A gestão de riscos é uma necessidade para todos os sistemas de informação. Um sistema de informação é um método computadorizado empresas usam para planejar, controlar, coordenar e tomar decisões. Gerenciamento de risco é vital para a segurança de uma empresa. Um sistema informatizado dentro de uma empresa detém uma infinidade de informações, muito do que é confidencial.
Entenda o que é um risco. Risco num sistema de informação é qualquer dano potencial que poderia surgir. A gestão destes danos potenciais começa com a compreensão e resposta a fatores que contribuem para eles. Os riscos incluem danos tais como violações à confidencialidade do sistema, a integridade ou a disponibilidade das informações. Quando o risco é gerida de forma adequada, todas as ameaças e vulnerabilidades no sistema são investigados.
Escolha uma forma de avaliar o risco. O primeiro passo na gestão de risco em um sistema de informação está avaliando todas as ameaças e vulnerabilidades possíveis. Após possibilidades são descobertos, eles são cada investigada para determinar o impacto de cada risco. Isso informa empresas que os riscos potenciais a empresa tem e qual a probabilidade de ocorrer. O risco é comumente avaliada de duas maneiras diferentes: quantitativa e qualitativamente.
Use a abordagem quantitativa do risco. A avaliação quantitativa dos riscos é feita através da atribuição de valores a diferentes aspectos do negócio, incluindo o sistema, as informações e os processos. Este método leva cada atividade empresarial e coloca uma quantidade de dólar nele. Normalmente é medido em termos de custos directos e indirectos e muitas vezes é muito difícil de fazer. Este método não é comumente usado em sistemas de informação, mas é usada em negócios de seguros e bancários.
Use a abordagem qualitativa de riscos. A abordagem mais comum é a conclusão de uma avaliação qualitativa dos riscos. Esta teoria utiliza o pressuposto de que o risco é muito subjectiva e não pode ser medido por um valor em dólares. Em vez disso, medidas de risco por sua probabilidade e produz resultados de alta, moderada e baixa.
Escolha uma estratégia para lidar com os riscos descobertos. Há quatro estratégias básicas utilizadas para gerir o risco em sistemas de informação: mitigação, transferência, aceitação e evasão. Mitigação é a abordagem mais comum e envolve a fixação da ameaça ou vulnerabilidade. Transferência permite que outra parte a aceitar o risco descoberto, tais como a compra de seguro no sistema do computador e deixar a companhia de seguros aceitar o risco se acontecer alguma coisa. Aceitação simplesmente permite que o sistema opere sem fixar o risco ou a passar o risco para outro festa- esta abordagem geralmente não é usado com riscos extremamente elevados. Prevenção requer a remoção da ameaça em si - se uma ameaça é reduzida a um determinado computador, esse computador é simplesmente removido.
Gerir o risco através do seu método escolhido. Muitas vezes, mais do que um desses métodos é empregado como parte de um plano global de gestão de riscos.
Como identificar um risco financeiro
Como escrever um plano de risco caso de negócio
Como calcular diferença de risco
Como calcular o prémio de risco da carteira
Técnicas de avaliação de risco
Como escrever uma análise de risco para uma proposta