信息安全管理是以風險管理為核心的,預管理風險必須先知道風險,知道風險的最佳途徑是進行風險評估。然而對很多企業來說這個看似非常成熟、或者不應該存在困難的風險評估,卻總不能達到預期的效果。
風險評估結論普遍存在的問題是:戰略性風險肉眼凡胎也能看出一些端倪,戰術性風險又不疼不癢。這樣的結論對風險控制策略的設計是無足輕重的,甚至實際的風險控制措施并沒有針對真實存在的風險,而僅僅因為那是一般性安全架構需要而已。
實踐表明造成風險評估效果不佳的主要原因有以下三點:
一是評估工作的組織與機制不健全,一般來說企業信息安全管理部門是評估工作的發起部門,但由于人力專業性的限制使得評估在很多內控與業務部門進行時,不能有效開展;
二是工作計劃松散,這與第一點問題有關聯,正是因為人力專業性的限制、評估組織與機制的欠缺才導致計劃模糊,評估部門沒有信心去索求評估結論的完備性;
三是評估方法僵化,當首次建立評估方法后,工作的慣性使得評估部門缺乏決心去實現方法的優化。以上問題幾乎會形成一種不良循環,越是評估效果不好,越是在組織、計劃和方法論改進中信心不足、畏首畏尾。
怎樣提升風險評估的效果呢?自然是針對以上的三個問題去改變。實施風險評估時,評估組織或者團隊可以是臨時的,但他們應當覆蓋一切需要的專業,管理、技術不可或缺。在評估周期內需要把評估工作納入他們的日常作業中,這可能需要從治理上給予激勵。制定評估計劃時應當考慮評估前的培訓,其中包括過程細節,局限于概念的培訓是無助于效果的。只有評估細節確定了,計劃才能有序,才能有必要的時間去爭取結果。
最后再說說方法。
當前基于資產評估風險仍然是最可靠和符合邏輯的。企業的資產個體成千上萬,理論上需要逐一評估他們,實踐中我們可以對資產進行歸一,同配置、同環境的資產可以只評估其中的代表,但前提條件是需要有細致的資產配置管理。資產價值依附的安全屬性點應當與評估漏洞的安全屬性點存在對應關系,否則容易出現結論的偏頗。
例如,一個對可用性要求極高而機密性要求極低的資產,評估出機密性漏洞并且風險還很高是無法接受的,又怎么能指導風險控制呢?其中原由是混合計算資產的機密性、完整性和可用性導致資產價值過高而影響了結論。