A gestão de riscos é uma necessidade para todos os sistemas de informação. Um sistema de informação é um método computadorizado empresas usam para planejar, controlar, coordenar e tomar decisões. Gerenciamento de risco é vital para a segurança de uma empresa. Um sistema informatizado dentro de uma empresa detém uma infinidade de informações, muito do que é confidencial.
Entenda o que é um risco. Risco num sistema de informação é qualquer dano potencial que poderia surgir. A gestão destes danos potenciais começa com a compreensão e resposta a fatores que contribuem para eles. Os riscos incluem danos tais como violações à confidencialidade do sistema, a integridade ou a disponibilidade das informações. Quando o risco é gerida de forma adequada, todas as ameaças e vulnerabilidades no sistema são investigados.
Escolha uma forma de avaliar o risco. O primeiro passo na gestão de risco em um sistema de informação está avaliando todas as ameaças e vulnerabilidades possíveis. Após possibilidades são descobertos, eles são cada investigada para determinar o impacto de cada risco. Isso informa empresas que os riscos potenciais a empresa tem e qual a probabilidade de ocorrer. O risco é comumente avaliada de duas maneiras diferentes: quantitativa e qualitativamente.
Use a abordagem quantitativa do risco. A avaliação quantitativa dos riscos é feita através da atribuição de valores a diferentes aspectos do negócio, incluindo o sistema, as informações e os processos. Este método leva cada atividade empresarial e coloca uma quantidade de dólar nele. Normalmente é medido em termos de custos directos e indirectos e muitas vezes é muito difícil de fazer. Este método não é comumente usado em sistemas de informação, mas é usada em negócios de seguros e bancários.
Use a abordagem qualitativa de riscos. A abordagem mais comum é a conclusão de uma avaliação qualitativa dos riscos. Esta teoria utiliza o pressuposto de que o risco é muito subjectiva e não pode ser medido por um valor em dólares. Em vez disso, medidas de risco por sua probabilidade e produz resultados de alta, moderada e baixa.
Escolha uma estratégia para lidar com os riscos descobertos. Há quatro estratégias básicas utilizadas para gerir o risco em sistemas de informação: mitigação, transferência, aceitação e evasão. Mitigação é a abordagem mais comum e envolve a fixação da ameaça ou vulnerabilidade. Transferência permite que outra parte a aceitar o risco descoberto, tais como a compra de seguro no sistema do computador e deixar a companhia de seguros aceitar o risco se acontecer alguma coisa. Aceitação simplesmente permite que o sistema opere sem fixar o risco ou a passar o risco para outro festa- esta abordagem geralmente não é usado com riscos extremamente elevados. Prevenção requer a remoção da ameaça em si - se uma ameaça é reduzida a um determinado computador, esse computador é simplesmente removido.
Gerir o risco através do seu método escolhido. Muitas vezes, mais do que um desses métodos é empregado como parte de um plano global de gestão de riscos.