ניהול סיכוני אבטחת מידע כרוך בהערכת סיכונים אפשריים ובצעדים להקטנתה, וכן במעקב אחר התוצאה. כל הערכה כוללת הגדרת אופי הסיכון וקביעת האופן שבו הוא מאיים על אבטחת מערכות המידע. הדבר מוביל ישירות להפחתת הסיכון כגון שדרוג מערכות כדי למזער את הסבירות של הסיכון המוערך. לבסוף, ניהול סיכונים כולל מעקב אחר המערכת על בסיס מתמשך כדי לראות אם התערבויות להפחתת הסיכון הניבו את התוצאות הרצויות.
עקרונות הגנה עצמית IT
ארגון חייב להבטיח כי יש לו את היכולת לבצע את המשימה. הוא חייב לזהות סיכונים המאיימים על היכולות הללו, ולהעריך אמצעי הגנה, תוך התחשבות בעלויות הכלכליות והאחרות של אותם צעדים. אחד הסיכונים כי רוב הארגונים המודרניים פנים הוא בסכנה אבטחת מידע. על הארגון לזהות היכן יגרמו לביטחון המידע לפגוע ביכולתו לבצע את משימתו ולנקוט באמצעים מתקנים מתאימים במסגרת התקציב התקציבית שלו.
הערכת סיכונים
כאשר הארגון קובע שחולשות בתחום אבטחת המידע מהוות סיכון ליכולותיו, עליו לבחון באופן יסודי את מערכות ה- IT שלו, פעולותיו, נהליו ואת האינטראקציות החיצוניות שלו כדי לברר היכן נמצאים הסיכונים. משמעות הדבר היא זיהוי איומים אפשריים, נקודות תורפה לאיומים אלה, אמצעי נגד אפשריים, השפעה וסבירות. ניתן לסווג סיכונים בהתאם לחומרה בהתאם להשפעה ולסיכוי. חשיבות ההערכה היא שהיא מאפשרת זיהוי סיכונים גבוהים שיש להקל עליהם.
הפחתת סיכון
הקלות פירושו צמצום או ביטול הסיכונים שזוהו על ידי המבדק. אסטרטגיות להתמודדות עם הסיכון כוללות קבלת הסיכון, אימוץ אמצעים שיורידו את הסיכון, הימנעות מהסיכון על ידי ביטול הגורם, הגבלת הסיכון על ידי הנחת בקרות או העברת הסיכון לחברת הספק, הלקוח או הביטוח. איזו אסטרטגיה מתאימה נקבעת על פי מידת הפגיעה ביכולת של הארגון למלא את שליחותו, ואת עלות ביצוע האסטרטגיה. הפחתה מובנית חשובה כמסגרת לניהול סיכונים.
הערכה ומעקב
לאחר השלמת ההערכה וההשלמה, על היחידה הארגונית להעריך את התוצאה המיידית ולפקח על המערכת באופן שוטף. תהליך זה מתחיל בהערכת ההשפעות של ההערכה וההפחתה, כולל קביעת מדדי התקדמות. הוא ממשיך בהערכת השפעת השינויים והתוספות למערכות מידע. לבסוף, היא מבצעת מעקב רציף אחר ביצועי אבטחת המידע, במטרה לזהות אזורים שעשויים להיות מוערכים לסיכון נוסף. הערכה ומעקב חשובים בקביעת מידת הצלחתה של היחידה הארגונית בניהול סיכוני אבטחת המידע שלה.
