价格报价软件开发公司FPX高级运营总监Gregory Blair表示,“有时候评估侧重于非常特定的应用程序,但是没有放眼整个基础设施,例如,评估可能只会检查保护数据库的应用程序,而没有检查整个计算控制,例如加密、防火墙、身份验证和授权等。”
5、未将IT风险评估纳入到企业评估
同样地,企业需要了解IT风险与所有其他风险的相互作用。通常,企业将IT风险视为自己的风险类别,而没有考虑其更广泛的影响。
SystemExperts的Johnson表示,“越来越多的风险意识企业意识到IT是其业务成功的组成部分,他们都在努力确保让IT参与到业务风险谈话中,很多企业都有跨职能团队,他们从整体来检查风险以更好地了解依存关系,这些团队会建议从业务的角度企业应该侧重的风险。”
6、没有进行评估和忘记评估
专家警告称,现在企业做的风险评估往往不够。而这是应对不断变化的威胁环境的唯一方法。Rook咨询公司安全顾问Luke Klink表示:“定期执行风险评估让企业管理人员可以有效地利用其安全预算。通过进行详细的风险评估,我们不再需要利用“遍地开花式、乞求式(spray and pray)的保护方法,而是以实际的方式执行真正的风险管理。”
现在最先进的企业正在按照NIST方法来进行持续监测,来更好地了解环境以及改进评估间隔。他表示,“这种方法提供了更好的风险可视性、响应准备程度,并最大限度地减少整体风险,在现实中,安全风险ing顾应该持续进行,甚至嵌入到企业的事件响应管理过程,每个事件都会触发高层次的风险评估。如果发现关键风险,企业将可以执行更详细的风险评估。”
7、执行以漏洞为中心的评估
当企业评估技术漏洞来确定风险时,他们往往忘记,数据本身的安全性或不安全性才是风险因素,而不是承载数据的系统。
Imperva公司安全战略主管Barry Shteiman表示,“风险评估通常是以漏洞为中心的,而不是以数据为中心,IT通常选择保护包含数据的平台,而没有真正了解系统中包含哪些数据,以及谁正在访问或者访问过这些数据。”
企业应该牢记,在内部网络基础设施上的漏洞风险因素带来的影响可能比不上访问IP和感染IP的用户带来的风险。
8、忘记衡量人的风险
Green Armor Solutions公司首席执行官Joseph Steinberg表示,同样地,企业必须记住,系统和软件漏洞只是风险评估的一个组件。没有考虑人类行为模式对风险的影响可能会导致最终风险评估结果无效。例如,风险评估可能会确认只有正确的人能够访问敏感的数据,然而,评估可能不会是否进行了评估员工培训来保护数据。
9、忘记考虑设备的物理安全性
当企业运行其评估时,经常被忽视的一个问题是物理安全性。设施的物理安全通常会直接影响内部的技术资产。物理安全性不仅影响着员工的安全、设备或硬拷贝数据资产的安全,而且还可能被用来植入秘密设备来允许攻击者远程发动攻击。
10、过于依赖评估工具
帮助企业持续监测IT资产的自动化工具不应该是风险评估的全部。因为有些风险必须要通过手动渗透测试深入挖掘才能够被发现。Rhino Security实验室量和创始人兼首席顾问Benjamin Caudill表示:“通常情况下,最重要的风险只能通过专门的手动分析被发现,例如网站的逻辑缺陷。首席信息安全官应该注意这个问题,因为过于依赖风险评估工具会给带来虚假的安全感,不能找出某些漏洞。”