在企業(yè)試圖對IT的安全作出更好的決策時�,最重要的就是IT風(fēng)險評估��。從信息安全的角度來講�,風(fēng)險評估是風(fēng)險評估對信息資產(chǎn)(即某事件或事物所具有的信息集)所面臨的威脅、存在的弱點��、造成的影響�,以及三者綜合作用所帶來風(fēng)險的可能性的評估。作為風(fēng)險管理的基礎(chǔ)����,風(fēng)險評估是組織確定信息安全需求的一個重要途徑,屬于組織信息安全管理體系策劃的過程����。然而,雖然企業(yè)進(jìn)行了風(fēng)險評估���,但他們經(jīng)常出現(xiàn)一些錯誤�����,從而大大降低了風(fēng)險評估的效果�。下面是企業(yè)需要避免的10個風(fēng)險評估錯誤。
1�、忘記評估第三方風(fēng)險
大多數(shù)IT風(fēng)險專家都認(rèn)為,現(xiàn)在大部分企業(yè)都沒有評估供應(yīng)商和其他合作伙伴的基礎(chǔ)設(shè)施的風(fēng)險���,而這些基礎(chǔ)設(shè)施通常會觸及企業(yè)最敏感的的數(shù)據(jù)����。
咨詢公司SystemExperts公司副總裁Brad Johnson表示����,“很多企業(yè)做得不夠的方面是管理與第三方供應(yīng)商的關(guān)系。當(dāng)企業(yè)沒有真正進(jìn)行其盡職調(diào)查(無論是在簽訂合同之前還是之后)��,他們勢必將錯過關(guān)鍵的細(xì)節(jié)信息����,這將提高風(fēng)險�����。舉例來說,客戶公司可能不知道其供應(yīng)商將其受規(guī)管的數(shù)據(jù)存儲在公共云中�。”
2����、評估過于量化
誠然,分析和數(shù)字對于風(fēng)險評估非常重要�。但企業(yè)需要了解,這個數(shù)字游戲并不需要過于追求完美�����,特別是當(dāng)涉及評估安全泄露事故的影響時��。
“對安全事故影響的評估可以讓企業(yè)更容易地討論和關(guān)注如何緩解風(fēng)險����,而不是花大量時間來討論這種影響是價值2000萬美元還是21000美元,”Tripwire公司首席技術(shù)官Dwayne Melancon表示�,“在你確定事故影響是災(zāi)難性的、令人痛苦的���,或者沒什么大不了的�����,你就可以很好地討論你想要花多少錢來緩解最嚴(yán)重的風(fēng)險���?����!?/span>
過度分析可能會拖垮整個評估過程�����,企業(yè)應(yīng)該避免花太久時間來進(jìn)行風(fēng)險分類等工作��。Citrix ShareFile的SaaS分部安全和合規(guī)性高級經(jīng)理Manny Landron表示�,還有些定性風(fēng)險因素����,企業(yè)需要想辦法納入評估中。 “過于狹隘的焦點����、采用嚴(yán)格的定量測量���、沒有一個框架��,以及沒有足夠的定期計劃的風(fēng)險評估都是企業(yè)需要避免的錯誤�。”
3��、評估沒有考慮業(yè)務(wù)背景
IT風(fēng)險評估完全是關(guān)于背景知識����,無論是上文提到的系統(tǒng)情況還是業(yè)務(wù)情況。如果企業(yè)沒有將漏洞和威脅加入到信息資產(chǎn)的背景知識中���,其對業(yè)務(wù)的重要性就不能真正反映在風(fēng)險評估中����。
大數(shù)據(jù)風(fēng)險分析公司Brinqa的Amad Fida表示�,“在評估風(fēng)險時,很多時候���,首席信息安全官缺乏對業(yè)務(wù)背景的了解�。換句話說����,他們需要詢問,‘什么數(shù)據(jù)被訪問了以及這它對業(yè)務(wù)的影響力?’沒有考慮業(yè)務(wù)方面的分析結(jié)果提供了一個技術(shù)觀點,而不是業(yè)務(wù)加技術(shù)的觀點��?���!?/span>
4、評估的目光過于短淺
防火墻管理公司FireMon的Jody Brazil表示����,這并沒有例外,大多數(shù)大型企業(yè)往往在其風(fēng)險評估中忽略關(guān)鍵資產(chǎn)和評估指標(biāo)����。他表示,“其中最常見的問題是識別漏洞為‘風(fēng)險’����,而沒有其他信息,例如可能提供對數(shù)據(jù)的訪問權(quán)限或者被利用�����,也可能將個人標(biāo)記為‘風(fēng)險’��,而沒有對特定風(fēng)險資產(chǎn)進(jìn)行標(biāo)記�����?���!?/span>
大多數(shù)企業(yè)沒有追蹤其基礎(chǔ)設(shè)施資產(chǎn)來很好地評估它們。更重要的是�,即使他們經(jīng)常評估的完整的數(shù)據(jù)集,但這通常是在單獨的孤島進(jìn)行�,使其難以了解相互依存關(guān)系。