Jack Jones: Spiel mit Zahlen

2013-12-30  |  Comebuy News

Wenn jemand, dass Jack Jones schrieb das Buch wie sagt man Risiken der Informationstechnologie denken, meinen sie es wörtlich. Er schuf den Faktor Analyse der Informationen Risiko (Messe), die Sicherheitsexperten hat eine Methode zur Definition und Analyse von Risiken in einer Weise, die mehr konsistent und verständlich war.

Comebuy Verwandte Artikel: Hacker erstellt 1,6 m Sicherheitsbedrohungen letzten YearVista 20 % weniger Flecken als XP in 2007UK Cyber Sicherheit Fähigkeiten erforderlich sind "völlig unzureichend", sagt früherer MinisterChecklist für eine erfolgreiche Sicherheit AssessmentWikileaks behauptet Stratfor-e-Mails sind Smoking Gun von subversiver Aktivitäten

Die 2012-CSO-Kompass Award-Preisträger

Das diesjährige CSO Kompass Preisträger zeigen den Weg zum Risikomanagement, die integrativer-- und genauer ist

Jack Jones: Spiel mit Zahlen

Shelley Stewart: Betriebswirtschaftliche Sicht

Kristin Lovejoy: Enabling innovation

Dick Parry: Kultureller Wandel

Rick Kelly: Wert-Fokus

Eric Cowperthwaite: Verbinde die Punkte

Jones begann in der Technologie in den frühen 80ern vor einer Migration über nach der Sicherheitsaspekt davon. Er verbrachte vier Jahre für eine Regierungsbehörde Intelligenz und hat mehr als acht Jahre Erfahrung als ein CISO, fünf davon bei einem Fortune-100-Finanzdienstleistungs-Unternehmen.

[Lesen Sie mehr über die Messe in es Risiko-Bewertung Frameworks: Praxiserfahrung]

Messe kam zustande, weil einem ungünstigen Moment hatte Jones, als er bei Nationwide Insurance arbeitete. "Ich hatte gerade als neuer CISO und ein leitender Angestellter fragte mich: 'wie viel Risiko haben wir?'", sagt Jones, wer ist jetzt CISO und senior Vice President IT für Huntington Bank riskieren. "Die beste Antwort, die ich hatte war,"Viel,"und ich wusste, dass das ihm entsprechen würde nicht, weil es mich nicht befriedigen."

Also Jones verließ das Treffen und suchte nach einer Möglichkeit, diese Frage zu beantworten. "Ich dachte, jemand es heraus gefunden haben, muss", sagt er. "Aber keines der Verfahren zur Risikobewertung ich statt Wasser betrachtete." Diese Systeme bieten kein solides Verständnis von was für ein Risiko ist und welche Faktoren es fahren. Weil die nicht gäbe, gab es keine gemeinsame, akzeptierte Vokabular für die Messung und Analyse von Risiko. Dies führte zu einer Marginalisierung der Sicherheit, weil Führungskräfte konsistente und vergleichbare Informationen über Risiko, auch von innerhalb ihrer eigenen Organisationen bekommen.

Um das System zu schaffen, die, das er suchte, hatte Jones, eine Menge sehr gut angenommene Ideen über Sicherheit und Risiko erneut zu prüfen. "Ich beschloss, beiseite zu legen, was ich im Laufe der Jahre gelernt hatte, und das gab mir die Freiheit, eine Menge vorgefassten Ideen herauszufordern" sagt er. "Ich hasse es, mich zu widerlegen, aber ich fand, dass das eine Menge Tat."

Eine Sache, die er fand, dass eine Menge Leute das Wort "Risiko" aber was sie wollte war "Schwachstelle." Eine Funktion wäre mit hohem Risiko gelten, weil es sehr verletzlich war, wenn ein Angriff geschehen sollte. Jones wollte eine System, die auch in Betracht die Wahrscheinlichkeit, dass ein bestimmtes Ereignis und was ihre Auswirkungen wäre ziehen würde, wenn es passiert ist. Wenn Sie zu durchbrechen, drei Schutzschichten, eine Schwäche auszunutzen und selbst dann kann es viel nicht wirklich beeinflussen, sollte nicht sie mit hohem Risiko, betrachtet auch wenn es relativ leicht zu machen.

Messe wurde auch entwickelt, um leicht verständlich--"keine hochtrabend Mathe" werden, sagt er. Auf diese Weise können die Ergebnisse der Analyse mit geteilt werden Menschen, die nicht von Sicherheitsexperten und Analyse von anderen Organisationen gegenüber, wenn sein müssen.

"Es ist eine herrschende Doktrin, dass quantitative Risikoanalyse furchtbar kompliziert und zeitaufwändig sein muss", sagt er. "Es muss nicht sein. Das Feedback, das ich bekomme ist, dass FAIR ziemlich intuitiv zu bedienen sein kann."

« Back