O gerenciamento de riscos de segurança da informação envolve a avaliação de possíveis riscos e a adoção de medidas para mitigá-los, bem como o monitoramento do resultado. Toda avaliação inclui a definição da natureza do risco e a determinação de como ele ameaça a segurança do sistema de informações. Isso leva diretamente à mitigação de riscos, como a atualização de sistemas para minimizar a probabilidade do risco avaliado. Finalmente, o gerenciamento de riscos inclui o monitoramento contínuo do sistema para verificar se as intervenções de mitigação de riscos produziram os resultados desejados.
Noções básicas de defesa pessoal
Uma organização deve garantir que tenha os recursos para cumprir sua missão. Deve identificar os riscos que ameaçam essas capacidades e avaliar as medidas de proteção, tendo em mente os custos econômicos e outros custos dessas medidas. Um risco que a maioria das organizações modernas enfrenta é a segurança da informação comprometida. Uma organização deve identificar onde a segurança da informação comprometida afetaria suas capacidades para realizar sua missão e tomar medidas corretivas apropriadas dentro de sua estrutura orçamentária estabelecida.
Avaliação de risco
Quando uma organização determina que os pontos fracos na segurança da informação representam um risco para suas capacidades, ela deve examinar cuidadosamente seus sistemas de TI, operações, procedimentos e interações externas para descobrir onde estão os riscos. Isso significa identificar possíveis ameaças, vulnerabilidades a essas ameaças, possíveis contramedidas, impacto e probabilidade. Os riscos podem ser classificados quanto à gravidade, dependendo do impacto e da probabilidade. A importância da avaliação é que ela permite a identificação de altos riscos que devem ser mitigados.
Mitigação de Risco
Mitigação significa reduzir ou eliminar os riscos identificados pela avaliação. Estratégias para lidar com o risco incluem aceitar o risco, adotar medidas que diminuam o risco, evitando o risco eliminando a causa, limitando o risco colocando em prática os controles ou transferindo o risco para um fornecedor, cliente ou companhia de seguros. Qual estratégia é apropriada é determinada pela medida em que o risco prejudica a capacidade da organização de cumprir sua missão e o custo de implementar a estratégia. A mitigação estruturada é importante como uma estrutura para o gerenciamento de riscos.
Avaliação e Monitoramento
Depois que a avaliação e a mitigação forem concluídas, a unidade organizacional deve avaliar o resultado imediato e monitorar o sistema continuamente. Este processo começa com uma avaliação dos efeitos da avaliação e mitigação, incluindo o estabelecimento de benchmarks para o progresso. Continua com a avaliação do efeito das mudanças e adições aos sistemas de informação. Por fim, realiza um monitoramento contínuo do desempenho da segurança da informação, com o objetivo de identificar áreas que podem ter que ser avaliadas quanto a riscos adicionais. A avaliação e o monitoramento são importantes para determinar com que sucesso a unidade organizacional gerenciou seu risco de segurança da informação.