在企業(yè)試圖對(duì)IT的安全作出更好的決策時(shí),最重要的就是IT風(fēng)險(xiǎn)評(píng)估。作為風(fēng)險(xiǎn)管理的基礎(chǔ),風(fēng)險(xiǎn)評(píng)估是組織確定信息安全需求的一個(gè)重要途徑,屬于組織信息安全管理體系策劃的過程。從信息安全的角度來講,風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)評(píng)估對(duì)信息資產(chǎn)(即某事件或事物所具有的信息集)所面臨的威脅、存在的弱點(diǎn)、造成的影響,以及三者綜合作用所帶來風(fēng)險(xiǎn)的可能性的評(píng)估。
然而,雖然企業(yè)進(jìn)行了風(fēng)險(xiǎn)評(píng)估,但他們經(jīng)常出現(xiàn)一些錯(cuò)誤,從而大大降低了風(fēng)險(xiǎn)評(píng)估的效果。下面是企業(yè)需要避免的10個(gè)風(fēng)險(xiǎn)評(píng)估錯(cuò)誤。
1、忘記評(píng)估第三方風(fēng)險(xiǎn)
大多數(shù)IT風(fēng)險(xiǎn)專家都認(rèn)為,現(xiàn)在大部分企業(yè)都沒有評(píng)估供應(yīng)商和其他合作伙伴的基礎(chǔ)設(shè)施的風(fēng)險(xiǎn),而這些基礎(chǔ)設(shè)施通常會(huì)觸及企業(yè)最敏感的的數(shù)據(jù)。
咨詢公司SystemExperts公司副總裁Brad Johnson表示,“很多企業(yè)做得不夠的方面是管理與第三方供應(yīng)商的關(guān)系。當(dāng)企業(yè)沒有真正進(jìn)行其盡職調(diào)查(無論是在簽訂合同之前還是之后),他們勢(shì)必將錯(cuò)過關(guān)鍵的細(xì)節(jié)信息,這將提高風(fēng)險(xiǎn)。舉例來說,客戶公司可能不知道其供應(yīng)商將其受規(guī)管的數(shù)據(jù)存儲(chǔ)在公共云中?!?/span>
2、評(píng)估過于量化
誠然,分析和數(shù)字對(duì)于風(fēng)險(xiǎn)評(píng)估非常重要。但企業(yè)需要了解,這個(gè)數(shù)字游戲并不需要過于追求完美,特別是當(dāng)涉及評(píng)估安全泄露事故的影響時(shí)。
“對(duì)安全事故影響的評(píng)估可以讓企業(yè)更容易地討論和關(guān)注如何緩解風(fēng)險(xiǎn),而不是花大量時(shí)間來討論這種影響是價(jià)值2000萬美元還是21000美元,”Tripwire公司首席技術(shù)官Dwayne Melancon表示,“在你確定事故影響是災(zāi)難性的、令人痛苦的,或者沒什么大不了的,你就可以很好地討論你想要花多少錢來緩解最嚴(yán)重的風(fēng)險(xiǎn)?!?/span>
過度分析可能會(huì)拖垮整個(gè)評(píng)估過程,企業(yè)應(yīng)該避免花太久時(shí)間來進(jìn)行風(fēng)險(xiǎn)分類等工作。Citrix ShareFile的SaaS分部安全和合規(guī)性高級(jí)經(jīng)理Manny Landron表示,還有些定性風(fēng)險(xiǎn)因素,企業(yè)需要想辦法納入評(píng)估中。 “過于狹隘的焦點(diǎn)、采用嚴(yán)格的定量測(cè)量、沒有一個(gè)框架,以及沒有足夠的定期計(jì)劃的風(fēng)險(xiǎn)評(píng)估都是企業(yè)需要避免的錯(cuò)誤?!?/span>
3、評(píng)估沒有考慮業(yè)務(wù)背景
IT風(fēng)險(xiǎn)評(píng)估完全是關(guān)于背景知識(shí),無論是上文提到的系統(tǒng)情況還是業(yè)務(wù)情況。如果企業(yè)沒有將漏洞和威脅加入到信息資產(chǎn)的背景知識(shí)中,其對(duì)業(yè)務(wù)的重要性就不能真正反映在風(fēng)險(xiǎn)評(píng)估中。
大數(shù)據(jù)風(fēng)險(xiǎn)分析公司Brinqa的Amad Fida表示,“在評(píng)估風(fēng)險(xiǎn)時(shí),很多時(shí)候,首席信息安全官缺乏對(duì)業(yè)務(wù)背景的了解。換句話說,他們需要詢問,‘什么數(shù)據(jù)被訪問了以及這它對(duì)業(yè)務(wù)的影響力?’沒有考慮業(yè)務(wù)方面的分析結(jié)果提供了一個(gè)技術(shù)觀點(diǎn),而不是業(yè)務(wù)加技術(shù)的觀點(diǎn)。”
4、評(píng)估的目光過于短淺
防火墻管理公司FireMon的Jody Brazil表示,這并沒有例外,大多數(shù)大型企業(yè)往往在其風(fēng)險(xiǎn)評(píng)估中忽略關(guān)鍵資產(chǎn)和評(píng)估指標(biāo)。他表示,“其中最常見的問題是識(shí)別漏洞為‘風(fēng)險(xiǎn)’,而沒有其他信息,例如可能提供對(duì)數(shù)據(jù)的訪問權(quán)限或者被利用,也可能將個(gè)人標(biāo)記為‘風(fēng)險(xiǎn)’,而沒有對(duì)特定風(fēng)險(xiǎn)資產(chǎn)進(jìn)行標(biāo)記?!?/span>
大多數(shù)企業(yè)沒有追蹤其基礎(chǔ)設(shè)施資產(chǎn)來很好地評(píng)估它們。更重要的是,即使他們經(jīng)常評(píng)估的完整的數(shù)據(jù)集,但這通常是在單獨(dú)的孤島進(jìn)行,使其難以了解相互依存關(guān)系。
價(jià)格報(bào)價(jià)軟件開發(fā)公司FPX高級(jí)運(yùn)營總監(jiān)Gregory Blair表示,“有時(shí)候評(píng)估側(cè)重于非常特定的應(yīng)用程序,但是沒有放眼整個(gè)基礎(chǔ)設(shè)施,例如,評(píng)估可能只會(huì)檢查保護(hù)數(shù)據(jù)庫的應(yīng)用程序,而沒有檢查整個(gè)計(jì)算控制,例如加密、防火墻、