在企业试图对IT的安然作出更好的决定计划时，最首要的就是IT风险评估。但是，当然企业进行了风险评估，但他们常常呈现一些弊端，从而大年夜大年夜降落了风险评估的结果。下面是企业需要避免的10个风险评估弊端。

　　1. 健忘评估第三方风险

　　大年夜大都IT风险专家都觉得，此刻大年夜部门企业都没有评估供给商和其他合作火伴的根本举措措施的风险，而这些根本举措措施凡是会触及企业最敏感的的数据。

　　咨询公司SystemExperts公司副总裁Brad Johnson暗示，“良多企业做得不敷的方面是治理与第三方供给商的关系。当企业没有真正进行其尽职查询拜访(不管是在签定合同之前仍是以后)，他们势必将错过关头的细节信息，这将进步风险。举例来讲，客户公司可能不知道其供给商将其受规管的数据存储在公共云中。”

　　2.评估过于量化

　　诚然，阐发和数字对风险评估很是首要。但企业需要体味，这个数字游戏其实不需要过于寻求完美，出格是当触及评估安然泄漏变乱的影响时。

　　“对安然变乱影响的评估可让企业更等闲地会商和存眷若何减缓风险，而不是花大年夜量时候来会商这类影响是价值2000万美元仍是21000美元，”Tripwire公司首席手艺官Dwayne Melancon暗示，“在你肯定变乱影响是灾害性的、令人疾苦的，或没甚么大年夜不了的，你便可以很好地会商你想要花多少钱来减缓最严重的风险。”

　　过度阐发可能会拖垮全部评估过程，企业应当避免花太久时候来进行风险分类等工作。Citrix ShareFile的SaaS分部安然和合规性高级经理Manny Landron暗示，还有些定性风险身分，企业需要想编制纳进评估中。 “过于狭隘的核心、采取严格的定量测量、没有一个框架，和没有足够的按期打算的风险评估都是企业需要避免的弊端。”

　　3.评估的目光过于短浅

　　防火墙治理公司FireMon的Jody Brazil暗示，这并没有例外，大年夜大都大年夜型企业常常在其风险评估中忽视关头资产和评估指标。他暗示，“此中最多见的标题问题是辨认缝隙为‘风险’，而没有其他信息，例如可能供给对数据的拜候权限或被操纵，也可能将小我标识表记标帜为‘风险’，而没有对特定风险资产进行标识表记标帜。”

　　大年夜大都企业没有追踪其根本举措措施资产来很好地评估它们。更首要的是，即便他们常常评估的完全的数据集，但这凡是是在伶仃的孤岛进行，使其难以体味彼此依存关系。

　　代价报价软件开辟公司FPX高级运营总监Gregory Blair暗示，“有时辰评估侧重于很是特定的利用法度，可是没有放眼全部根本举措措施，例如，评估可能只会查抄呵护数据库的利用法度，而没有查抄全部计较节制，例如加密、防火墙、身份验证和授权等。”

　　4. 评估没有考虑营业布景

　　IT风险评估美满是关于布景常识，不管是上文提到的系统环境仍是营业环境。假定企业未将缝隙和威胁加进到信息资产的布景常识中，其对营业的首要性就不克不及真正反应在风险评估中。

　　大年夜数据风险阐发公司Brinqa的Amad Fida暗示，“在评估风险时，良多时辰，首席信息安然官贫乏对营业布景的体味。换句话说，他们需要扣问，‘甚么数据被拜候了和这它对营业的影响力?’没有考虑营业方面的阐发成果供给了一个手艺不雅点，而不是营业加手艺的不雅点。”

　　5. 未将IT风险评估纳进到企业评估

　　一样地，企业需要体味IT风险与所有其他风险的彼此感化。凡是，企业将IT风险视为本身的风险类别，而没有考虑其更遍及的影响。

　　SystemExperts的Johnson暗示，“愈来愈多的风险意识企业意想到IT是其营业成功的构成部门，他们都在尽力确保让IT介入到营业风险谈话中，良多企业都有跨本能机能团队，他们从整体来查抄风险以更好地体味依存关系，这些团队会建议从营业的角度企业应当侧重的风险。”

　　6. 没有进行评估和健忘评估

　　专家警告称，此刻企业做的风险评估常常不敷。而这是应对不竭改变的威胁环境的独一编制。Rook咨询公司安然参谋Luke Klink暗示：“按期履行风险评估让企业治理人员可以有效地操纵其安然预算。经由过程进行具体的风险评估，我们不再需要操纵“遍地开花式、祈求式(spray and pray)的呵护编制，而是以实际的编制履行真实的风险治理。”

　　此刻最进步前辈的企业正在遵循NIST编制来进行延续监测，来更好地体味环境和改进评估距离。他暗示，“这类编制供给了更好的风险可视性、响应预备程度，并最大年夜限度地削减整体风险，在实际中，安然风险ing顾应当延续进行，乃至嵌进到企业的事务响应治理过程，每个事务城市触发高层次的风险评估。假定发现关头风险，企业将可以履行更具体的风险评估。”

　　7.过于依托评估东西

　　帮忙企业延续监测IT资产的主动化东西不该该是风险评估的全数。因为有些风险必需要经由过程手动渗入测试深进发掘才可以或许被发现。Rhino Security尝试室量和初创人兼首席参谋Benjamin Caudill暗示：“凡是环境下，最首要的风险只能经由过程专门的手动阐发被发现，例如网站的逻辑缺点。首席信息安然官应当寄望这个标题问题，因为过于依托风险评估东西会给带来子虚的安然感，不克不及找出某些缝隙。”

　　8. 履行以缝隙为中间的评估

　　当企业评估手艺缝隙来肯定风险时，他们常常健忘，数据本身的安然性或不服安性才是风险身分，而不是承载数据的系统。

　　Imperva公司安然计谋主管Barry Shteiman暗示，“风险评估凡是是以缝隙为中间的，而不是以数据为中间，IT凡是选择呵护包含数据的平台，而没有真正体味系统中包含哪些数据，和谁正在拜候或拜候过这些数据。”

　　企业应当服膺，在内部收集根本举措措施上的缝隙风险身分带来的影响可能比不上拜候IP和传染IP的用户带来的风险。

　　9. 健忘衡量人的风险

　　Green Armor Solutions公司首席履行官Joseph Steinberg暗示，一样地，企业必需记住，系统和软件缝隙只是风险评估的一个组件。没有考虑人类行动模式对风险的影响可能会导致最终风险评估成果无效。例如，风险评估可能会确认只有准确的人可以或许拜候敏感的数据，但是，评估可能不会是不是进行了评估员工培训来呵护数据。

　　10.健忘考虑设备的物理安然性

　　当企业运行其评估时，常常被忽视的一个标题问题是物理安然性。举措措施的物理安然凡是会直接影响内部的手艺资产。物理安然性不但影响着员工的安然、设备或硬拷贝数据资产的安然，并且还可能被用来植进奥秘设备来承诺报复打击者长途策动报复打击。