從信息安全的角度來講����,風險評估是對信息資產(即某事件或事物所具有的信息集)所面臨的威脅、存在的弱點���、造成的影響���,以及三者綜合作用所帶來風險的可能性的評估。作為風險管理的基礎��,風險評估是組織確定信息安全需求的一個重要途徑�����,屬于組織信息安全管理體系策劃的過程��。在企業(yè)試圖對IT的安全作出更好的決策時����,最重要的就是IT風險評估。然而��,雖然企業(yè)進行了風險評估����,但他們經常出現一些錯誤,從而大大降低了風險評估的效果����。下面是企業(yè)需要避免的10個風險評估錯誤。
1. 忘記評估第三方風險
大多數IT風險專家都認為��,現在大部分企業(yè)都沒有評估供應商和其他合作伙伴的基礎設施的風險����,而這些基礎設施通常會觸及企業(yè)最敏感的的數據。
咨詢公司SystemExperts公司副總裁Brad Johnson表示�,“很多企業(yè)做得不夠的方面是管理與第三方供應商的關系。當企業(yè)沒有真正進行其盡職調查(無論是在簽訂合同之前還是之后)�,他們勢必將錯過關鍵的細節(jié)信息,這將提高風險��。舉例來說����,客戶公司可能不知道其供應商將其受規(guī)管的數據存儲在公共云中�?����!?/span>
2.評估過于量化
誠然�,分析和數字對于風險評估非常重要。但企業(yè)需要了解����,這個數字游戲并不需要過于追求完美,特別是當涉及評估安全泄露事故的影響時���。
“對安全事故影響的評估可以讓企業(yè)更容易地討論和關注如何緩解風險��,而不是花大量時間來討論這種影響是價值2000萬美元還是21000美元���,”Tripwire公司首席技術官Dwayne Melancon表示,“在你確定事故影響是災難性的����、令人痛苦的����,或者沒什么大不了的���,你就可以很好地討論你想要花多少錢來緩解最嚴重的風險?���!?/span>
過度分析可能會拖垮整個評估過程,企業(yè)應該避免花太久時間來進行風險分類等工作�����。CITrix ShareFile的SaaS分部安全和合規(guī)性高級經理Manny Landron表示���,還有些定性風險因素�����,企業(yè)需要想辦法納入評估中��。 “過于狹隘的焦點��、采用嚴格的定量測量�、沒有一個框架���,以及沒有足夠的定期計劃的風險評估都是企業(yè)需要避免的錯誤�。”
3.評估的目光過于短淺
防火墻管理公司FireMon的Jody Brazil表示���,這并沒有例外����,大多數大型企業(yè)往往在其風險評估中忽略關鍵資產和評估指標����。他表示,“其中最常見的問題是識別漏洞為‘風險’�����,而沒有其他信息��,例如可能提供對數據的訪問權限或者被利用�����,也可能將個人標記為‘風險’�����,而沒有對特定風險資產進行標記�。”
大多數企業(yè)沒有追蹤其基礎設施資產來很好地評估它們����。更重要的是,即使他們經常評估的完整的數據集�,但這通常是在單獨的孤島進行,使其難以了解相互依存關系����。
價格報價軟件開發(fā)公司FPX高級運營總監(jiān)Gregory Blair表示,“有時候評估側重于非常特定的應用程序����,但是沒有放眼整個基礎設施,例如����,評估可能只會檢查保護數據庫的應用程序,而沒有檢查整個計算控制�,例如加密、防火墻���、身份驗證和授權等����。”
4. 未將IT風險評估納入到企業(yè)評估
同樣地�����,企業(yè)需要了解IT風險與所有其他風險的相互作用��。通常���,企業(yè)將IT風險視為自己的風險類別����,而沒有考慮其更廣泛的影響���。
SystemExperts的Johnson表示���,“越來越多的風險意識企業(yè)
意識到IT是其業(yè)務成功的組成部分,他們都在努力確保讓IT參與到業(yè)務風險談話中����,很多企業(yè)都有跨職能團隊���,他們從整體來檢查風險以更好地了解依存關系,這些團隊會建議從業(yè)務的角度企業(yè)應該側重的風險��?��!?/span>
5. 評估沒有考慮業(yè)務背景
IT風險評估完全是關于背景知識,無論是上文提到的系統情況還是業(yè)務情況��。如果企業(yè)沒有將漏洞和威脅加入到信息資產的背景知識中��,其對業(yè)務的重要性就不能真正反映在風險評估中�。
大數據風險分析公司Brinqa的Amad Fida表示,“在評估風險時��,很多時候����,首席信息安全官缺乏對業(yè)務背景的了解。換句話說�,他們需要詢問,‘什么數據被訪問了以及這它對業(yè)務的影響力?’沒有考慮業(yè)務方面的分析結果提供了一個技術觀點�,而不是業(yè)務加技術的觀點。”