在企業(yè)試圖對IT的安全作出更好的決策時(shí)���,最重要的就是IT風(fēng)險(xiǎn)評估���。從信息安全的角度來講,風(fēng)險(xiǎn)評估是風(fēng)險(xiǎn)評估對信息資產(chǎn)(即某事件或事物所具有的信息集)所面臨的威脅�����、存在的弱點(diǎn)���、造成的影響�����,以及三者綜合作用所帶來風(fēng)險(xiǎn)的可能性的評估���。作為風(fēng)險(xiǎn)管理的基礎(chǔ),風(fēng)險(xiǎn)評估是組織確定信息安全需求的一個(gè)重要途徑��,屬于組織信息安全管理體系策劃的過程�。然而,雖然企業(yè)進(jìn)行了風(fēng)險(xiǎn)評估��,但他們經(jīng)常出現(xiàn)一些錯(cuò)誤��,從而大大降低了風(fēng)險(xiǎn)評估的效果�����。下面是企業(yè)需要避免的10個(gè)風(fēng)險(xiǎn)評估錯(cuò)誤���。
1��、忘記評估第三方風(fēng)險(xiǎn)
大多數(shù)IT風(fēng)險(xiǎn)專家都認(rèn)為�����,現(xiàn)在大部分企業(yè)都沒有評估供應(yīng)商和其他合作伙伴的基礎(chǔ)設(shè)施的風(fēng)險(xiǎn)��,而這些基礎(chǔ)設(shè)施通常會(huì)觸及企業(yè)最敏感的的數(shù)據(jù)���。
咨詢公司SystemExperts公司副總裁Brad Johnson表示�����,“很多企業(yè)做得不夠的方面是管理與第三方供應(yīng)商的關(guān)系�。當(dāng)企業(yè)沒有真正進(jìn)行其盡職調(diào)查(無論是在簽訂合同之前還是之后)�����,他們勢必將錯(cuò)過關(guān)鍵的細(xì)節(jié)信息�,這將提高風(fēng)險(xiǎn)。舉例來說�����,客戶公司可能不知道其供應(yīng)商將其受規(guī)管的數(shù)據(jù)存儲在公共云中��?��!?/span>
2���、評估過于量化
誠然,分析和數(shù)字對于風(fēng)險(xiǎn)評估非常重要�����。但企業(yè)需要了解,這個(gè)數(shù)字游戲并不需要過于追求完美�����,特別是當(dāng)涉及評估安全泄露事故的影響時(shí)��。
“對安全事故影響的評估可以讓企業(yè)更容易地討論和關(guān)注如何緩解風(fēng)險(xiǎn)��,而不是花大量時(shí)間來討論這種影響是價(jià)值2000萬美元還是21000美元�,”Tripwire公司首席技術(shù)官Dwayne Melancon表示�����,“在你確定事故影響是災(zāi)難性的�����、令人痛苦的�,或者沒什么大不了的,你就可以很好地討論你想要花多少錢來緩解最嚴(yán)重的風(fēng)險(xiǎn)�。”
過度分析可能會(huì)拖垮整個(gè)評估過程��,企業(yè)應(yīng)該避免花太久時(shí)間來進(jìn)行風(fēng)險(xiǎn)分類等工作。Citrix ShareFile的SaaS分部安全和合規(guī)性高級經(jīng)理Manny Landron表示��,還有些定性風(fēng)險(xiǎn)因素���,企業(yè)需要想辦法納入評估中����。 “過于狹隘的焦點(diǎn)�、采用嚴(yán)格的定量測量、沒有一個(gè)框架�,以及沒有足夠的定期計(jì)劃的風(fēng)險(xiǎn)評估都是企業(yè)需要避免的錯(cuò)誤?�!?/span>
3��、評估沒有考慮業(yè)務(wù)背景
IT風(fēng)險(xiǎn)評估完全是關(guān)于背景知識�����,無論是上文提到的系統(tǒng)情況還是業(yè)務(wù)情況��。如果企業(yè)沒有將漏洞和威脅加入到信息資產(chǎn)的背景知識中��,其對業(yè)務(wù)的重要性就不能真正反映在風(fēng)險(xiǎn)評估中���。
大數(shù)據(jù)風(fēng)險(xiǎn)分析公司Brinqa的Amad Fida表示�����,“在評估風(fēng)險(xiǎn)時(shí)����,很多時(shí)候,首席信息安全官缺乏對業(yè)務(wù)背景的了解�����。換句話說�,他們需要詢問�,‘什么數(shù)據(jù)被訪問了以及這它對業(yè)務(wù)的影響力?’沒有考慮業(yè)務(wù)方面的分析結(jié)果提供了一個(gè)技術(shù)觀點(diǎn),而不是業(yè)務(wù)加技術(shù)的觀點(diǎn)���?!?/span>
4����、評估的目光過于短淺
防火墻管理公司FireMon的Jody Brazil表示,這并沒有例外�����,大多數(shù)大型企業(yè)往往在其風(fēng)險(xiǎn)評估中忽略關(guān)鍵資產(chǎn)和評估指標(biāo)。他表示�����,“其中最常見的問題是識別漏洞為‘風(fēng)險(xiǎn)’���,而沒有其他信息�����,例如可能提供對數(shù)據(jù)的訪問權(quán)限或者被利用�,也可能將個(gè)人標(biāo)記為‘風(fēng)險(xiǎn)’���,而沒有對特定風(fēng)險(xiǎn)資產(chǎn)進(jìn)行標(biāo)記��?��!?/span>
大多數(shù)企業(yè)沒有追蹤其基礎(chǔ)設(shè)施資產(chǎn)來很好地評估它們。更重要的是��,即使他們經(jīng)常評估的完整的數(shù)據(jù)集,但這通常是在單獨(dú)的孤島進(jìn)行����,使其難以了解相互依存關(guān)系。