大家都知道,企业布署合理的设备开展IT风险的评估是十分关键的,但一样关键的是企业开展风险评估的頻率。即使企业在IT风险评估中包含了所有的层面,但要是没有充足经常地评估得话,依然很有可能遭遇较大的安全性风险。
尽管许多法令政策法规(例如HIPAA)规定企业每一年开展一次风险评估,但Neohapsis企业风险和服务咨询负责人Gary Alterson表示,针对大部分企业而言,一年一次的风险评估并不足。 Alterson表示:“由于快速改变的危害自然环境及其IT的运动速率,我建议企业最少应当一个季度开展一次风险评估。”
BestIT企业***安全性官Jim Mapes表明,现实状况是,如今大部分企业乃至难以有充足的时间段来开展本年度风险评估,这也是为什么他觉得企业务必慎重考虑她们评估风险的方法的缘故。他表明,“更强的方法是在生命期内更经常的开展风险评估,一年四季无间断地开展评估,搜集关于新系统漏洞的数据信息,修补旧系统漏洞,并鉴别系统漏洞没法恢复的问题行业,及其纪录业务流程管理决策来减轻对别的可进行水准的危害。”
Neohapsis企业***安全性咨询顾问Nathaniel Couper-Noles表明,这类生命期作法的关键是搭建時间和資源到内部审计IT生命期内。而人们从财务审计听见最多见的问题是她们太忙而没时间开展内部审计。这也许是由于时刻表过度焦虑不安,或是新项目陷入绝境,企业应当尽快开展财务审计,并时常开展财务审计,让IT精英团队设计流程和系统软件,保证她们实现全方位的合理有效的财务审计。
这一部分设计方案应当包含对经营风险要素(危害着企业安全性趋势)的日常跟踪。这针对跟踪IT自然环境或危害自然环境内的转变至关重要。尽管这是一个艰巨的任务,但企业最少可以对每日任务开展优先选择排列,从更持续的评估逐渐。
Rook Consulting企业安全性咨询顾问Luke Klink表明:“不必认为一口气可以吃成大胖子!企业应当致力于最关键的事情,例如专利权、会计和客户资料等。”
***,最重要的是企业不应该仅仅评估风险,还应当想办法在所有生命期减轻这种风险,要是没有立即处理这种风险问题,这些问题只能像雪球一样越滚越大。