La gestió del risc de la seguretat de la informació implica avaluar possibles riscos i prendre mesures per mitigar-la, així com controlar el resultat. Cada avaluació inclou definir la naturalesa del risc i determinar com amenaça la seguretat del sistema d'informació. Això condueix directament a la mitigació del risc, com sistemes d'actualització per minimitzar la probabilitat del risc avaluat. Finalment, la gestió de riscos inclou el seguiment del sistema de forma continuada per veure si les intervencions de mitigació del risc produeixen els resultats desitjats.
Conceptes bàsics d'autodefensa de TI
Una organització ha d'assegurar-se que té les capacitats per complir la seva missió. Ha d'identificar els riscos que amenacen aquestes capacitats i avaluar les mesures de protecció, tenint en compte els costos econòmics i d'altre tipus d'aquestes mesures. Un risc que s'enfronten a les organitzacions més modernes està compromès amb la seguretat de la informació. Una organització ha d'identificar on la seguretat de la informació compromesa afectaria les seves capacitats per complir la seva missió i adoptar les mesures correctores adequades dins del marc pressupostari establert.
Avaluació de riscos
Quan una organització determina que les debilitats en la seguretat de la informació suposen un risc per a les seves capacitats, ha d'examinar a fons els seus sistemes informàtics, operacions, procediments i interaccions externes per esbrinar on estan els riscos. Això significa identificar possibles amenaces, vulnerabilitats a aquestes amenaces, possibles contramesures, impactes i probabilitat. Els riscos es poden classificar segons la gravetat en funció de l'impacte i la probabilitat. La importància de l'avaluació és que permet identificar els alts riscos que s'han de mitigar.
Mitigació de riscos
La mitigació significa reduir o eliminar els riscos identificats per l'avaluació. Les estratègies per fer front al risc inclouen acceptar el risc, adoptar mesures que redueixin el risc, evitin el risc eliminant la causa, limitant el risc posant controls en el lloc o transferint el risc a un proveïdor, client o companyia d'assegurances. Quina estratègia és apropiada es determina pel grau en què el risc perjudica la capacitat de l'organització per complir la seva missió i el cost de l'aplicació de l'estratègia. La mitigació estructurada és important com a marc per a la gestió del risc.
Avaluació i seguiment
Una vegada que s'hagi completat l'avaluació i la mitigació, la unitat organitzativa ha d'avaluar el resultat immediat i controlar el sistema de forma continuada. Aquest procés comença amb una avaluació dels efectes de l'avaluació i la mitigació, inclosa la configuració de punts de referència per al progrés. Continua amb l'avaluació de l'efecte dels canvis i addicions als sistemes d'informació. Finalment, realitza un seguiment continu del rendiment de la seguretat de la informació, amb l'objectiu d'identificar àrees que poden haver de ser avaluades per un risc addicional. L'avaluació i el seguiment són importants per determinar amb quina eficàcia la unitat organitzativa ha aconseguit el risc de seguretat de la informació.
