眾所周知，企業(yè)部署有效的工具進(jìn)行IT風(fēng)險(xiǎn)的評(píng)估是非常重要的，但同樣重要的是企業(yè)進(jìn)行風(fēng)險(xiǎn)評(píng)估的頻率。即使企業(yè)在IT風(fēng)險(xiǎn)評(píng)估中涵蓋了所有方面，但如果沒有足夠頻繁地評(píng)估的話，仍然可能面臨巨大的安全風(fēng)險(xiǎn)。

雖然很多法案法規(guī)(例如HIPAA)要求企業(yè)每年進(jìn)行一次風(fēng)險(xiǎn)評(píng)估，但Neohapsis公司風(fēng)險(xiǎn)和咨詢服務(wù)主管Gary Alterson表示，對(duì)于大多數(shù)企業(yè)來說，一年一次的風(fēng)險(xiǎn)評(píng)估并不夠。 Alterson表示：“鑒于迅速變化的威脅環(huán)境以及IT的移動(dòng)速度，我建議企業(yè)至少應(yīng)該每季度進(jìn)行一次風(fēng)險(xiǎn)評(píng)估。”

BestIT公司首席安全官Jim Mapes表示，現(xiàn)實(shí)情況是，現(xiàn)在大多數(shù)企業(yè)甚至很難有足夠的時(shí)間來進(jìn)行年度風(fēng)險(xiǎn)評(píng)估，這也是為什么他認(rèn)為企業(yè)必須重新考慮他們?cè)u(píng)估風(fēng)險(xiǎn)的方式的原因。他表示，“更好的辦法是在生命周期內(nèi)更頻繁的進(jìn)行風(fēng)險(xiǎn)評(píng)估，一年四季不間斷地進(jìn)行評(píng)估，收集關(guān)于新漏洞的數(shù)據(jù)，修復(fù)舊漏洞，并識(shí)別漏洞無法修復(fù)的問題領(lǐng)域，以及記錄業(yè)務(wù)決策來緩解對(duì)其他可接受水平的影響。”

Neohapsis公司首席安全顧問Nathaniel Couper-Noles表示，這種生命周期做法的關(guān)鍵是構(gòu)建時(shí)間和資源到內(nèi)部審計(jì)IT生命周期內(nèi)。而我們從審計(jì)聽到最常見的問題是他們太忙而沒空進(jìn)行內(nèi)部審計(jì)。這可能是因?yàn)闀r(shí)間表過于緊張，或者項(xiàng)目陷入困境，企業(yè)應(yīng)該盡早進(jìn)行審計(jì)，并經(jīng)常進(jìn)行審計(jì)，讓IT團(tuán)隊(duì)設(shè)計(jì)流程和系統(tǒng)，確保他們進(jìn)行全面的有效的審計(jì)。

這部分設(shè)計(jì)應(yīng)該包括對(duì)運(yùn)營風(fēng)險(xiǎn)因素(影響著企業(yè)安全態(tài)勢)的日常追蹤。這對(duì)于追蹤IT環(huán)境或威脅環(huán)境內(nèi)的變化尤為重要。雖然這是一個(gè)艱巨的任務(wù)，但企業(yè)至少可以對(duì)任務(wù)進(jìn)行優(yōu)先排序，從更連續(xù)的評(píng)估開始。

Rook Consulting公司安全顧問Luke Klink表示：“不要以為一口氣能夠吃成胖子!企業(yè)應(yīng)該專注于最重要的事情，例如知識(shí)產(chǎn)權(quán)、財(cái)務(wù)和客戶數(shù)據(jù)等。”

最后，最關(guān)鍵的是企業(yè)不應(yīng)該只是評(píng)估風(fēng)險(xiǎn)，還應(yīng)該想辦法在整個(gè)生命周期緩解這些風(fēng)險(xiǎn)，如果沒有及時(shí)解決這些風(fēng)險(xiǎn)問題，這些問題只會(huì)像滾雪球一樣越滾越大。