眾所周知,企業部署有效的工具進行IT風險的評估是非常重要的,但同樣重要的是企業進行風險評估的頻率。即使企業在IT風險評估中涵蓋了所有方面,但如果沒有足夠頻繁地評估的話,仍然可能面臨巨大的安全風險。
雖然很多法案法規(例如HIPAA)要求企業每年進行一次風險評估,但Neohapsis公司風險和咨詢服務主管Gary Alterson表示,對于大多數企業來說,一年一次的風險評估并不夠。 Alterson表示:“鑒于迅速變化的威脅環境以及IT的移動速度,我建議企業至少應該每季度進行一次風險評估。”
BestIT公司首席安全官Jim Mapes表示,現實情況是,現在大多數企業甚至很難有足夠的時間來進行年度風險評估,這也是為什么他認為企業必須重新考慮他們評估風險的方式的原因。他表示,“更好的辦法是在生命周期內更頻繁的進行風險評估,一年四季不間斷地進行評估,收集關于新漏洞的數據,修復舊漏洞,并識別漏洞無法修復的問題領域,以及記錄業務決策來緩解對其他可接受水平的影響。”
Neohapsis公司首席安全顧問Nathaniel Couper-Noles表示,這種生命周期做法的關鍵是構建時間和資源到內部審計IT生命周期內。而我們從審計聽到最常見的問題是他們太忙而沒空進行內部審計。這可能是因為時間表過于緊張,或者項目陷入困境,企業應該盡早進行審計,并經常進行審計,讓IT團隊設計流程和系統,確保他們進行全面的有效的審計。
這部分設計應該包括對運營風險因素(影響著企業安全態勢)的日常追蹤。這對于追蹤IT環境或威脅環境內的變化尤為重要。雖然這是一個艱巨的任務,但企業至少可以對任務進行優先排序,從更連續的評估開始。
Rook Consulting公司安全顧問Luke Klink表示:“不要以為一口氣能夠吃成胖子!企業應該專注于最重要的事情,例如知識產權、財務和客戶數據等。”
最后,最關鍵的是企業不應該只是評估風險,還應該想辦法在整個生命周期緩解這些風險,如果沒有及時解決這些風險問題,這些問題只會像滾雪球一樣越滾越大。
京公網安備 11010502049343號