在企业试图对IT的安全作出更好的决策时,最重要的就是IT风险评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。
从信息安全的角度来讲,风险评估是对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。然而,虽然企业进行了风险评估,但他们经常出现一些错误,从而大大降低了风险评估的效果。下面是企业需要避免的10个风险评估错误。
1. 忘记评估第三方风险
大多数IT风险专家都认为,现在大部分企业都没有评估供应商和其他合作伙伴的基础设施的风险,而这些基础设施通常会触及企业最敏感的的数据。
咨询公司SystemExperts公司副总裁Brad Johnson表示,“很多企业做得不够的方面是管理与第三方供应商的关系。当企业没有真正进行其尽职调查(无论是在签订合同之前还是之后),他们势必将错过关键的细节信息,这将提高风险。举例来说,客户公司可能不知道其供应商将其受规管的数据存储在公共云中。”
2.评估过于量化
诚然,分析和数字对于风险评估非常重要。但企业需要了解,这个数字游戏并不需要过于追求完美,特别是当涉及评估安全泄露事故的影响时。
“对安全事故影响的评估可以让企业更容易地讨论和关注如何缓解风险,而不是花大量时间来讨论这种影响是价值2000万美元还是21000美元,”Tripwire公司首席技术官Dwayne Melancon表示,“在你确定事故影响是灾难性的、令人痛苦的,或者没什么大不了的,你就可以很好地讨论你想要花多少钱来缓解最严重的风险。”
过度分析可能会拖垮整个评估过程,企业应该避免花太久时间来进行风险分类等工作。CITrix ShareFile的SaaS分部安全和合规性高级经理Manny Landron表示,还有些定性风险因素,企业需要想办法纳入评估中。 “过于狭隘的焦点、采用严格的定量测量、没有一个框架,以及没有足够的定期计划的风险评估都是企业需要避免的错误。”
3. 未将IT风险评估纳入到企业评估
同样地,企业需要了解IT风险与所有其他风险的相互作用。通常,企业将IT风险视为自己的风险类别,而没有考虑其更广泛的影响。
SystemExperts的Johnson表示,“越来越多的风险意识企业意识到IT是其业务成功的组成部分,他们都在努力确保让IT参与到业务风险谈话中,很多企业都有跨职能团队,他们从整体来检查风险以更好地了解依存关系,这些团队会建议从业务的角度企业应该侧重的风险。”
4.评估的目光过于短浅
防火墙管理公司FireMon的Jody Brazil表示,这并没有例外,大多数大型企业往往在其风险评估中忽略关键资产和评估指标。他表示,“其中最常见的问题是识别漏洞为‘风险’,而没有其他信息,例如可能提供对数据的访问权限或者被利用,也可能将个人标记为‘风险’,而没有对特定风险资产进行标记。”
大多数企业没有追踪其基础设施资产来很好地评估它们。更重要的是,即使他们经常评估的完整的数据集,但这通常是在单独的孤岛进行,使其难以了解相互依存关系。
价格报价软件开发公司FPX高级运营总监Gregory Blair表示,“有时候评估侧重于非常特定的应用程序,但是没有放眼整个基础设施,例如,评估可能只会检查保护数据库的应
用程序,而没有检查整个计算控制,例如加密、防火墙、身份验证和授权等。”
5. 评估没有考虑业务背景
IT风险评估完全是关于背景知识,无论是上文提到的系统情况还是业务情况。如果企业没有将漏洞和威胁加入到信息资产的背景知识中,其对业务的重要性就不能真正反映在风险评估中。
大数据风险分析公司Brinqa的Amad Fida表示,“在评估风险时,很多时候,首席信息安全官缺乏对业务背景的了解。换句话说,他们需要询问,‘什么数据被访问了以及这它对业务的影响力?’没有考虑业务方面的分析结果提供了一个技术观点,而不是业务加技术的观点。”