组织的敏感信息不断受到威胁。识别这些安全风险对于保护这一些信息至关重要。但有些风险比其他风险更大。一些缓解方案比其他方案更昂贵。你如何做出正确的决定?采用正式的风险评估流程可提供设置优先级所需的信息。
风险管理是一项经常性活动,涉及分析、规划、实施、控制和监控已实施的测量和强制执行的安全策略。相反,风险评估在离散的时间点执行(例如,每年一次,按需等),并且直到执行下一次评估–提供评估风险的临时视图,同时参数化整个风险管理流程。这种风险管理与风险评估之间关系的观点在图中被描述为从OCTAVE中采用的。
风险评估通常在多个迭代中进行,第一个迭代是识别高风险的高级评估,而其他迭代则详细分析主要风险和其他风险。根据美国国家信息保障培训和教育中心在 IT 领域的风险评估是:
1.对安全措施的漏洞、威胁、可能性、损失或影响以及理论有效性的研究。管理人员使用风险评估的结果来制定安全要求和规范。
2.评估已知和假设的威胁和漏洞的过程,以确定预期损失并确定系统操作的可接受程度。
3.识别特定ADP设施的资产、对这些资产的威胁以及ADP设施对这些威胁的脆弱性。
4.对系统资产和漏洞的分析,以根据某些事件发生的估计概率确定某些事件的预期损失。风险评估的目的是确定对策是否足以将损失的可能性或损失的影响降低到可接受的水平。
5.一种管理工具,它提供了一种系统方法,用于确定计算机安装资产的相对价值和敏感性、评估漏洞、评估损失预期或感知风险暴露水平、评估现有保护功能和额外的保护替代方案或接受风险并记录管理决策。实施附加保护功能的决定通常基于安全措施的成本/收益与要保护的资产的敏感性/价值之间有合理的比率。风险评估可能不一样,从对小型微型计算机安装的非正式审查到对大型计算机安装的更正式和完整记录的分析(即风险分析)。
组织能够使用多种方法来评估风险——定量、定性、半定量、基于资产、基于漏洞或基于威胁。每种方法都可以评估组织的风险状况,但它们都需要权衡取舍。
定量方法为过程带来了分析的严谨性。资产和风险获得美元价值。由此产生的风险评估可以用高管与董事会成员容易理解的财务术语呈现。成本效益分析让决策者可以第一先考虑缓解方案。
定量方法可能并不合适。有些资产或风险不容易量化。迫使他们采用这种数字方法需要判断力——破坏评估的客观性。
定量方法也可能很复杂。在董事会之外传达结果可能很困难。此外,一些组织不具备定量风险评估所需的内部专业相关知识。组织通常会承担额外的成本来引入顾问的技术和财务技能。
在定量方法采用科学办法来进行风险评估的地方,定性方法采用更新闻化的方法。评估员会见整个组织的人员。员工分享如果系统离线,他们将如何或是否完成工作。评估员使用此输入来粗略地对风险进行分类,例如高、中或低。
整个组织的人员更有可能理解定性风险评估。另一方面,这一些方法本质上是主观的。评估团队必制定易于解释的情景,制定避免偏见的问题和访谈方法,然后解释结果。
一些组织将结合以前的方法来创建半定量风险评估。使用这种方法,组织将使用数字尺度(例如1-10 或1-100)来分配数字风险值。得分在较低三分之一的风险项目被归为低风险,中间三分之一为中等风险,而较高的三分之一为高风险。
混合定量和定性方法避免了前者的密集概率和资产价值计算,同时产生比后者更多的分析评估。半定量办法能够更客观,并为确定风险项目的优先级提供了良好的基础。
传统上,组织采用基于资产的方法来评估 IT 风险。资产由处理组织信息的硬件、软件和网络以及信息本身组成。基于资产的评估通常遵循四个步骤:
基于资产的方法很受欢迎,因为它们符合IT部门的结构、运营和文化。防火墙的风险和控制很容易理解。
然而,基于资产的方法不能产生完整的风险评估。有些风险不是信息基础设施的一部分。政策、流程和其他“软”因素可以使组织面临与未打补丁的防火墙一样多的危险。
基于漏洞的方法将风险评估的范围扩展到组织的资产之外。该过程首先检查组织系统或这些系统运行的环境中已知的弱点和缺陷。
从那里,评估人员确定可能利用这些漏洞的可能威胁,以及利用这些漏洞的潜在后果。
将基于漏洞的风险评估与组织的漏洞管理流程相结合,证明了有效的风险管理和漏洞管理流程。
虽然这种方法比纯粹的基于资产的评估捕获更多的风险,但它基于已知的漏洞并且可能没办法捕获组织面临的全部威胁。
基于威胁的办法能够对组织的整体风险态势提供更完整的评估。这种方法评估产生风险的条件。资产审计将是评估的一部分,因为资产及其控制会导致这些情况。
基于威胁的方法超越了物理基础设施。例如,通过评估威胁参与者使用的技术,评估可能会重新确定缓解选项的优先级。网络安全培训可减轻社会工程攻击。基于资产的评估可能会第一先考虑系统控制而不是员工素质培训。另一方面,基于威胁的评估可能会发现,增加网络安全培训的频率能以较低的成本降低风险。
这一些方法都不是完美的。每个人都有长处和短处。幸运的是,它们都不是相互排斥的。无论是有意还是因情况,组织通常会结合这些办法来进行风险评估。
如果董事会级别和高管批准是最重要的标准,那么方法将倾向于定量方法。若需要员工和其他利益相关者的支持,更多的定性方法可能会更好。基于资产的评估自然地与IT组织保持一致,而基于威胁的评估则解决了当今复杂的网络安全形势。