眾所周知，企業(yè)部署有效的工具進(jìn)行IT風(fēng)險的評估是非常重要的，但同樣重要的是企業(yè)進(jìn)行風(fēng)險評估的頻率。即使企業(yè)在IT風(fēng)險評估中涵蓋了所有方面，但如果沒有足夠頻繁地評估的話，仍然可能面臨巨大的安全風(fēng)險。

雖然很多法案法規(guī)(例如HIPAA)要求企業(yè)每年進(jìn)行一次風(fēng)險評估，但Neohapsis公司風(fēng)險和咨詢服務(wù)主管Gary Alterson表示，對于大多數(shù)企業(yè)來說，一年一次的風(fēng)險評估并不夠。 Alterson表示：“鑒于迅速變化的威脅環(huán)境以及IT的移動速度，我建議企業(yè)至少應(yīng)該每季度進(jìn)行一次風(fēng)險評估。”

BestIT公司***安全官Jim Mapes表示，現(xiàn)實情況是，現(xiàn)在大多數(shù)企業(yè)甚至很難有足夠的時間來進(jìn)行年度風(fēng)險評估，這也是為什么他認(rèn)為企業(yè)必須重新考慮他們評估風(fēng)險的方式的原因。他表示，“更好的辦法是在生命周期內(nèi)更頻繁的進(jìn)行風(fēng)險評估，一年四季不間斷地進(jìn)行評估，收集關(guān)于新漏洞的數(shù)據(jù)，修復(fù)舊漏洞，并識別漏洞無法修復(fù)的問題領(lǐng)域，以及記錄業(yè)務(wù)決策來緩解對其他可接受水平的影響。”

Neohapsis公司***安全顧問Nathaniel Couper-Noles表示，這種生命周期做法的關(guān)鍵是構(gòu)建時間和資源到內(nèi)部審計IT生命周期內(nèi)。而我們從審計聽到最常見的問題是他們太忙而沒空進(jìn)行內(nèi)部審計。這可能是因為時間表過于緊張，或者項目陷入困境，企業(yè)應(yīng)該盡早進(jìn)行審計，并經(jīng)常進(jìn)行審計，讓IT團(tuán)隊設(shè)計流程和系統(tǒng)，確保他們進(jìn)行全面的有效的審計。

這部分設(shè)計應(yīng)該包括對運營風(fēng)險因素(影響著企業(yè)安全態(tài)勢)的日常追蹤。這對于追蹤IT環(huán)境或威脅環(huán)境內(nèi)的變化尤為重要。雖然這是一個艱巨的任務(wù)，但企業(yè)至少可以對任務(wù)進(jìn)行優(yōu)先排序，從更連續(xù)的評估開始。

Rook Consulting公司安全顧問Luke Klink表示：“不要以為一口氣能夠吃成胖子!企業(yè)應(yīng)該專注于最重要的事情，例如知識產(chǎn)權(quán)、財務(wù)和客戶數(shù)據(jù)等。”

***，最關(guān)鍵的是企業(yè)不應(yīng)該只是評估風(fēng)險，還應(yīng)該想辦法在整個生命周期緩解這些風(fēng)險，如果沒有及時解決這些風(fēng)險問題，這些問題只會像滾雪球一樣越滾越大。