Gestionarea riscului de securitate a informației presupune evaluarea riscurilor posibile și luarea de măsuri pentru diminuarea acesteia, precum și monitorizarea rezultatului. Fiecare evaluare include definirea naturii riscului și determinarea modului în care acesta amenință securitatea sistemului informatic. Acest lucru conduce direct la atenuarea riscurilor, cum ar fi modernizarea sistemelor pentru a minimiza probabilitatea riscului evaluat. În cele din urmă, managementul riscului include monitorizarea permanentă a sistemului pentru a vedea dacă intervențiile de reducere a riscurilor au produs rezultatele dorite.
Bazele IT de auto-apărare
O organizație trebuie să se asigure că are capacitatea de a-și îndeplini misiunea. Trebuie să identifice riscurile care amenință aceste capacități și să evalueze măsurile de protecție, ținând cont de costurile economice și de alte costuri ale acestor măsuri. Unul dintre riscurile cu care se confruntă majoritatea organizațiilor moderne este securitatea informațiilor compromise. O organizație trebuie să identifice locul în care securitatea informațiilor compromise ar afecta capacitățile sale de a-și îndeplini misiunea și de a lua măsurile corective adecvate în cadrul bugetar stabilit.
Evaluare a riscurilor
Atunci când o organizație stabilește că deficiențele în securitatea informațiilor prezintă un risc pentru capacitățile sale, trebuie să examineze cu atenție sistemele IT, operațiunile, procedurile și interacțiunile externe pentru a afla unde sunt riscurile. Aceasta înseamnă identificarea posibilelor amenințări, vulnerabilități la aceste amenințări, posibile contramăsuri, impact și probabilitate. Riscurile pot fi clasificate în funcție de severitate în funcție de impact și probabilitate. Importanța evaluării este că permite identificarea unor riscuri ridicate care trebuie atenuate.
Reducerea riscurilor
Atenuarea înseamnă reducerea sau eliminarea riscurilor identificate de evaluare. Strategiile de abordare a riscului includ acceptarea riscului, adoptarea de măsuri care reduc riscul, evitând riscul prin eliminarea cauzei, limitând riscul prin introducerea unor controale sau transferând riscul către un furnizor, client sau companie de asigurări. Strategia adecvată este determinată de măsura în care riscul afectează capacitatea organizației de a-și îndeplini misiunea și costul implementării strategiei. Reducerea structurată este importantă ca un cadru pentru gestionarea riscurilor.
Evaluarea și monitorizarea
Odată ce evaluarea și atenuarea au fost finalizate, unitatea organizațională trebuie să evalueze rezultatul imediat și să monitorizeze sistemul în mod continuu. Acest proces începe cu o evaluare a efectelor evaluării și a atenuării, inclusiv stabilirea de repere pentru progres. Aceasta continuă cu evaluarea efectului schimbărilor și adaosurilor la sistemele informatice. În cele din urmă, acesta efectuează monitorizarea continuă a performanței securității informațiilor, cu scopul de a identifica zone care ar putea fi evaluate pentru riscuri suplimentare. Evaluarea și monitorizarea sunt importante pentru determinarea modului în care unitatea organizațională a reușit să-și gestioneze riscul de securitate a informațiilor.
