企业在IT风险评估中五个常犯错误汇总

日期: 2012-09-23 来源:TechTarget中国

  在企业进行技术和业务决策时,适当的IT风险评估可以帮助企业创造巨大的价值。本文我们将讨论企业在风险评估过程中最常犯的五个错误。

  Protiviti公司董事总经理Scott Laliberte表示,不幸的是,现在很多企业根本没有进行风险评估或者他们错将漏洞评估或渗透测试当做是风险评估。并且,在那些执行风险评估的企业中,很多企业没有根据威胁环境或业务模式的改变而改进风险评估。他表示,在这种情况下风险评估将会变得过时,而错过关键问题。

  关于风险评估,首先要记住的是真正执行风险评估。其次是根据环境的变化,更新风险评估过程。但并不仅仅止于此,以下是最常被忽略的五个错误以及如何避免这些错误的方法:

  1. 固有风险与剩余风险

  根据Laliberte表示,很多执行风险评估的企业无法计算部署控制前的风险(被称为固有风险)以及部署控制后遗留下来的风险(被称为剩余风险)。

  “他们经常直接处理剩余风险,”他表示,“通过对比固有风险和剩余风险,你可以看到需要被监控和执行的关键控制,以确保企业环境的安全。”

  2.依赖性和数据流

  CCSi公司安全服务主管兼首席信息安全官Joe Beal表示,在企业进行风险评估前,企业需要正确地认识与风险相关的实际资产。通常情况下,企业没能真正调查清楚其系统来发现服务或系统(防火墙内部和外部的系统)的不可预见的依赖关系。

  “举例来说,你需要从网络角度来了解在正常运行状态下互联、数据流和系统行为,”Beal表示,“更为重要的事,在确定和识别真正安全风险的过程中,了解数据集的类型、大小和分类将发挥至关重要的作用。”

  正如他所说,了解系统及其组件的各种输入和输出,将帮助企业有效地度量风险评估结果的真实有效性。

  3.风险关乎业务

  Laliberte认为,IT企业最常犯的风险评估错误之一是没有将业务线涵盖在评估过程中,以弄清楚IT对业务流程的影响。

  “风险评估应该涵盖关键业务和IT资产,并考虑环境中关键威胁和漏洞的可能性和影响力,”他表示,“如果风险评估的结果没有说明对业务的影响,那么,降低风险的项目往往无法获得足够的资金或支持。”

  Agiliance公司全球市场营销和产品副总裁Torsten George表示,企业需要更深入地进行风险评估,不仅需要让所有领导人参与进来,而且有关风险的词汇需要标准化,以便让所有人都理解。

  “通常企业会允许不同业务部门建立自己的风险定义和术语,”他表示,“在整个企业汇总和评估风险时,这将会带来巨大的挑战。”

  他建议使用集中化的风险登记册或目录(在业务部门利益相关者的帮助下制定)以更好地进行长期协作。

  他表示:“使用共同的命名能够从不同业务部门收集风险数据,并最终更简单地聚合这些信息。”

  4.不要推倒重来

  George表示,在创建风险登记册和手机相关评估信息时,很多企业试图“推倒重来”“另辟蹊径”。

  “企业应使用已经建立的风险登记册。企业经常试图从头开始建立自己的登记册,”他表示,“此外,企业还应应用可行的行业标准(例如ISO、NIST和COBIT),然后根据企业需求微调这些最佳做法。”

  同样地,不要手动手机和处理数据,如果你能实现自动化操作的话。

  “风险管理人员应该作为风险战略家,而不是数字统计员,”George表示,“企业可以利用软件来自动化数据收集、汇总、工作流程和生成报告。”

  他表示,这样做可以让风险管理人员能够更专注于更深入的分析和工作。

  5. 风险评估范围

  为了进行彻底完全的评估,一些风险管理人员试图评估对所有资产的所有风险,以及对业务的所有威胁,这样做的问题是,他们将永远无法真正完成评估。

  “企业应该对资产进行分类,将具有类似业务价值或者面临类似威胁的资产分为一组,然后分组进行风险评估,”他表示,“这将帮助企业从风险评估中获得最大价值。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 专家:有多少云计算风险可以避免?

    IT服务供应商CDW公司的云技术专家Stephen Braat,日前分享了他对于云计算风险管理的看法。

  • 研究称机器学习、大数据将重塑业务流程

    当我们在未来回顾2014年时,会把它看作为企业新时代的一年吗?根据国际数据分析研究所(IIA)的相关数据,大数据的发展,以及机器学习和嵌入式分析,将推动新产品,彻底改变旧的业务流程,并很可能意味着律师们将会有大量的工作。

  • 前GE、BP公司CIO:CIO要为业务负责

    Jim Noble是本周在纽约举行的世界BPO/ITO(业务流程外包/IT外包)论坛活动的主席, Noble告诉TechTarget记者,简而言之,业务流程和IT外包世界正在发生“翻天覆地的变化”。

  • CIO如何构建云服务管理框架?

    云风险管理最重要的不在于云服务提供商本身,而是大企业缺乏一种针对云计算的统一框架。诸如数据隐私和安全等技术相关的云计算风险本身就处于快速的变化中,即使技术本身也因服务或提供商的不同而存在显著区别。