IT項目風(fēng)險評估的常見失誤

1、IT項目風(fēng)險評估的常見失誤 在企業(yè)試圖對IT的安全作出更好的決策時，最重要的就是IT風(fēng)險評估。作為風(fēng)險管理的基礎(chǔ)，風(fēng)險評估是組織確定信息安全需求的一個重要途徑，屬于組織信息安全管理體系策劃的過程。從信息安全的角度來講，風(fēng)險評估是風(fēng)險評估對信息資產(chǎn)（即某事件或事物所具有的信息集）所面臨的威逼、存在的弱點、造成的影響，以及三者綜合作用所帶來風(fēng)險的可能性的評估。 然而，雖然企業(yè)進(jìn)行了風(fēng)險評估，但他們經(jīng)常出現(xiàn)一些錯誤，從而大大降低了風(fēng)險評估的效果。下面是企業(yè)需要避免的10個風(fēng)險評估錯誤。 1、遺忘評估第三方風(fēng)險 大多數(shù)IT風(fēng)險專家都認(rèn)為，現(xiàn)在大部分企業(yè)都沒有評估供應(yīng)商和其他合作伙伴的基礎(chǔ)設(shè)施的風(fēng)險，而

2、這些基礎(chǔ)設(shè)施通常會觸及企業(yè)最敏感的的數(shù)據(jù)。 咨詢公司SystemExperts公司副總裁Brad Johnson表示，“許多企業(yè)做得不夠的方面是管理與第三方供應(yīng)商的關(guān)系。當(dāng)企業(yè)沒有真正進(jìn)行其盡職調(diào)查(無論是在簽訂合同之前還是之后)，他們勢必將錯過關(guān)鍵的細(xì)節(jié)信息，這將提高風(fēng)險。舉例來說，客戶公司可能不知道其供應(yīng)商將其受規(guī)管的數(shù)據(jù)存儲在公共云中?！?2、評估過于量化 誠然，分析和數(shù)字對于風(fēng)險評估特別重要。但企業(yè)需要了解，這個數(shù)字游玩并不需要過于追求完美，特殊是當(dāng)涉及評估安全泄露事故的影響時。 “對安全事故影響的評估可以讓企業(yè)更簡單地爭論和關(guān)注如何緩解風(fēng)險，而不是花大量時間來爭論這種影響是價值200

3、0萬美元還是21000美元，”Tripwire公司首席技術(shù)官Dwayne Melancon表示，“在你確定事故影響是災(zāi)難性的、令人苦痛的，或者沒什么大不了的，你就可以很好地爭論你想要花多少錢來緩解最嚴(yán)重的風(fēng)險?！?過度分析可能會拖垮整個評估過程，企業(yè)應(yīng)當(dāng)避免花太久時間來進(jìn)行風(fēng)險分類等工作。Citrix ShareFile的SaaS分部安全和合規(guī)性高級經(jīng)理Manny Landron表示，還有些定性風(fēng)險因素，企業(yè)需要想方法納入評估中。 “過于狹隘的焦點、采用嚴(yán)格的定量測量、沒有一個框架，以及沒有足夠的定期計劃的風(fēng)險評估都是企業(yè)需要避免的錯誤。” 3、評估沒有考慮業(yè)務(wù)背景 IT風(fēng)險評估完全是關(guān)于背景

4、學(xué)問，無論是上文提到的系統(tǒng)狀況還是業(yè)務(wù)狀況。假如企業(yè)沒有將漏洞和威逼加入到信息資產(chǎn)的背景學(xué)問中，其對業(yè)務(wù)的重要性就不能真正反映在風(fēng)險評估中。 大數(shù)據(jù)風(fēng)險分析公司Brinqa的Amad Fida表示，“在評估風(fēng)險時，許多時候，首席信息安全官缺乏對業(yè)務(wù)背景的了解。換句話說，他們需要詢問，什么數(shù)據(jù)被訪問了以及這它對業(yè)務(wù)的影響力?沒有考慮業(yè)務(wù)方面的分析結(jié)果供應(yīng)了一個技術(shù)觀點，而不是業(yè)務(wù)加技術(shù)的觀點?！?4、評估的目光過于短淺 防火墻管理公司FireMon的Jody Brazil表示，這并沒有例外，大多數(shù)大型企業(yè)往往在其風(fēng)險評估中忽視關(guān)鍵資產(chǎn)和評估指標(biāo)。他表示，“其中最常見的問題是識別漏洞為風(fēng)險，而沒有

