他们在上周对澳大利亚黄金海岸的AusCERT网络安全会议上说：“他们谈论的是飞机和飞机坠毁以及黑匣子记录器，我从来没有真正弄明白这是什么。”

“我认为这导致了一种考虑风险的风格......我认为这种风格并不恰当。”

他说，考虑你的飞机业务意味着你正在考虑像山一样的风险。你可以通过转向它或在它周围避开风险山。

平克顿更喜欢将您的业务视为一艘船。相同的情况是风险专家告诉您，为了消除风险，您需要将您的船从水中移走并将其置于高地。

“等一下。如果我将我的船从海洋中取出并放在高地上，那么现在我所拥有的是一个倾斜的仓库，通道很糟糕，”他说。

“你的企业需要被风险所笼罩，以便做它所做的事情，管理风险并不仅仅是去除它。它是关于救生衣，培训，旅程，以及你的旅程类型”重新制作，以及你所拥有的船只的类型，以及它是否适合你将要进行的旅程类型。“

平克顿的核心信息是，风险实际上与风险偏好有关 - 这是你应该衡量和定义的。

您需要使用风险矩阵等工具来识别和评估风险。在此之后，您需要优先考虑如何通过分析缓解成本以及发生的不良事件的影响来解决每个风险。

风险可能具有潜在的灾难性，但不太可能发生在组织的保险公司身上。

或者坏事可能在其潜在影响方面如此微小，但成本太高以至于减少它根本不值得。

“风险不是找到和解决你组织面临的所有问题，”平克顿说。

“这是关于承认你没有时间，金钱或资源来解决所有问题，然后创造一个可辩护的立场和理由 - 不只是为了你做的事情，而是为你的事情提供一些理由决定不这样做。“

还可以根据修复所需的工作量，甚至所需的时间范围来分析风险。尽管坏事的潜在影响可能不那么大，但可能值得先处理一些快速，低调的果实。

“风险偏好会随着时间的推移而在您业务生命的不同阶段发生变化，”平克顿说。

所有这些都让网络风险的人大为惊讶。

平克顿说：“他们提出了一系列事情，他们认为，企业决定对此无所作为，他们认为这是因为该组织不了解风险。”

“但通常情况并非如此，因为网络人员不了解组织，并且不了解这些风险，在企业争吵的其他事情的背景下，并没有真正列出要做的事情。 “。

他说，在大多数组织中，无论是否被承认，都有一个概念性的虚线，即你所做的事情与你只是放入风险登记册并标记为可接受的东西之间的区别。

然而，组织认为其风险偏好与其实践意味着什么之间通常存在差异。组织总是说他们的风险偏好很低，但平克顿指出，它往往是非常不同的。

“伙计，我已经看过你过去三年的最新报告。如果你的风险偏好是一项运动，那就像裸基地跳跃，”他说。