众所周知,企业部署有效的工具进行IT风险的评估是非常重要的,但同样重要的是企业进行风险评估的频率。即使企业在IT风险评估中涵盖了所有方面,但如果没有足够频繁地评估的话,仍然可能面临巨大的安全风险。
虽然很多法案法规(例如HIPAA)要求企业每年进行一次风险评估,但Neohapsis公司风险和咨询服务主管Gary Alterson表示,对于大多数企业来说,一年一次的风险评估并不够。 Alterson表示:“鉴于迅速变化的威胁环境以及IT的移动速度,我建议企业至少应该每季度进行一次风险评估。”
BestIT公司首席安全官Jim Mapes表示,现实情况是,现在大多数企业甚至很难有足够的时间来进行年度风险评估,这也是为什么他认为企业必须重新考虑他们评估风险的方式的原因。他表示,“更好的办法是在生命周期内更频繁的进行风险评估,一年四季不间断地进行评估,收集关于新漏洞的数据,修复旧漏洞,并识别漏洞无法修复的问题领域,以及记录业务决策来缓解对其他可接受水平的影响。”
Neohapsis公司首席安全顾问Nathaniel Couper-Noles表示,这种生命周期做法的关键是构建时间和资源到内部审计IT生命周期内。而我们从审计听到最常见的问题是他们太忙而没空进行内部审计。这可能是因为时间表过于紧张,或者项目陷入困境,企业应该尽早进行审计,并经常进行审计,让IT团队设计流程和系统,确保他们进行全面的有效的审计。
这部分设计应该包括对运营风险因素(影响着企业安全态势)的日常追踪。这对于追踪IT环境或威胁环境内的变化尤为重要。虽然这是一个艰巨的任务,但企业至少可以对任务进行优先排序,从更连续的评估开始。
Rook Consulting公司安全顾问Luke Klink表示:“不要以为一口气能够吃成胖子!企业应该专注于最重要的事情,例如知识产权、财务和客户数据等。”
最后,最关键的是企业不应该只是评估风险,还应该想办法在整个生命周期缓解这些风险,如果没有及时解决这些风险问题,这些问题只会像滚雪球一样越滚越大。