博客
IT安全风险评估方法:定性与定量
抽象形状抽象形状
加入27,000多个网络安全通讯订阅者

制定IT安全风险评估方法是构建强大功能的关键部分  信息安全 风险管理程序。 

评估者使用的两种最流行的风险评估方法是:

  1. 定性风险分析: 基于方案的方法,使用不同的威胁漏洞方案进行尝试和回答"what if"输入问题。这些评估本质上是主观的。
  2. 定量风险分析: 为不同的风险评估组件分配一个数值。访问者旨在量化所有要素(资产价值,威胁频率,保障有效性,不确定性和可能性),以回答诸如"How much would a 数据泄露 cost us?" 和 "我们需要启动多少小时的离线时间 事件响应计划?"

什么是风险评估?

风险评估是旨在识别 网络安全风险,其来源以及如何将其降低到可接受的风险水平。 

该过程通常从一系列问题开始,以建立信息资产,过程,过程和人员的清单。 

这使您的组织及其访问者可以了解什么是关键信息资产以及哪些风险最高。风险通常以事件的影响乘以事件的频率或概率来计算。 

无论您的组织使用定性还是定量风险评估程序,都需要一定水平的决策制定。通常以成本/收益分析的形式来确定哪些风险可以接受,哪些风险必须减轻。  

稳健的风险评估流程将专注于以下方面 信息安全 包括物理和环境,行政和管理以及技术控制。

对于评估人员而言,这是一个繁琐的过程,需要强大的质量保证和项目管理技能,并且随着组织的发展而变得越来越困难。在信息系统,流程和人员变更的步伐不断加快以及新的引入的推动下 网络威胁漏洞 and 第三方供应商.  

什么时候应该进行风险评估? 

随着业务需求的变化和新的需求,必须在信息资产的整个生命周期中进行风险评估。 攻击载体 emerge. 

通过采用持续的风险评估方法,组织可以识别新兴的 网络安全风险 以及需要解决的控制措施。 

与任何其他过程一样,安全性需要不断进行监控,改进并将其视为整体产品/服务质量的一部分。 

只要发现安全漏洞或风险暴露,以及决定实施或放弃某种控制措施或 第三方供应商

与任何 信息风险管理 过程,这很大程度上是基于 CIA三合会(机密性,完整性和可用性)和your business needs.

为了简化风险评估流程,组织应具有内部安全策略和标准,以强制执行整个组织及其供应商(例如,仅将第三方供应商与 SOC 2 assurance 和 a 安全等级 above 850. 

为什么风险评估过程很重要?

网络安全 主要是关于降低风险。当您连接到Internet时,依靠新的信息技术或使用新的信息 第三方供应商,您会引入一定程度的风险。 

风险评估可识别关键信息资产,其对组织及其客户和合作伙伴的价值(定性或定量)。   

利用这些信息,管理层可以更好地了解其风险状况以及现有的安全控制措施是否足够。 

由于外包的增加以及对供应商进行处理,存储和传输的依赖日益增加,这一点变得越来越重要 敏感数据,以及向客户提供商品和服务。 

将其与针对保护和披露 个人身份信息(PII) and 受保护的健康信息(PHI) 对清晰的风险评估方法的需求从未如此迫切。

了解每一项技术,供应商和员工都有潜力 攻击载体,无论来自 社会工程学 attacks like 网络钓鱼 and 鱼叉式网络钓鱼 或基于技术的攻击(例如 漏洞利用 of CVE列出 漏洞中间人攻击勒索软件 and other 恶意软件类型.

为了最大程度地减少潜在损失并保持运营,您组织的每个级别都需要了解安全要求,并且强大的风险评估方法可以大大减轻已识别的风险。  

通过风险评估,员工可以更加了解 网络威胁 并学会避免可能有害于 信息安全数据安全 and 网络安全,提高安全意识并提供帮助 事件响应计划

定量或定性风险评估方法是否更好?

定量和定性风险评估方法各有利弊。一流的组织采用一种混合方法,该方法考虑了定量和定性输入。 

风险管理的重点是制定经过风险调整的决策,以使您的组织高效运作,同时承担您认为可接受的风险。 

这样做的唯一方法是了解您所面临的风险,您愿意接受的风险以及希望转移,减轻或避免的风险。例如,您可以选择以极低的概率忽略高风险,例如亚马逊终止Amazon Web Services,因为您决定'降低它的成本效益不高。

相反,具有较低风险容忍度的其他组织可能会决定跨两个云服务提供商来减轻风险。 

无论您的风险状况如何,总会有残留风险'只是降低一切成本都不划算。

ProsCons定性

  • 定性分析是一种较简单的评估方法,有'任何复杂的计算
  • 确定资产的货币价值不是'始终必须或可能对无形资产(如声誉和客户信誉)进行估值
  • 无需量化威胁频率
  • 更容易让非安全和非技术人员参与
  • 本质上是主观的
  • 评估的结果和质量取决于风险管理团队的专业知识和质量
  • 了解资产货币价值的精力有限
  • 没有针对风险缓解技术的成本/收益分析,例如实施安全控制和安全策略的成本

