【IT168 編譯】在企業進行技術和業務決策時,適當的IT風險評估可以幫助企業創造巨大的價值。本文我們將討論企業在風險評估過程中最常犯的五個錯誤。
Protiviti公司董事總經理Scott Laliberte表示,不幸的是,現在很多企業根本沒有進行風險評估或者他們錯將漏洞評估或滲透測試當做是風險評估。並且,在那些執行風險評估的企業中,很多企業沒有根據威脅環境或業務模式的改變而改進風險評估。他表示,在這種情況下風險評估將會變得過時,而錯過關鍵問題。
關於風險評估,首先要記住的是真正執行風險評估。其次是根據環境的變化,更新風險評估過程。但並不僅僅止於此,以下是最常被忽略的五個錯誤以及如何避免這些錯誤的方法:
1. 固有風險與剩餘風險
根據Laliberte表示,很多執行風險評估的企業無法計算部署控制前的風險(被稱為固有風險)以及部署控制後遺留下來的風險(被稱為剩餘風險)。
「他們經常直接處理剩餘風險,」他表示,「通過對比固有風險和剩餘風險,你可以看到需要被監控和執行的關鍵控制,以確保企業環境的安全。」
2.依賴性和數據流
CCSi公司安全服務主管兼首席信息安全官Joe Beal表示,在企業進行風險評估前,企業需要正確地認識與風險相關的實際資產。通常情況下,企業沒能真正調查清楚其系統來發現服務或系統(防火牆內部和外部的系統)的不可預見的依賴關係。
「舉例來說,你需要從網絡角度來了解在正常運行狀態下互聯、數據流和系統行為,」Beal表示,「更為重要的事,在確定和識別真正安全風險的過程中,了解數據集的類型、大小和分類將發揮至關重要的作用。」
正如他所說,了解系統及其組件的各種輸入和輸出,將幫助企業有效地度量風險評估結果的真實有效性。
3.風險關乎業務
Laliberte認為,IT企業最常犯的風險評估錯誤之一是沒有將業務線涵蓋在評估過程中,以弄清楚IT對業務流程的影響。
「風險評估應該涵蓋關鍵業務和IT資產,並考慮環境中關鍵威脅和漏洞的可能性和影響力,」他表示,「如果風險評估的結果沒有說明對業務的影響,那麼,降低風險的項目往往無法獲得足夠的資金或支持。」
Agiliance公司全球市場營銷和產品副總裁Torsten George表示,企業需要更深入地進行風險評估,不僅需要讓所有領導人參與進來,而且有關風險的詞彙需要標準化,以便讓所有人都理解。
「通常企業會允許不同業務部門建立自己的風險定義和術語,」他表示,「在整個企業匯總和評估風險時,這將會帶來巨大的挑戰。」
他建議使用集中化的風險登記冊或目錄(在業務部門利益相關者的幫助下制定)以更好地進行長期協作。
他表示:「使用共同的命名能夠從不同業務部門收集風險數據,並最終更簡單地聚合這些信息。」
4.不要推倒重來
George表示,在創建風險登記冊和手機相關評估信息時,很多企業試圖「推倒重來」「另闢蹊徑」。
「企業應使用已經建立的風險登記冊。企業經常試圖從頭開始建立自己的登記冊,」他表示,「此外,企業還應應用可行的行業標準(例如ISO、NIST和COBIT),然後根據企業需求微調這些最佳做法。」
同樣地,不要手動手機和處理數據,如果你能實現自動化操作的話。
「風險管理人員應該作為風險戰略家,而不是數字統計員,」George表示,「企業可以利用軟體來自動化數據收集、匯總、工作流程和生成報告。」
他表示,這樣做可以讓風險管理人員能夠更專注於更深入的分析和工作。
5. 風險評估範圍
為了進行徹底完全的評估,一些風險管理人員試圖評估對所有資產的所有風險,以及對業務的所有威脅,這樣做的問題是,他們將永遠無法真正完成評估。
「企業應該對資產進行分類,將具有類似業務價值或者面臨類似威脅的資產分為一組,然後分組進行風險評估,」他表示,「這將幫助企業從風險評估中獲得最大價值。」