企業在IT風險評估中常見的十大錯誤

在企業試圖對IT的安全作出更好的決策時，最重要的就是IT風險評估。然而，雖然企業進行了風險評估，但他們經常出現一些錯誤，從而大大降低了風險評估的效果。下面是企業需要避免的10個風險評估錯誤。

1. 忘記評估第三方風險

大多數IT風險專家都認為，現在大部分企業都沒有評估供應商和其他合作伙伴的基礎設施的風險，而這些基礎設施通常會觸及企業最敏感的的數據。

咨詢公司SystemExperts公司副總裁Brad Johnson表示，“很多企業做得不夠的方面是管理與第三方供應商的關系。當企業沒有真正進行其盡職調查(無論是在簽訂合同之前還是之后)，他們勢必將錯過關鍵的細節信息，這將提高風險。舉例來說，客戶公司可能不知道其供應商將其受規管的數據存儲在公共云中。”

2.評估過于量化

誠然，分析和數字對于風險評估非常重要。但企業需要了解，這個數字游戲并不需要過于追求完美，特別是當涉及評估安全泄露事故的影響時。

“對安全事故影響的評估可以讓企業更容易地討論和關注如何緩解風險，而不是花大量時間來討論這種影響是價值2000萬美元還是21000美元，”Tripwire公司首席技術官Dwayne Melancon表示，“在你確定事故影響是災難性的、令人痛苦的，或者沒什么大不了的，你就可以很好地討論你想要花多少錢來緩解最嚴重的風險。”

過度分析可能會拖垮整個評估過程，企業應該避免花太久時間來進行風險分類等工作。Citrix ShareFile的SaaS分部安全和合規性高級經理Manny Landron表示，還有些定性風險因素，企業需要想辦法納入評估中。 “過于狹隘的焦點、采用嚴格的定量測量、沒有一個框架，以及沒有足夠的定期計劃的風險評估都是企業需要避免的錯誤。”

3.評估的目光過于短淺

防火墻管理公司FireMon的Jody Brazil表示，這并沒有例外，大多數大型企業往往在其風險評估中忽略關鍵資產和評估指標。他表示，“其中最常見的問題是識別漏洞為‘風險’，而沒有其他信息，例如可能提供對數據的訪問權限或者被利用，也可能將個人標記為‘風險’，而沒有對特定風險資產進行標記。”

大多數企業沒有追蹤其基礎設施資產來很好地評估它們。更重要的是，即使他們經常評估的完整的數據集，但這通常是在單獨的孤島進行，使其難以了解相互依存關系。

價格報價軟件開發公司FPX高級運營總監Gregory Blair表示，“有時候評估側重于非常特定的應用程序，但是沒有放眼整個基礎設施，例如，評估可能只會檢查保護數據庫的應用程序，而沒有檢查整個計算控制，例如加密、防火墻、身份驗證和授權等。”

4. 評估沒有考慮業務背景

IT風險評估完全是關于背景知識，無論是上文提到的系統情況還是業務情況。如果企業沒有將漏洞和威脅加入到信息資產的背景知識中，其對業務的重要性就不能真正反映在風險評估中。

大數據風險分析公司Brinqa的Amad Fida表示，“在評估風險時，很多時候，首席信息安全官缺乏對業務背景的了解。換句話說，他們需要詢問，‘什么數據被訪問了以及這它對業務的影響力?’沒有考慮業務方面的分析結果提供了一個技術觀點，而不是業務加技術的觀點。”

5. 未將IT風險評估納入到企業評估

同樣地，企業需要了解IT風險與所有其他風險的相互作用。通常，企業將IT風險視為自己的風險類別，而沒有考慮其更廣泛的影響。

SystemExperts的Johnson表示，“越來越多的風險意識企業意識到IT是其業務成功的組成部分，他們都在努力確保讓IT參與到業務風險談話中，很多企業都有跨職能團隊，他們從整體來檢查風險以更好地了解依存關系，這些團隊會建議從業務的角度企業應該側重的風險。”

6. 沒有進行評估和忘記評估

專家警告稱，現在企業做的風險評估往往不夠。而這是應對不斷變化的威脅環境的唯一方法。Rook咨詢公司安全顧問Luke Klink表示：“定期執行風險評估讓企業管理人員可以有效地利用其安全預算。通過進行詳細的風險評估，我們不再需要利用“遍地開花式、乞求式(spray and pray)的保護方法，而是以實際的方式執行真正的風險管理。”

現在最先進的企業正在按照NIST方法來進行持續監測，來更好地了解環境以及改進評估間隔。他表示，“這種方法提供了更好的風險可視性、響應準備程度，并最大限度地減少整體風險，在現實中，安全風險ing顧應該持續進行，甚至嵌入到企業的事件響應管理過程，每個事件都會觸發高層次的風險評估。如果發現關鍵風險，企業將可以執行更詳細的風險評估。”

7.過于依賴評估工具

幫助企業持續監測IT資產的自動化工具不應該是風險評估的全部。因為有些風險必須要通過手動滲透測試深入挖掘才能夠被發現。Rhino Security實驗室量和創始人兼首席顧問Benjamin Caudill表示：“通常情況下，最重要的風險只能通過專門的手動分析被發現，例如網站的邏輯缺陷。首席信息安全官應該注意這個問題，因為過于依賴風險評估工具會給帶來虛假的安全感，不能找出某些漏洞。”

8. 執行以漏洞為中心的評估

當企業評估技術漏洞來確定風險時，他們往往忘記，數據本身的安全性或不安全性才是風險因素，而不是承載數據的系統。

Imperva公司安全戰略主管Barry Shteiman表示，“風險評估通常是以漏洞為中心的，而不是以數據為中心，IT通常選擇保護包含數據的平臺，而沒有真正了解系統中包含哪些數據，以及誰正在訪問或者訪問過這些數據。”

企業應該牢記，在內部網絡基礎設施上的漏洞風險因素帶來的影響可能比不上訪問IP和感染IP的用戶帶來的風險。

9. 忘記衡量人的風險

Green Armor Solutions公司首席執行官Joseph Steinberg表示，同樣地，企業必須記住，系統和軟件漏洞只是風險評估的一個組件。沒有考慮人類行為模式對風險的影響可能會導致最終風險評估結果無效。例如，風險評估可能會確認只有正確的人能夠訪問敏感的數據，然而，評估可能不會是否進行了評估員工培訓來保護數據。

10.忘記考慮設備的物理安全性

當企業運行其評估時，經常被忽視的一個問題是物理安全性。設施的物理安全通常會直接影響內部的技術資產。物理安全性不僅影響著員工的安全、設備或硬拷貝數據資產的安全，而且還可能被用來植入秘密設備來允許攻擊者遠程發動攻擊