首页 / 资源 / 新闻及趋势 / 澳门赌场官方软件 / 2022 / 是什么让风险评估如此令人不快,以及如何改变这一点

是什么让风险评估如此令人不快,以及如何改变这一点

莱恩克劳蒂尔在
作者: 莱恩克劳蒂尔在, CISSP
发表日期: 2022年7月22日

“我很乐意完成安全风险评估,”从来没有人说过. 许多人会同意执行和审查安全风险评估并不是特别令人愉快, 特别是对于已经超负荷工作的IT和安全团队, 人手不足,精力耗尽. 根据一项调查, 45%的高级网络安全专业人员正在考虑离开这个行业,因为他们的工作压力很大.1

被评估的组织和进行评估的人通常都害怕安全风险评估,有几个看似显而易见的原因. 安全风险评估需要相当多的时间和精力来完成,并且经常会成为误解和内部指责游戏的催化剂.

仍然, 风险评估是描绘组织网络安全风险并确保其拥有正确防御措施的重要工具. 好消息是,有一些方法可以减轻风险评估的负担. 值得研究的是当今风险评估中最重要的三个问题,以及如何解决这些问题.

风险评估既繁琐又狭隘

大多数风险评估需要很长时间才能完成. 如果一项评估需要几周或几个月的时间,那么它可能会比实际需要的时间长得多. 不幸的是,这种密集的风险评估毁了其他人的评估. 许多澳门赌场官方下载避免执行它们,仅仅是因为他们听说过其他组织在这方面花费了多少时间的可怕故事.

通常,风险评估的严格程度与组织的风险容忍度并不一致. 如果一个组织能够承受一定程度的风险, 传统的风险评估可能不会考虑到这一点,而是迫使组织通过浪费时间的障碍, 资源和金钱. 但是,那些决定通过劳动密集型的手动电子表格来管理流程的组织将自己置于不利地位.

通过花时间识别组织的风险容忍度,可以简化风险评估过程. 除了, 使用可以自动化的风险评估平台, 根据组织的独特需求进行集成和定制,简化了过程,并产生了更强的评估.

除了不必要的篇幅之外,许多风险评估也过于狭隘. 例如, 它们可能在技术需求方面过于具体,或者包含不适用于被评估的组织或行业的问题. 这不仅会让完成评估的人感到沮丧, 但它也会增加不必要的复杂性.

例如, 考虑一个中等规模的组织,它必须回答一个关于它是否有防火墙的问题. 处理评估的人(通常是面向业务的角色)可能会说“是”. 但是如果下一个问题是托管服务提供商是否正在管理防火墙和, 如果是这样的话, 如何, 同一个商人不太可能知道这些细节,可能会在匆忙完成评估时选择“是”或“否”. 这导致基于猜测而非事实的评估不那么准确.

的补救措施? 上下文. 一刀切的风险评估是行不通的,因为没有两个澳门赌场官方下载是相同的. 中小型澳门赌场官方下载(SMB)的评估标准将与大型澳门赌场官方下载的评估标准有所不同. 例如,学校需要一套不同于州政府的背景线索. 为此目的, 至关重要的是,每个组织都要根据其特定情况和行业部门进行风险评估.

一份评估报告可能充满了一般人——包括阅读报告并决定下一步行动的人——不太可能知道的行话.

风险评估存在语言障碍

大多数风险评估的另一个突出问题是,它们是用高度技术性的语言编写的. 一份评估报告可能充满了一般人——包括阅读报告并决定下一步行动的人——不太可能知道的行话. 语言上的脱节非常普遍,并因导致安全漏洞而臭名昭著.

考虑一个风险评估,它是用高度技术性的术语写的,并在董事会上展示. 首席执行官(CEO), 通过损益的角度来解读评估, 听到首席安全官(CSO)说,她需要预算来投资于各种安全措施,这些措施在评估中被确定为风险来源. 但, 因为资料是以技术术语提出的, 为什么这些措施很重要,以及它们将如何对澳门赌场官方下载产生积极影响,这些细微差别在CEO身上是看不到的. 接下来会发生什么呢? 预算很可能会被拒绝,该组织将没有适当的安全保护措施, 使得安全或it团队更难以有效地保护组织.

补救办法是对评估进行主动翻译. 风险评估应该由人来写, 而不是用只有技术人员才能理解的微妙语言. 例如, 首席执行官可能无法理解可能影响其网络安全投资风险决策的技术术语,但可以认识到保护其组织免受勒索软件攻击的价值. 如果风险评估是为了帮助组织做出更明智的商业决策, 评核必须:

  • 与组织的使命、价值和目标保持一致
  • 使用反映组织所在行业的语言(e).g.(医院的风险评估应使用医疗保健行业的术语)
  • 提供客观和可操作的要点,以便清楚下一步要澳门赌场官方软件来改善组织的安全状况
  • 持续地度量和跟踪组织的安全成熟度

风险评估不能提供前进的道路

风险评估名声不佳,因为它们经常被解释为失败报告. 当然, 很少有人会对收到一份可能不是他们的错的技术问题列表感兴趣, 更糟的是, 没人知道该怎么解决. 不幸的是,这就是许多风险评估的构建方式. 它们识别问题,但没有提供实现解决方案的清晰路线图.

补救办法是在评估中包括确定的后续步骤. 彻底的风险评估可以识别安全漏洞, 但它也描述了可以采取的具体措施来解决这些问题. 例如, 组织可能拥有不完整或不准确的设备和软件即服务(SaaS)服务清单, 或者,它可能缺乏有关这些资产价值的详细信息. 首席财务官(CFO)的计算机可能比营销协调员的机器能够访问更有价值的数据. 为了解决这个问题, 进行全面的风险评估将为商业领袖提供一个解决包括人员在内的所有领域风险的前进计划, 工艺和技术. 这有助于他们在如何管理风险和分配预算方面做出更有效的决策.

通过进行详细的风险评估,将这些不同的业务考虑因素考虑在内, 领导者能够确定下一步的步骤,以改善组织的安全态势. 风险评估应提供可管理的, 按最紧迫到最不紧迫顺序排列的可实现和优先级行动. 这种级别的清晰度和指导对于将风险评估从仅仅是一种练习转变为提供真实和持久价值的工具至关重要.

从历史上看,风险评估并不有趣,承认这一点并不可耻. 但它并不一定是这样的. 通过了解当今大多数风险评估的三个基本缺陷, 一个人变得有能力去修复它们. 最终的结果是保护敏感数据的更好的安全性和更令人愉快的风险评估.

尾注

1 深刻的本能, SecOps之声20222022年6月2日

编者按

想了解更多作者对这个话题的看法,请收听“是什么让风险评估如此令人不快,以及如何改变这一点ISACA的一集® 播客.

莱恩克劳蒂尔在, CISSP

是…的主席? SecurityStudio该公司专注于帮助服务不足的市场简化网络安全. Cloutier是一位充满激情的网络安全思想领袖,在加强组织安全态势方面拥有20多年的经验.