Устроено это так: приемлются все риски, кроме максимального, а он признается необрабатываемым.
Т.е. каковы бы ни были последствия и вероятность реализации некоторой угрозы, о ней не стоит беспокоиться, если существует угроза с бо́льшими последствиями и/или вероятностью.
Такое оценивание риска в сравнении с другим риском, а не в сравнении с отсутствием риска - это серьезная бага, а не забавный колорит. Но архетипичная, безусловно.
На примерах.
Да какой смысл складывать зеркала, раз все равно могут угнать!
Если угона не случится, целое зеркало имеет преимущества перед оторванным
Зачем же учить алгебру, если человек не вечен!
Последствия знания/незнания ближе.
А нужно ли запирать квартиру, ведь правительство все равно ограбит!
Правительство не намусорит.
Стоит ли вставлять дисклаймер, который не способен остановить злоумышленника!
Остановленные неумышленники - это тоже предотвращенные ущербы.
Нужно ли выявлять экстремистскую деятельность в Интернете, покуда у экстремистов есть другие каналы координации!
Что-то лучше, чем ничего.
Ну, на кой рассматривать угрозы прикладным программам и системному ПО, если угрозы безопасности ПДн более жизненны!
Неактуальность угроз ППО/СПО устанавливается из их рассмотрения, а не из рассмотрения угроз БПДн.
И еще.
Оценивая риски, отличные от пушного зверька, по отношению к пушному зверьку, Вы их неминуемо занизите, это известный эффект.
Т.е. каковы бы ни были последствия и вероятность реализации некоторой угрозы, о ней не стоит беспокоиться, если существует угроза с бо́льшими последствиями и/или вероятностью.
Такое оценивание риска в сравнении с другим риском, а не в сравнении с отсутствием риска - это серьезная бага, а не забавный колорит. Но архетипичная, безусловно.
На примерах.
Да какой смысл складывать зеркала, раз все равно могут угнать!
Если угона не случится, целое зеркало имеет преимущества перед оторванным
Зачем же учить алгебру, если человек не вечен!
Последствия знания/незнания ближе.
А нужно ли запирать квартиру, ведь правительство все равно ограбит!
Правительство не намусорит.
Стоит ли вставлять дисклаймер, который не способен остановить злоумышленника!
Остановленные неумышленники - это тоже предотвращенные ущербы.
Нужно ли выявлять экстремистскую деятельность в Интернете, покуда у экстремистов есть другие каналы координации!
Что-то лучше, чем ничего.
Ну, на кой рассматривать угрозы прикладным программам и системному ПО, если угрозы безопасности ПДн более жизненны!
Неактуальность угроз ППО/СПО устанавливается из их рассмотрения, а не из рассмотрения угроз БПДн.
И еще.
Оценивая риски, отличные от пушного зверька, по отношению к пушному зверьку, Вы их неминуемо занизите, это известный эффект.
6 комментариев:
Отлично, спасибо.
+ 1, добавить нечего.
Последняя фраза -прямо краткая теория относительности рисков :-)
Супер
Знаешь, я тут подумал. Такая бага проистекает от избыточности мер, предлагаемых для минимизации риска.
Владимир, Игорь, спасибо!
Алексею Волкову: еще в начале десятого года пообещал (Гордейчику?) отстреляться по ИБ-консюмеризму, что-то до сих пор воз и ныне.
И буде оно, раз кому не разумеешь :)
Отправить комментарий