在企業(yè)進(jìn)行技術(shù)和業(yè)務(wù)決策時(shí)，適當(dāng)?shù)腎T風(fēng)險(xiǎn)評(píng)估可以幫助企業(yè)創(chuàng)造巨大的價(jià)值。本文我們將討論企業(yè)在風(fēng)險(xiǎn)評(píng)估過程中最常犯的五個(gè)錯(cuò)誤。

　　Protiviti公司董事總經(jīng)理Scott Laliberte表示，不幸的是，現(xiàn)在很多企業(yè)根本沒有進(jìn)行風(fēng)險(xiǎn)評(píng)估或者他們錯(cuò)將漏洞評(píng)估或滲透測(cè)試當(dāng)做是風(fēng)險(xiǎn)評(píng)估。并且，在那些執(zhí)行風(fēng)險(xiǎn)評(píng)估的企業(yè)中，很多企業(yè)沒有根據(jù)威脅環(huán)境或業(yè)務(wù)模式的改變而改進(jìn)風(fēng)險(xiǎn)評(píng)估。他表示，在這種情況下風(fēng)險(xiǎn)評(píng)估將會(huì)變得過時(shí)，而錯(cuò)過關(guān)鍵問題。

　　關(guān)于風(fēng)險(xiǎn)評(píng)估，首先要記住的是真正執(zhí)行風(fēng)險(xiǎn)評(píng)估。其次是根據(jù)環(huán)境的變化，更新風(fēng)險(xiǎn)評(píng)估過程。但并不僅僅止于此，以下是最常被忽略的五個(gè)錯(cuò)誤以及如何避免這些錯(cuò)誤的方法：

　　1. 固有風(fēng)險(xiǎn)與剩余風(fēng)險(xiǎn)

　　根據(jù)Laliberte表示，很多執(zhí)行風(fēng)險(xiǎn)評(píng)估的企業(yè)無(wú)法計(jì)算部署控制前的風(fēng)險(xiǎn)(被稱為固有風(fēng)險(xiǎn))以及部署控制后遺留下來(lái)的風(fēng)險(xiǎn)(被稱為剩余風(fēng)險(xiǎn))。

　　“他們經(jīng)常直接處理剩余風(fēng)險(xiǎn)，”他表示，“通過對(duì)比固有風(fēng)險(xiǎn)和剩余風(fēng)險(xiǎn)，你可以看到需要被監(jiān)控和執(zhí)行的關(guān)鍵控制，以確保企業(yè)環(huán)境的安全。”

　　2.依賴性和數(shù)據(jù)流

　　CCSi公司安全服務(wù)主管兼首席信息安全官Joe Beal表示，在企業(yè)進(jìn)行風(fēng)險(xiǎn)評(píng)估前，企業(yè)需要正確地認(rèn)識(shí)與風(fēng)險(xiǎn)相關(guān)的實(shí)際資產(chǎn)。通常情況下，企業(yè)沒能真正調(diào)查清楚其系統(tǒng)來(lái)發(fā)現(xiàn)服務(wù)或系統(tǒng)(防火墻內(nèi)部和外部的系統(tǒng))的不可預(yù)見的依賴關(guān)系。

　　“舉例來(lái)說(shuō)，你需要從網(wǎng)絡(luò)角度來(lái)了解在正常運(yùn)行狀態(tài)下互聯(lián)、數(shù)據(jù)流和系統(tǒng)行為，”Beal表示，“更為重要的事，在確定和識(shí)別真正安全風(fēng)險(xiǎn)的過程中，了解數(shù)據(jù)集的類型、大小和分類將發(fā)揮至關(guān)重要的作用。”

　　正如他所說(shuō)，了解系統(tǒng)及其組件的各種輸入和輸出，將幫助企業(yè)有效地度量風(fēng)險(xiǎn)評(píng)估結(jié)果的真實(shí)有效性。

　　3.風(fēng)險(xiǎn)關(guān)乎業(yè)務(wù)

　　Laliberte認(rèn)為，IT企業(yè)最常犯的風(fēng)險(xiǎn)評(píng)估錯(cuò)誤之一是沒有將業(yè)務(wù)線涵蓋在評(píng)估過程中，以弄清楚IT對(duì)業(yè)務(wù)流程的影響。

