La gestion des risques liés à la sécurité de l’information implique d’évaluer les risques éventuels, de prendre des mesures pour les atténuer et de surveiller les résultats. Chaque évaluation inclut la définition de la nature du risque et la détermination de la manière dont il menace la sécurité du système d’information. Cela conduit directement à une atténuation des risques, telle que la mise à niveau des systèmes afin de minimiser la probabilité du risque évalué. Enfin, la gestion des risques comprend la surveillance continue du système pour voir si les interventions d'atténuation des risques ont produit les résultats souhaités.
Les bases de l'auto-défense
Une organisation doit s'assurer qu'elle dispose des capacités nécessaires pour accomplir sa mission. Il doit identifier les risques qui menacent ces capacités et évaluer les mesures de protection en tenant compte des coûts économiques et autres de ces mesures. La sécurité des informations est un risque pour la plupart des organisations modernes. Une organisation doit identifier les domaines dans lesquels la sécurité de l'information pourrait affecter sa capacité à remplir sa mission et prendre les mesures correctives appropriées dans le cadre budgétaire en vigueur.
L'évaluation des risques
Lorsqu'une entreprise détermine que des faiblesses dans la sécurité de l'information posent un risque pour ses capacités, elle doit examiner de manière approfondie ses systèmes informatiques, ses opérations, ses procédures et ses interactions externes pour déterminer où se trouvent les risques. Cela signifie identifier les menaces possibles, les vulnérabilités à ces menaces, les contre-mesures possibles, l'impact et la probabilité. Les risques peuvent être classés selon leur gravité en fonction de l'impact et de la probabilité. L’importance de l’évaluation est qu’elle permet d’identifier les risques élevés qui doivent être atténués.
Atténuation des risques
Atténuer signifie réduire ou éliminer les risques identifiés par l'évaluation. Les stratégies de gestion du risque comprennent l’acceptation du risque, l’adoption de mesures qui le réduisent, l’élimination du risque, la limitation du risque en mettant en place des contrôles ou le transfert du risque à un fournisseur, à un client ou à une compagnie d’assurance. La stratégie appropriée est déterminée par la mesure dans laquelle le risque compromet la capacité de l'organisation à remplir sa mission et par le coût de la mise en œuvre de la stratégie. Une atténuation structurée est importante en tant que cadre pour la gestion des risques.
Evaluation et suivi
Une fois l'évaluation et les mesures d'atténuation terminées, l'unité organisationnelle doit évaluer le résultat immédiat et surveiller le système de manière continue. Ce processus commence par une évaluation des effets de l'évaluation et des mesures d'atténuation, y compris la définition de points de repère pour les progrès. Il continue avec l'évaluation de l'effet des modifications et des ajouts aux systèmes d'information. Enfin, il surveille en permanence les performances en matière de sécurité de l’information, dans le but d’identifier les domaines qui pourraient devoir être évalués en fonction d’un risque supplémentaire. L'évaluation et le contrôle sont importants pour déterminer dans quelle mesure l'unité organisationnelle a réussi à gérer les risques liés à la sécurité de l'information.
