工程項目管理軟件供應商。

　　就目前的狀態(tài)而言，雖然許多企業(yè)進行了風險評估，但他們經常犯一些錯誤，這大大降低了風險評估的效果。接下來，金石軟件將與您分享企業(yè)需要避免的幾個風險評估錯誤。

　　1.評估過于量化。

　　誠然，分析和數字對風險評估非常重要。但企業(yè)需要明白，這款數字游戲并不需要太完美，尤其是在評估安全泄露事故的影響時。

　　對安全事故影響的評估可以讓企業(yè)更容易地討論和關注如何緩解風險，而不是花很多時間討論這種影響是價值2000萬美元還是21000美元。當你確定事故的影響是災難性的，痛苦的，或者沒什么大不了的，你可以討論你想花多少錢來緩解最嚴重的風險。

　　過度分析可能會拖累整個評估過程，企業(yè)應避免花費太長時間進行風險分類。還有一些定性的風險因素，企業(yè)需要找到一種方法來納入評估。過于狹隘的焦點。采用嚴格的定量測量。沒有框架，沒有足夠的定期計劃是企業(yè)需要避免的錯誤。

　　2.忘記評估第三方風險。

　　大多數IT風險專家認為，大多數企業(yè)沒有評估供應商和其他合作伙伴的基礎設施風險，而這些基礎設施通常觸及企業(yè)最敏感的數據。

　　許多企業(yè)做得不夠的是管理與第三方供應商的關系。當企業(yè)沒有真正進行盡職調查(無論是在簽訂合同之前還是之后)時，他們必然會錯過關鍵的細節(jié)，這將增加風險。例如，客戶公司可能不知道其供應商將其監(jiān)管數據存儲在公共云中。

　　3.評價的目光太短淺。

　　大多數大型企業(yè)往往忽視其風險評估中的關鍵資產和評估指標。最常見的問題之一是識別漏洞是風險，而沒有其他信息，如可能提供訪問數據或使用，或個人可能被標記為風險，而不標記特定的風險資產。

　　大多數公司沒有跟蹤他們的基礎設施資產來很好地評估他們。更重要的是，即使他們經常評估完整的數據集，這通常是在一個單獨的島嶼上進行的，這使得他們很難理解相互依存。

　　有時評估側重于非常特定的應用程序，但不關注整個基礎設施。例如，評估可能只檢查保護數據庫的應用程序，而不檢查整個計算控制，如加密、防火墻、身份驗證和授權。

　　4.IT風險評估未納入企業(yè)評估。

　　同樣，企業(yè)也需要了解IT風險與所有其他風險之間的相互作用。通常，企業(yè)將IT風險視為自己的風險類別，而不考慮其更廣泛的影響。

　　越來越多的風險意識到IT是其業(yè)務成功的一部分，他們試圖確保IT參與業(yè)務風險談話，許多企業(yè)有跨職能團隊，他們從整體檢查風險，更好地了解依賴關系，這些團隊將建議企業(yè)從業(yè)務的角度應該關注風險。

　　5.評估不考慮業(yè)務背景。

　　IT風險評估完全是關于背景知識，無論是上述系統(tǒng)情況還是業(yè)務情況。如果企業(yè)不在信息資產的背景知識中添加漏洞和威脅，其對業(yè)務的重要性就不能真正反映在風險評估中。

　　在評估風險時，首席信息安全官往往缺乏對業(yè)務背景的理解。換句話說，他們需要問，哪些數據被訪問并對業(yè)務產生影響?沒有考慮業(yè)務分析結果，而不是業(yè)務和技術。