項目風險評估應警惕的失誤

1、項目風險評估應警惕的失誤 作為風險管理的基礎，風險評估是組織確定信息安全需求的一個重要途徑，屬于組織信息安全管理體系策劃的過程。從信息安全的角度來講，風險評估是對信息資產(即某事件或事物所具有的信息集)所面臨的威逼、存在的弱點、造成的影響，以及三者綜合作用所帶來風險的可能性的評估。在企業(yè)試圖對it的安全作出更好的決策時，最重要的就是it風險評估。然而，雖然企業(yè)進行了風險評估，但他們經常出現(xiàn)一些錯誤，從而大大降低了風險評估的效果。下面是企業(yè)需要避免的10個風險評估錯誤。 1. 遺忘評估第三方風險 大多數(shù)it風險專家都認為，現(xiàn)在大部分企業(yè)都沒有評估供應商和其他合作伙伴的基礎設施的風險，而這些基礎設

2、施通常會觸及企業(yè)最敏感的的數(shù)據(jù)。 咨詢公司systemexperts公司副總裁bradjohnson表示，“許多企業(yè)做得不夠的方面是管理與第三方供應商的關系。當企業(yè)沒有真正進行其盡職調查(無論是在簽訂合同之前還是之后)，他們勢必將錯過關鍵的細節(jié)信息，這將提高風險。舉例來說，客戶公司可能不知道其供應商將其受規(guī)管的數(shù)據(jù)存儲在公共云中?！?2.評估過于量化 誠然，分析和數(shù)字對于風險評估特別重要。但企業(yè)需要了解，這個數(shù)字游玩并不需要過于追求完美，特殊是當涉及評估安全泄露事故的影響時。 “對安全事故影響的評估可以讓企業(yè)更簡單地爭論和關注如何緩解風險，而不是花大量時間來爭論這種影響是價值2000萬美元還是

3、21000美元，”tripwire公司首席技術官dwaynemelancon表示，“在你確定事故影響是災難性的、令人苦痛的，或者沒什么大不了的，你就可以很好地爭論你想要花多少錢來緩解最嚴重的風險。” 過度分析可能會拖垮整個評估過程，企業(yè)應當避免花太久時間來進行風險分類等工作。citrix sharefile的saas分部安全和合規(guī)性高級經理manny landron表示，還有些定性風險因素，企業(yè)需要想方法納入評估中?！斑^于狹隘的焦點、采用嚴格的定量測量、沒有一個框架，以及沒有足夠的定期計劃的風險評估都是企業(yè)需要避免的錯誤?！?3. 評估沒有考慮業(yè)務背景 it風險評估完全是關于背景學問，無論是上

4、文提到的系統(tǒng)狀況還是業(yè)務狀況。假如企業(yè)沒有將漏洞和威逼加入到信息資產的背景學問中，其對業(yè)務的重要性就不能真正反映在風險評估中。 大數(shù)據(jù)風險分析公司brinqa的amad fida表示，“在評估風險時，許多時候，首席信息安全官缺乏對業(yè)務背景的了解。換句話說，他們需要詢問，什么數(shù)據(jù)被訪問了以及這它對業(yè)務的影響力?沒有考慮業(yè)務方面的分析結果供應了一個技術觀點，而不是業(yè)務加技術的觀點?！?4. 未將it風險評估納入到企業(yè)評估 同樣地，企業(yè)需要了解it風險與全部其他風險的相互作用。通常，企業(yè)將it風險視為自己的風險類別，而沒有考慮其更廣泛的影響。 systemexperts的johnson表示，“越來越

5、多的風險意識企業(yè)意識到it是其業(yè)務成功的組成部分，他們都在努力確保讓it參與到業(yè)務風險談話中，許多企業(yè)都有跨職能團隊，他們從整體來檢查風險以更好地了解依存關系，這些團隊會建議從業(yè)務的角度企業(yè)應當 側重的風險?！?5.評估的目光過于短淺 防火墻管理公司firemon的jody brazil表示，這并沒有例外，大多數(shù)大型企業(yè)往往在其風險評估中忽視關鍵資產和評估指標。他表示，“其中最常見的問題是識別漏洞為風險，而沒有其他信息，例如可能供應對數(shù)據(jù)的訪問權限或者被利用，也可能將個人標記為風險，而沒有對特定風險資產進行標記?！?大多數(shù)企業(yè)沒有追蹤其基礎設施資產來很好地評估它們。更重要的是，即使他們經常評估的完整的數(shù)據(jù)集，但這通常是在單獨的孤島進行，使其難以了解相互依存關系。 價格報價軟件開發(fā)公司fpx高級運營總監(jiān)gregory blair表示，“有時