　　“風(fēng)險(xiǎn)評(píng)估應(yīng)該涵蓋關(guān)鍵業(yè)務(wù)和IT資產(chǎn)，并考慮環(huán)境中關(guān)鍵威脅和漏洞的可能性和影響力，”他表示，“如果風(fēng)險(xiǎn)評(píng)估的結(jié)果沒有說(shuō)明對(duì)業(yè)務(wù)的影響，那么，降低風(fēng)險(xiǎn)的項(xiàng)目往往無(wú)法獲得足夠的資金或支持。”

　　Agiliance公司全球市場(chǎng)營(yíng)銷和產(chǎn)品副總裁Torsten George表示，企業(yè)需要更深入地進(jìn)行風(fēng)險(xiǎn)評(píng)估，不僅需要讓所有領(lǐng)導(dǎo)人參與進(jìn)來(lái)，而且有關(guān)風(fēng)險(xiǎn)的詞匯需要標(biāo)準(zhǔn)化，以便讓所有人都理解。

　　“通常企業(yè)會(huì)允許不同業(yè)務(wù)部門建立自己的風(fēng)險(xiǎn)定義和術(shù)語(yǔ)，”他表示，“在整個(gè)企業(yè)匯總和評(píng)估風(fēng)險(xiǎn)時(shí)，這將會(huì)帶來(lái)巨大的挑戰(zhàn)。”

　　他建議使用集中化的風(fēng)險(xiǎn)登記冊(cè)或目錄(在業(yè)務(wù)部門利益相關(guān)者的幫助下制定)以更好地進(jìn)行長(zhǎng)期協(xié)作。

　　他表示：“使用共同的命名能夠從不同業(yè)務(wù)部門收集風(fēng)險(xiǎn)數(shù)據(jù)，并最終更簡(jiǎn)單地聚合這些信息。”

　　4.不要推倒重來(lái)

　　George表示，在創(chuàng)建風(fēng)險(xiǎn)登記冊(cè)和手機(jī)相關(guān)評(píng)估信息時(shí)，很多企業(yè)試圖“推倒重來(lái)”“另辟蹊徑”。

　　“企業(yè)應(yīng)使用已經(jīng)建立的風(fēng)險(xiǎn)登記冊(cè)。企業(yè)經(jīng)常試圖從頭開始建立自己的登記冊(cè)，”他表示，“此外，企業(yè)還應(yīng)應(yīng)用可行的行業(yè)標(biāo)準(zhǔn)(例如ISO、NIST和COBIT)，然后根據(jù)企業(yè)需求微調(diào)這些最佳做法。”

　　同樣地，不要手動(dòng)手機(jī)和處理數(shù)據(jù)，如果你能實(shí)現(xiàn)自動(dòng)化操作的話。

　　“風(fēng)險(xiǎn)管理人員應(yīng)該作為風(fēng)險(xiǎn)戰(zhàn)略家，而不是數(shù)字統(tǒng)計(jì)員，”George表示，“企業(yè)可以利用軟件來(lái)自動(dòng)化數(shù)據(jù)收集、匯總、工作流程和生成報(bào)告。”

　　他表示，這樣做可以讓風(fēng)險(xiǎn)管理人員能夠更專注于更深入的分析和工作。

　　5. 風(fēng)險(xiǎn)評(píng)估范圍

　　為了進(jìn)行徹底完全的評(píng)估，一些風(fēng)險(xiǎn)管理人員試圖評(píng)估對(duì)所有資產(chǎn)的所有風(fēng)險(xiǎn)，以及對(duì)業(yè)務(wù)的所有威脅，這樣做的問題是，他們將永遠(yuǎn)無(wú)法真正完成評(píng)估。

　　“企業(yè)應(yīng)該對(duì)資產(chǎn)進(jìn)行分類，將具有類似業(yè)務(wù)價(jià)值或者面臨類似威脅的資產(chǎn)分為一組，然后分組進(jìn)行風(fēng)險(xiǎn)評(píng)估，”他表示，“這將幫助企業(yè)從風(fēng)險(xiǎn)評(píng)估中獲得最大價(jià)值。”

原文鏈接：http://safe.it168.com/a2012/0916/1398/000001398548.shtml