定量的

  • 定量分析基于客观过程和 指标,消除主观性
  • 资产价值和风险缓解方案已广为人知
  • 成本/收益评估工作量很大,可帮助高级管理人员首先缓解高风险活动
  • 结果可以用管理专用语言表示(例如货币值和概率) 
  • 定量方法可能很复杂且耗时
  • 从历史上看,只有在公认的情况下才能很好地工作 自动化安全管理工具 和相关的知识库
  • 需要进行初步工作以收集和量化不同的风险信息
  • 通常不专注于人员级别,可能会忽略安全意识培训

有效的风险管理有哪些障碍?

安全管理团队的共同抱怨是他们没有时间进行深入的风险评估。 

即使对于那些这样做的人,他们也常常为从哪里开始而苦苦挣扎。这是因为'每个人都接受的一种最佳行业标准。

此外,大多数准则(例如ISO 27001和NIST信息技术系统安全自我评估指南SP 800-26)本质上都是通用的,没有'•提供有关如何进行适当风险评估的足够详细信息。  

这导致许多组织将风险管理流程外包给在进行适当风险评估方面具有专业知识的外部供应商。它们还可以帮助您的组织制定有效的政策,例如 供应商管理政策 and 第三方风险管理框架.

但是,随着组织规模和复杂性的增长以及第三方供应商的数量的增加,外包的成本变得昂贵。你也不要'希望您的组织依靠外部供应商来制定重要的业务和风险缓解决策。  

这就是为什么越来越多的组织将其风险管理与内部管理整合在一起 供应商风险管理 programs. 

网络安全评级工具 通过自动监视和评估第一方,第三方和第四方,可以帮助您扩展风险管理团队 安全态势。这使您的风险管理团队可以首先专注于最高风险,最高影响的修复程序,并成倍增加 第三方供应商 一个人可以管理。 

漏洞评估使小型团队可以扩大规模并了解 第三方风险 and 第四方风险 in real-time. 

如果您的组织缺乏风险管理专业知识,或者只是想扩展其风险管理团队,请考虑投资能够 自动化供应商风险管理,提供 供应商风险评估问卷模板 and monitor 对于 第一方风险和凭证泄漏.

UpGuard如何改善您的风险评估流程

像这样的公司 洲际交流泰勒·弗莱纽约证券交易所,IAG,First State Super,Akamai,Morningstar和NASA使用UpGuard保护其数据, 防止数据泄露,监视 漏洞 and avoid 恶意软件.

We'我们是数据泄露方面的专家 数据泄露研究 已在 纽约时报彭博社华盛顿邮报福布斯路透社 and Techcrunch。

UpGuard供应商风险 通过自动化可以最大程度地减少组织花费在管理第三方关系上的时间 供应商问卷 并持续监控您的供应商'随着时间的流逝而形成的安全态势,同时将它们与行业进行比较 

每个供应商均根据50多个标准(例如是否存在 SSL协议 and 域名系统,以及 域名劫持中间人攻击 and 电子邮件欺骗 for 网络钓鱼.

每天,我们的平台都会通过 网络安全等级 out 的 950. We'如果他们的分数下降,我会提醒您。

UpGuard BreachSight 可以帮助监控DMARC,打击  抢注, 避免 数据泄露 and 数据泄漏,避免监管罚款并保护您的客户's trust through 网络安全等级 和连续曝光检测。 

如果你'd想看看您的组织如何堆叠, 获得免费的网络安全评级

立即预订演示。

自由

白色UpGuard徽标
可供下载的UpGuard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色UpGuard徽标
电子书,报告& Whitepapers
可供下载的UpGuard免费资源
UpGuard客户支持团队UpGuard客户支持团队UpGuard客户支持团队

观看UpGuard的实际应用

与我们的一位网络安全专家预订免费的个性化入职电话。
抽象形状抽象形状

相关文章

了解有关网络安全的最新问题的更多信息。
传送图标

注册我们的时事通讯

每周在收件箱中获取最新精选的网络安全新闻,漏洞,事件和更新。
抽象形状抽象形状
免费即时安全评分

您的组织有多安全?

索取免费的网络安全报告,以发现您的网站,电子邮件,网络和品牌上的主要风险。
  • 检查图标
    您可以立即采取行动的即时见解
  • 检查图标
    13个风险因素,包括电子邮件安全,SSL,DNS运行状况,开放端口和常见漏洞
网站安全扫描结果网站安全扫描等级抽象形状