5、其他信息，例如可能供應(yīng)對數(shù)據(jù)的訪問權(quán)限或者被利用，也可能將個人標(biāo)記為風(fēng)險，而沒有對特定風(fēng)險資產(chǎn)進(jìn)行標(biāo)記?！?大多數(shù)企業(yè)沒有追蹤其基礎(chǔ)設(shè)施資產(chǎn)來很好地評估它們。更重要的是，即使他們經(jīng)常評估的完整的數(shù)據(jù)集，但這通常是在單獨的孤島進(jìn)行，使其難以了解相互依存關(guān)系。 價格報價軟件開發(fā)公司FPX高級運營總監(jiān)Gregory Blair表示，“有時候評估側(cè)重于特別特定的應(yīng)用程序，但是沒有放眼整個基礎(chǔ)設(shè)施，例如，評估可能只會檢查保護(hù)數(shù)據(jù)庫的應(yīng)用程序，而沒有檢查整個計算掌握，例如加密、防火墻、 現(xiàn)在最先進(jìn)的企業(yè)正在根據(jù)NIST方法來進(jìn)行持續(xù)監(jiān)測，來更好地了解環(huán)境以及改進(jìn)評估間隔。他表示，“這種方法供應(yīng)了更好的風(fēng)險

6、可視性、響應(yīng)預(yù)備程度，并最大限度地削減整體風(fēng)險，在現(xiàn)實中，安全風(fēng)險ing顧應(yīng)當(dāng)持續(xù)進(jìn)行，甚至嵌入到企業(yè)的事件響應(yīng)管理過程，每個事件都會觸發(fā)高層次的風(fēng)險評估。假如發(fā)覺關(guān)鍵風(fēng)險，企業(yè)將可以執(zhí)行更具體的風(fēng)險評估。” 7、執(zhí)行以漏洞為中心的評估 當(dāng)企業(yè)評估技術(shù)漏洞來確定風(fēng)險時，他們往往遺忘，數(shù)據(jù)本身的安全性或擔(dān)心全性才是風(fēng)險因素，而不是承載數(shù)據(jù)的系統(tǒng)。 Imperva公司安全戰(zhàn)略主管Barry Shteiman表示，“風(fēng)險評估通常是以漏洞為中心的，而不是以數(shù)據(jù)為中心，IT通常選擇保護(hù)包含數(shù)據(jù)的平臺，而沒有真正了解系統(tǒng)中包含哪些數(shù)據(jù)，以及誰正在訪問或者訪問過這些數(shù)據(jù)?！?企業(yè)應(yīng)當(dāng)牢記，在內(nèi)部網(wǎng)絡(luò)基礎(chǔ)設(shè)施

7、上的漏洞風(fēng)險因素帶來的影響可能比不上訪問IP和感染IP的用戶帶來的風(fēng)險。 8、遺忘考慮設(shè)備的物理安全性 當(dāng)企業(yè)運行其評估時，經(jīng)常被忽視的一個問題是物理安全性。設(shè)施的物理安全通常會直接影響內(nèi)部的技術(shù)資產(chǎn)。物理安全性不僅影響著員工的安全、設(shè)備或硬拷貝數(shù)據(jù)資產(chǎn)的安全，而且還可能被用來植入隱秘設(shè)備來允許攻擊者遠(yuǎn)程發(fā)動攻擊。 9、過于依靠評估工具 幫助企業(yè)持續(xù)監(jiān)測IT資產(chǎn)的自動化工具不應(yīng)當(dāng)是風(fēng)險評估的全部。因為有些風(fēng)險必需要通過手動滲透測試深入挖掘才能夠被發(fā)覺。Rhino Security試驗室量和創(chuàng)始人兼首席顧問Benjamin Caudill表示：“通常狀況下，最重要的風(fēng)險只能通過特地的手動分析被發(fā)覺，例如網(wǎng)站的規(guī)律缺陷。首席信息安全官應(yīng)當(dāng)留意這個問題，因為過于依靠風(fēng)險評估工具會給帶來虛假的安全感，不能找出某些漏洞。” 10、遺忘衡量人的風(fēng)險 Green Armor Solutions公司首席執(zhí)行官Joseph Steinberg表示，同