大多数人都认为,现在大部分企业都没有评估供应商和其他合作伙伴的基础设施的风险,而这些基础设施通常会触及企业最敏感的的数据。
壹诺科技认为很多企业做得不够的方面是管理与第三方供应商的关系。当企业没有真正进行其尽职调查,他们势必将错过关键的细节信息,这将提高风险。举例来说,客户公司可能不知道其供应商将其受规管的数据存储在公共云中。
1、评估过于量化
诚然,分析和数字对于风险评估非常重要。但企业需要了解,这个数字游戏并不需要过于追求完美,特别是当涉及评估安全泄露事故的影响时。
对安全事故影响的评估可以让企业更容易地讨论和关注如何缓解风险,而不是花大量时间来讨论这种影响是价值2000万美元还是21000美元,相关人士表示,“在你确定事故影响是灾难性的、令人痛苦的,或者没什么大不了的,你就可以很好地讨论你想要花多少钱来缓解最严重的风险。”
过度分析可能会拖垮整个评估过程,企业应该避免花太久时间来进行风险分类等工作。还有些定性风险因素,企业需要想办法纳入评估中。 “过于狭隘的焦点、采用严格的定量测量、没有一个框架,以及没有足够的定期计划的风险评估都是企业需要避免的错误。”
2、评估的目光过于短浅
这并没有例外,大多数大型企业往往在其风险评估中忽略关键资产和评估指标。其中最常见的问题是识别**为‘风险’,而没有其他信息,例如可能提供对数据的访问权限或者被利用,也可能将个人标记为‘风险’,而没有对特定风险资产进行标记。
大多数企业没有追踪其基础设施资产来很好地评估它们。更重要的是,即使他们经常评估的完整的数据集,但这通常是在单独的孤岛进行,使其难以了解相互依存关系。
有时候评估侧重于非常特定的应用程序,但是没有放眼整个基础设施,例如,评估可能只会检查保护数据库的应用程序,而没有检查整个计算控制,例如加密、防火墙、身份验证和授权等。
www.inuol.com
