在企业进行技术和业务决策时,适当的IT风险评估可以帮助企业创造巨大的价值。本文我们将讨论企业在风险评估过程中最常犯的五个错误。
Protiviti公司董事总经理Scott Laliberte表示,不幸的是,现在很多企业根本没有进行风险评估或者他们错将漏洞评估或渗透测试当做是风险评估。并且,在那些执行风险评估的企业中,很多企业没有根据威胁环境或业务模式的改变而改进风险评估。他表示,在这种情况下风险评估将会变得过时,而错过关键问题。
关于风险评估,首先要记住的是真正执行风险评估。其次是根据环境的变化,更新风险评估过程。但并不仅仅止于此,以下是最常被忽略的五个错误以及如何避免这些错误的方法:
1. 固有风险与剩余风险
根据Laliberte表示,很多执行风险评估的企业无法计算部署控制前的风险(被称为固有风险)以及部署控制后遗留下来的风险(被称为剩余风险)。
“他们经常直接处理剩余风险,”他表示,“通过对比固有风险和剩余风险,你可以看到需要被监控和执行的关键控制,以确保企业环境的安全。”
2.依赖性和数据流
CCSi公司安全服务主管兼首席信息安全官Joe Beal表示,在企业进行风险评估前,企业需要正确地认识与风险相关的实际资产。通常情况下,企业没能真正调查清楚其系统来发现服务或系统(防火墙内部和外部的系统)的不可预见的依赖关系。
“举例来说,你需要从网络角度来了解在正常运行状态下互联、数据流和系统行为,”Beal表示,“更为重要的事,在确定和识别真正安全风险的过程中,了解数据集的类型、大小和分类将发挥至关重要的作用。”
正如他所说,了解系统及其组件的各种输入和输出,将帮助企业有效地度量风险评估结果的真实有效性。
3.风险关乎业务
Laliberte认为,IT企业最常犯的风险评估错误之一是没有将业务线涵盖在评估过程中,以弄清楚IT对业务流程的影响。
“风险评估应该涵盖关键业务和IT资产,并考虑环境中关键威胁和漏洞的可能性和影响力,”他表示,“如果风险评估的结果没有说明对业务的影响,那么,降低风险的项目往往无法获得足够的资金或支持。”
Agiliance公司全球市场营销和产品副总裁Torsten George表示,企业需要更深入地进行风险评估,不仅需要让所有领导人参与进来,而且有关风险的词汇需要标准化,以便让所有人都理解。
“通常企业会允许不同业务部门建立自己的风险定义和术语,”他表示,“在整个企业汇总和评估风险时,这将会带来巨大的挑战。”
他建议使用集中化的风险登记册或目录(在业务部门利益相关者的帮助下制定)以更好地进行长期协作。
他表示:“使用共同的命名能够从不同业务部门收集风险数据,并最终更简单地聚合这些信息。”
4.不要推倒重来
George表示,在创建风险登记册和手机相关评估信息时,很多企业试图“推倒重来”“另辟蹊径”。
“企业应使用已经建立的风险登记册。企业经常试图从头开始建立自己的登记册,”他表示,“此外,企业还应应用可行的行业标准(例如ISO、NIST和COBIT),然后根据企业需求微调这些最佳做法。”
同样地,不要手动手机和处理数据,如果你能实现自动化操作的话。
“风险管理人员应该作为风险战略家,而不是数字统计员,”George表示,“企业可以利用软件来自动化数据收集、汇总、工作流程和生成报告。”
他表示,这样做可以让风险管理人员能够更专注于更深入的分析和工作。
5. 风险评估范围
为了进行彻底完全的评估,一些风险管理人员试图评估对所有资产的所有风险,以及对业务的所有威胁,这样做的问题是,他们将永远无法真正完成评估。
“企业应该对资产进行分类,将具有类似业务价值或者面临类似威胁的资产分为一组,然后分组进行风险评估,”他表示,“这将帮助企业从风险评估中获得最大价值。”
原文链接:http://safe.it168.com/a2012/0916/1398/000001398548.shtml