Manajemen risiko keamanan informasi melibatkan penilaian risiko yang mungkin dan mengambil langkah-langkah untuk memitigasinya, serta memantau hasilnya. Setiap penilaian termasuk mendefinisikan sifat risiko dan menentukan bagaimana hal itu mengancam keamanan sistem informasi. Ini mengarah langsung ke mitigasi risiko seperti meningkatkan sistem untuk meminimalkan kemungkinan risiko yang dinilai. Akhirnya, manajemen risiko mencakup pemantauan sistem secara berkelanjutan untuk melihat apakah intervensi mitigasi risiko menghasilkan hasil yang diinginkan.
Dasar-dasar Bela Diri IT
Suatu organisasi harus memastikan bahwa ia memiliki kemampuan untuk mencapai misinya. Ini harus mengidentifikasi risiko yang mengancam kemampuan itu, dan mengevaluasi tindakan perlindungan, dengan mengingat biaya ekonomi dan biaya lain dari tindakan itu. Salah satu risiko yang dihadapi sebagian besar organisasi modern adalah keamanan informasi yang terkompromikan. Suatu organisasi harus mengidentifikasi di mana keamanan informasi yang dikompromikan akan mempengaruhi kemampuannya untuk menyelesaikan misinya dan mengambil tindakan korektif yang sesuai dalam kerangka anggaran yang ditetapkan.
Tugas beresiko
Ketika suatu organisasi menentukan bahwa kelemahan dalam keamanan informasi menimbulkan risiko bagi kemampuannya, ia harus memeriksa sistem, operasi, prosedur, dan interaksi eksternal TI secara menyeluruh untuk mengetahui di mana risiko berada. Ini berarti mengidentifikasi kemungkinan ancaman, kerentanan terhadap ancaman itu, kemungkinan tindakan balasan, dampak, dan kemungkinan. Risiko dapat diklasifikasikan sebagai tingkat keparahan tergantung pada dampak dan kemungkinannya. Pentingnya penilaian adalah bahwa hal itu memungkinkan identifikasi risiko tinggi yang harus dikurangi.
Mitigasi risiko
Mitigasi berarti mengurangi atau menghilangkan risiko yang diidentifikasi oleh penilaian. Strategi untuk menangani risiko termasuk menerima risiko, mengadopsi langkah-langkah yang akan menurunkan risiko, menghindari risiko dengan menghilangkan penyebabnya, membatasi risiko dengan menempatkan kontrol di tempat, atau mentransfer risiko ke pemasok, pelanggan atau perusahaan asuransi. Strategi mana yang tepat ditentukan oleh sejauh mana risiko merusak kemampuan organisasi untuk memenuhi misinya, dan biaya penerapan strategi. Mitigasi terstruktur penting sebagai kerangka kerja untuk manajemen risiko.
Evaluasi dan Pemantauan
Setelah penilaian dan mitigasi telah selesai, unit organisasi harus mengevaluasi hasil langsung dan memantau sistem secara berkelanjutan. Proses ini dimulai dengan evaluasi dampak penilaian dan mitigasi, termasuk pengaturan tolok ukur untuk kemajuan. Ini berlanjut dengan evaluasi dampak perubahan dan penambahan pada sistem informasi. Akhirnya, ia melakukan pemantauan terus menerus terhadap kinerja keamanan informasi, dengan tujuan mengidentifikasi bidang-bidang yang mungkin harus dinilai untuk risiko tambahan. Evaluasi dan pemantauan penting untuk menentukan seberapa berhasil unit organisasi mengelola risiko keamanan informasinya.
