La gestione dei rischi per la sicurezza delle informazioni implica la valutazione dei possibili rischi e l'adozione di misure per attenuarli e monitorare il risultato. Ogni valutazione include la definizione della natura del rischio e la determinazione di come minaccia la sicurezza del sistema informativo. Ciò porta direttamente alla mitigazione del rischio, come l'aggiornamento dei sistemi per ridurre al minimo la probabilità del rischio valutato. Infine, la gestione del rischio include il monitoraggio del sistema su base continuativa per verificare se gli interventi di mitigazione del rischio hanno prodotto i risultati desiderati.
Nozioni di base sulla difesa personale
Un'organizzazione deve assicurarsi di avere le capacità per portare a termine la propria missione. Deve identificare i rischi che minacciano tali capacità e valutare le misure protettive, tenendo presente i costi economici e di altro tipo di tali misure. Un rischio che la maggior parte delle organizzazioni moderne deve affrontare è la sicurezza delle informazioni compromessa. Un'organizzazione deve identificare dove la sicurezza delle informazioni compromesse inciderebbe sulle sue capacità per portare a termine la sua missione e adottare le misure correttive appropriate all'interno del suo quadro di bilancio stabilito.
Valutazione del rischio
Quando un'organizzazione determina che i punti deboli nella sicurezza delle informazioni rappresentano un rischio per le sue capacità, deve esaminare a fondo i suoi sistemi IT, le operazioni, le procedure e le interazioni esterne per scoprire dove si trovano i rischi. Ciò significa identificare possibili minacce, vulnerabilità a tali minacce, possibili contromisure, impatto e verosimiglianza. I rischi possono essere classificati in base alla gravità a seconda dell'impatto e della probabilità. L'importanza della valutazione è che consente l'identificazione di rischi elevati che devono essere mitigati.
Mitigazione del rischio
Mitigazione significa ridurre o eliminare i rischi identificati dalla valutazione. Le strategie per affrontare il rischio includono l'accettazione del rischio, l'adozione di misure che riducano il rischio, evitando il rischio eliminando la causa, limitando il rischio mettendo i controlli in atto o trasferendo il rischio a un fornitore, cliente o compagnia assicurativa. Quale strategia è appropriata è determinata dalla misura in cui il rischio compromette la capacità dell'organizzazione di adempiere alla sua missione e il costo di attuazione della strategia. La mitigazione strutturata è importante come quadro per la gestione del rischio.
Valutazione e monitoraggio
Una volta che la valutazione e la mitigazione sono state completate, l'unità organizzativa deve valutare il risultato immediato e monitorare il sistema su base continuativa. Questo processo inizia con una valutazione degli effetti della valutazione e della mitigazione, compresa la definizione di parametri per il progresso. Continua con la valutazione dell'effetto delle modifiche e delle aggiunte ai sistemi di informazione. Infine, esegue il monitoraggio continuo delle prestazioni di sicurezza delle informazioni, con l'obiettivo di identificare le aree che potrebbero dover essere valutate per ulteriori rischi. La valutazione e il monitoraggio sono importanti per determinare in che modo l'unità organizzativa ha gestito correttamente il proprio rischio di sicurezza delle informazioni.