Informatiebeveiligingsrisicobeheer omvat het beoordelen van mogelijke risico's en het nemen van maatregelen om dit te mitigeren, evenals het monitoren van het resultaat. Elke beoordeling omvat het definiëren van de aard van het risico en het bepalen hoe het de veiligheid van het informatiesysteem bedreigt. Dit leidt direct tot risicobeheersing, zoals het upgraden van systemen om de waarschijnlijkheid van het ingeschatte risico tot een minimum te beperken. Tot slot omvat risicobeheer het continu monitoren van het systeem om te zien of de risicobeheersingsmaatregelen de gewenste resultaten hebben opgeleverd.
IT zelfverdediging basics
Een organisatie moet ervoor zorgen dat deze over de capaciteiten beschikt om zijn missie te volbrengen. Het moet risico's identificeren die deze vermogens bedreigen, en beschermende maatregelen evalueren, rekening houdend met de economische en andere kosten van die maatregelen. Een risico dat de meeste moderne organisaties tegenkomen is gecompromitteerde informatiebeveiliging. Een organisatie moet vaststellen waar aangetaste informatiebeveiliging haar capaciteiten zou aantasten om haar missie te volbrengen en passende corrigerende maatregelen te nemen binnen haar vastgestelde begrotingskader.
Risicobeoordeling
Wanneer een organisatie vaststelt dat zwakke punten in informatiebeveiliging een risico vormen voor haar capaciteiten, moet zij haar IT-systemen, activiteiten, procedures en externe interacties grondig onderzoeken om erachter te komen waar de risico's liggen. Dit betekent het identificeren van mogelijke bedreigingen, kwetsbaarheden voor die bedreigingen, mogelijke tegenmaatregelen, impact en waarschijnlijkheid. Risico's kunnen worden ingedeeld naar ernst afhankelijk van impact en waarschijnlijkheid. Het belang van beoordeling is dat het de identificatie van hoge risico's mogelijk maakt die moeten worden gemitigeerd.
Risicobeperking
Mitigatie betekent het verminderen of elimineren van de risico's geïdentificeerd door de beoordeling. Strategieën voor het omgaan met het risico omvatten het accepteren van het risico, het nemen van maatregelen die het risico verlagen, het risico vermijden door de oorzaak weg te nemen, het risico beperken door de controles in te voeren of het risico overdragen aan een leverancier, klant of verzekeringsmaatschappij. Welke strategie passend is, wordt bepaald door de mate waarin het risico afbreuk doet aan het vermogen van de organisatie om haar missie te vervullen en de kosten van het implementeren van de strategie. Gestructureerde mitigatie is belangrijk als een kader voor risicobeheer.
Evaluatie en monitoring
Nadat de beoordeling en beperking zijn voltooid, moet de organisatie-eenheid het directe resultaat evalueren en het systeem doorlopend controleren. Dit proces begint met een evaluatie van de effecten van de beoordeling en mitigatie, inclusief het vaststellen van benchmarks voor vooruitgang. Het gaat verder met de evaluatie van het effect van wijzigingen en toevoegingen aan informatiesystemen. Ten slotte voert het een continue monitoring uit van de prestaties van de informatiebeveiliging, met als doel gebieden te identificeren die mogelijk moeten worden beoordeeld op extra risico. Evaluatie en monitoring zijn belangrijk om te bepalen hoe succesvol de organisatie-eenheid haar informatiebeveiligingsrisico heeft beheerd.