他都跟我說他想帶著孩子一起做一些不好的事情，想不開....
無奈筆者也只能傾聽跟多陪伴，孩子還需要爸爸，看看孩子，再振作一下，太太發現賺不到錢，也許就會回頭了...

結果回頭的時候，已經那位太太已經是連自己都養不活，還繳不起信用卡費，欠了一堆錢，為了要達成百萬年收或百萬被動收入，要先拿錢去建立人脈等等 (等等這不是跟傳銷很像)...

回到正題：上面筆者做了圖，想表達思考目標與風險所付出的代價成本很重要，要評估自己的資源是否可以達到目標。
看透滿多社會黑暗跟洗腦的，有些人很擅長操弄人心&使用話術(騙術...誤)
例如：利用你的不甘心，不願意，捨棄不掉的隱藏成本，如：已經付出這些了，不要放棄阿；神魔之塔已經玩一陣子了，不玩好可惜啊；投資已經投一部分了，還差一點就可以了；賭博有輸有贏，只是運氣不好，下次再來一定可以連本帶利贏回來啊.....

人生停損很重要，有情緒很正常，但不要被情緒帶著走，請回歸理性評估，把停損跟繼續下來擺在天平上，好好評估，哪一個才是重要的，不要讓自己落入萬劫不復的深淵..

借用IDPRR建構資安韌性II-範例篇：從個人到公司，從心理到生理

借用IPDRR套用事前、事中、事後，並列出參考方法，說明如下：
I:識別
1.識別目標
2.識別風險：在ISO31000中，風險定義為[對達成目標之不確定性]，簡單說即是[造成目標不能達成的因素]

P:保護
以風險管理的角度(請以管理風險就是加速達成目標的角度來思考)，來進行保護
前面有說到風險為[造成目標不能達成的因素]，所以我們控制風險，理論上目標就可以達成，因為沒有干擾目標達成的因素了。
實務上的風險控制，不可能零風險，會視資源大小，決定控制風險的方式及手段，又分為：
1.接受風險(Retain)：接受風險的現狀，風險發生的損失是可以接受的(儘管可能破產)。
2.轉嫁風險(Transfer)：藉由風險轉嫁來來降低風險發生時之損失(買保險)
3.降低風險(Reduce)：藉由降低風險發生之機會或其重大衝擊。
4.避免風險(Avoid)：藉由停止從事產生風險之活動來避免風險(知道山有虎，就不要去了)

再根據每個控制風險的處理，擬定執行的手段。

D:偵測
主要用於偵測風險的發生，是事後得知，還是馬上得知，根據得知的時間，會影響後續應變及復原的計畫

R:應變
事情真的發生了，也被偵測到了，那要如何處理?
如前一篇所舉例：

勒索病毒的防治：事前用自動化偵測(EDR)，偵測立即反應，損傷小； 反之，不採用自動化偵測，人工偵測，發現中勒索病毒，再去重灌。 兩個方法沒有對錯，端看該資產的衝擊程度與長官的接受風險的程度，如果是非常重要的資產，勢必即時保護，如果是不重要的資產，可能就無所謂。

R:復原
核心思想是：要復原到哪一種狀態，復原的程度到多好。

最後，先放上個人情境，明日再說明其他情境。