探索中国CIO人才现状 | 第四季调研报告
企业需避免10个风险评估错误
2013-10-24  作者:e-works 

  在企业试图对IT的安全作出更好的决策时,最重要的就是IT风险评估。然而,虽然企业进行了风险评估,但他们经常出现一些错误,从而大大降低了风险评估的效果。下面是企业需要避免的10个风险评估错误。


  1.忘记评估第三方风险


  大多数IT风险专家都认为,现在大部分企业都没有评估供应商和其他合作伙伴的基础设施的风险,而这些基础设施通常会触及企业最敏感的的数据。


  咨询公司SystemExperts公司副总裁BradJohnson表示,“很多企业做得不够的方面是管理与第三方供应商的关系。当企业没有真正进行其尽职调查(无论是在签订合同之前还是之后),他们势必将错过关键的细节信息,这将提高风险。举例来说,客户公司可能不知道其供应商将其受规管的数据存储在公共云中。”


  2.评估过于量化


  诚然,分析和数字对于风险评估非常重要。但企业需要了解,这个数字游戏并不需要过于追求完美,特别是当涉及评估安全泄露事故的影响时。


  “对安全事故影响的评估可以让企业更容易地讨论和关注如何缓解风险,而不是花大量时间来讨论这种影响是价值2000万美元还是21000美元,”Tripwire公司首席技术官Dwayne Melancon表示,“在你确定事故影响是灾难性的、令人痛苦的,或者没什么大不了的,你就可以很好地讨论你想要花多少钱来缓解最严重的风险。”


  过度分析可能会拖垮整个评估过程,企业应该避免花太久时间来进行风险分类等工作。CITrix Share File的SaaS分部安全和合规性高级经理Manny Landron表示,还有些定性风险因素,企业需要想办法纳入评估中。“过于狭隘的焦点、采用严格的定量测量、没有一个框架,以及没有足够的定期计划的风险评估都是企业需要避免的错误。”


  3.评估的目光过于短浅


  防火墙管理公司Fire Mon的Jody Brazil表示,这并没有例外,大多数大型企业往往在其风险评估中忽略关键资产和评估指标。他表示,“其中最常见的问题是识别漏洞为‘风险’,而没有其他信息,例如可能提供对数据的访问权限或者被利用,也可能将个人标记为‘风险’,而没有对特定风险资产进行标记。”


  大多数企业没有追踪其基础设施资产来很好地评估它们。更重要的是,即使他们经常评估的完整的数据集,但这通常是在单独的孤岛进行,使其难以了解相互依存关系。


  价格报价软件开发公司FPX高级运营总监GregoryBlair表示,“有时候评估侧重于非常特定的应用程序,但是没有放眼整个基础设施,例如,评估可能只会检查保护数据库的应用程序,而没有检查整个计算控制,例如加密、防火墙、身份验证和授权等。”


  4.评估没有考虑业务背景


  IT风险评估完全是关于背景知识,无论是上文提到的系统情况还是业务情况。如果企业没有将漏洞和威胁加入到信息资产的背景知识中,其对业务的重要性就不能真正反映在风险评估中。


  大数据风险分析公司Brinqa的Amad Fida表示,“在评估风险时,很多时候,首席信息安全官缺乏对业务背景的了解。换句话说,他们需要询问,‘什么数据被访问了以及这它对业务的影响力?’没有考虑业务方面的分析结果提供了一个技术观点,而不是业务加技术的观点。”


  5.未将IT风险评估纳入到企业评估


  同样地,企业需要了解IT风险与所有其他风险的相互作用。通常,企业将IT风险视为自己的风险类别,而没有考虑其更广泛的影响。


  System Experts的Johnson表示,“越来越多的风险意识企业意识到IT是其业务成功的组成部分,他们都在努力确保让IT参与到业务风险谈话中,很多企业都有跨职能团队,他们从整体来检查风险以更好地了解依存关系,这些团队会建议从业务的角度企业应该侧重的风险。”


  6.没有进行评估和忘记评估


  专家警告称,现在企业做的风险评估往往不够。而这是应对不断变化的威胁环境的唯一方法。Rook咨询公司安全顾问LukeKlink表示:“定期执行风险评估让企业管理人员可以有效地利用其安全预算。通过进行详细的风险评估,我们不再需要利用“遍地开花式、乞求式(sprayandpray)的保护方法,而是以实际的方式执行真正的风险管理。”


  现在最先进的企业正在按照NIST方法来进行持续监测,来更好地了解环境以及改进评估间隔。他表示,“这种方法提供了更好的风险可视性、响应准备程度,并最大限度地减少整体风险,在现实中,安全风险顾应该持续进行,甚至嵌入到企业的事件响应管理过程,每个事件都会触发高层次的风险评估。如果发现关键风险,企业将可以执行更详细的风险评估。”


  7.过于依赖评估工具


  帮助企业持续监测IT资产的自动化工具不应该是风险评估的全部。因为有些风险必须要通过手动渗透测试深入挖掘才能够被发现。Rhino SecurITy实验室量和创始人兼首席顾问Benjamin Caudill表示:“通常情况下,最重要的风险只能通过专门的手动分析被发现,例如网站的逻辑缺陷。首席信息安全官应该注意这个问题,因为过于依赖风险评估工具会给带来虚假的安全感,不能找出某些漏洞。”


  8.执行以漏洞为中心的评估


  当企业评估技术漏洞来确定风险时,他们往往忘记,数据本身的安全性或不安全性才是风险因素,而不是承载数据的系统。


  Imperva公司安全战略主管Barry Shteiman表示,“风险评估通常是以漏洞为中心的,而不是以数据为中心,IT通常选择保护包含数据的平台,而没有真正了解系统中包含哪些数据,以及谁正在访问或者访问过这些数据。”


  企业应该牢记,在内部网络基础设施上的漏洞风险因素带来的影响可能比不上访问IP和感染IP的用户带来的风险。


  9.忘记衡量人的风险


  Green Armor Solutions公司首席执行官Joseph Steinberg表示,同样地,企业必须记住,系统和软件漏洞只是风险评估的一个组件。没有考虑人类行为模式对风险的影响可能会导致最终风险评估结果无效。例如,风险评估可能会确认只有正确的人能够访问敏感的数据,然而,评估可能不会是否进行了评估员工培训来保护数据。


  10.忘记考虑设备的物理安全性


  当企业运行其评估时,经常被忽视的一个问题是物理安全性。设施的物理安全通常会直接影响内部的技术资产。物理安全性不仅影响着员工的安全、设备或硬拷贝数据资产的安全,而且还可能被用来植入秘密设备来允许攻击者远程发动攻击。