在企业试图对IT的安全作出更好的决策时,最重要的就是IT风险评估。然而,虽然企业进行了风险评估,但他们经常出现一些错误,从而大大降低了风险评估的效果。下面是企业需要避免的10个风险评估错误。
1、忘记评估第三方风险
大多数IT风险专家都认为,现在大部分企业都没有评估供应商和其他合作伙伴的基础设施的风险,而这些基础设施通常会触及企业最敏感的的数据。
咨询公司SystemExperts公司副总裁Brad Johnson表示,“很多企业做得不够的方面是管理与第三方供应商的关系。当企业没有真正进行其尽职调查(无论是在签订合同之前还是之后),他们势必将错过关键的细节信息,这将提高风险。举例来说,客户公司可能不知道其供应商将其受规管的数据存储在公共云中。”
2、评估过于量化
诚然,分析和数字对于风险评估非常重要。但企业需要了解,这个数字游戏并不需要过于追求完美,特别是当涉及评估安全泄露事故的影响时。
“对安全事故影响的评估可以让企业更容易地讨论和关注如何缓解风险,而不是花大量时间来讨论这种影响是价值2000万美元还是21000美元,”Tripwire公司首席技术官Dwayne Melancon表示,“在你确定事故影响是灾难性的、令人痛苦的,或者没什么大不了的,你就可以很好地讨论你想要花多少钱来缓解最严重的风险。”
过度分析可能会拖垮整个评估过程,企业应该避免花太久时间来进行风险分类等工作。Citrix ShareFile的SaaS分部安全和合规性高级经理Manny Landron表示,还有些定性风险因素,企业需要想办法纳入评估中。 “过于狭隘的焦点、采用严格的定量测量、没有一个框架,以及没有足够的定期计划的风险评估都是企业需要避免的错误。”
3、评估的目光过于短浅
防火墙管理公司FireMon的Jody Brazil表示,这并没有例外,大多数大型企业往往在其风险评估中忽略关键资产和评估指标。他表示,“其中最常见的问题是识别漏洞为‘风险’,而没有其他信息,例如可能提供对数据的访问权限或者被利用,也可能将个人标记为‘风险’,而没有对特定风险资产进行标记。”
大多数企业没有追踪其基础设施资产来很好地评估它们。更重要的是,即使他们经常评估的完整的数据集,但这通常是在单独的孤岛进行,使其难以了解相互依存关系。
价格报价软件开发公司FPX高级运营总监Gregory Blair表示,“有时候评估侧重于非常特定的应用程序,但是没有放眼整个基础设施,例如,评估可能只会检查保护数据库的应用程序,而没有检查整个计算控制,例如加密、防火墙、身份验证和授权等。”
4、评估没有考虑业务背景
IT风险评估完全是关于背景知识,无论是上文提到的系统情况还是业务情况。如果企业没有将漏洞和威胁加入到信息资产的背景知识中,其对业务的重要性就不能真正反映在风险评估中。
大数据风险分析公司Brinqa的Amad Fida表示,“在评估风险时,很多时候,首席信息安全官缺乏对业务背景的了解。换句话说,他们需要询问,‘什么数据被访问了以及这它对业务的影响力?’没有考虑业务方面的分析结果提供了一个技术观点,而不是业务加技术的观点。”
5、未将IT风险评估纳入到企业评估
同样地,企业需要了解IT风险与所有其他风险的相互作用。通常,企业将IT风险视为自己的风险类别,而没有考虑其更广泛的影响。
SystemExperts的Johnson表示,“越来越多的风险意识企业意识到IT是其业务成功的组成部分,他们都在努力确保让IT参与到业务风险谈话中,很多企业都有跨职能团队,他们从整体来检查风险以更好地了解依存关系,这些团队会建议从业务的角度企业应该侧重的风险。”
6、没有进行评估和忘记评估
专家警告称,现在企业做的风险评估往往不够。而这是应对不断变化的威胁环境的唯一方法。Rook咨询公司安全顾问Luke Klink表示:“定期执行风险评估让企业管理人员可以有效地利用其安全预算。通过进行详细的风险评估,我们不再需要利用“遍地开花式、乞求式(spray and pray)的保护方法,而是以实际的方式执行真正的风险管理。”
现在最先进的企业正在按照NIST方法来进行持续监测,来更好地了解环境以及改进评估间隔。他表示,“这种方法提供了更好的风险可视性、响应准备程度,并最大限度地减少整体风险,在现实中,安全风险ing顾应该持续进行,甚至嵌入到企业的事件响应管理过程,每个事件都会触发高层次的风险评估。如果发现关键风险,企业将可以执行更详细的风险评估。”
7、过于依赖评估工具
帮助企业持续监测IT资产的自动化工具不应该是风险评估的全部。因为有些风险必须要通过手动渗透测试深入挖掘才能够被发现。Rhino Security实验室量和创始人兼首席顾问Benjamin Caudill表示:“通常情况下,最重要的风险只能通过专门的手动分析被发现,例如网站的逻辑缺陷。首席信息安全官应该注意这个问题,因为过于依赖风险评估工具会给带来虚假的安全感,不能找出某些漏洞。”
8、执行以漏洞为中心的评估
当企业评估技术漏洞来确定风险时,他们往往忘记,数据本身的安全性或不安全性才是风险因素,而不是承载数据的系统。
Imperva公司安全战略主管Barry Shteiman表示,“风险评估通常是以漏洞为中心的,而不是以数据为中心,IT通常选择保护包含数据的平台,而没有真正了解系统中包含哪些数据,以及谁正在访问或者访问过这些数据。”
企业应该牢记,在内部网络基础设施上的漏洞风险因素带来的影响可能比不上访问IP和感染IP的用户带来的风险。
9、忘记衡量人的风险
Green Armor Solutions公司首席执行官Joseph Steinberg表示,同样地,企业必须记住,系统和软件漏洞只是风险评估的一个组件。没有考虑人类行为模式对风险的影响可能会导致最终风险评估结果无效。例如,风险评估可能会确认只有正确的人能够访问敏感的数据,然而,评估可能不会是否进行了评估员工培训来保护数据。
10、忘记考虑设备的物理安全性
当企业运行其评估时,经常被忽视的一个问题是物理安全性。设施的物理安全通常会直接影响内部的技术资产。物理安全性不仅影响着员工的安全、设备或硬拷贝数据资产的安全,而且还可能被用来植入秘密设备来允许攻击者远程发动攻击。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
转型中的深信服不只有安全,云和虚拟化占了半壁江山
深信服从2011年就已开始布局云和虚拟化领域。积累至今,云和虚拟化已发展成与安全业务平分秋色,再仅拿安全厂商来看待深信服显然已不合时宜了。
-
让IT更简单:深信服在京举办2016年大客户技术高峰论坛
6月18日,以“创新佳法,IT简法”为主题的深信服2016年大客户技术高峰论坛在北京国贸大酒店隆重举行。这是深信服第8年举办高峰技术论坛,会议吸引了来自全国各地的800多位CIO前来参与,共同探讨IT技术的新动向。
-
威胁情报:算了吧 数据才不是越多越好
大多数时候,人们一般认为对于威胁情报来说数据越多越好,但iSight首席执行官John Watters则建议企业质量和上下文内容才是风险评估的重要所在。
-
明朝万达助管理软件转型:能效为先 安全为重
管理软件厂商在转型中,须及客户之所及,将管理与安全建设同步。如果轻视这一问题,可能危及到网络环境下的企业客户经济安全。