Postanowiłam zatem przedstawić bardziej praktyczne spojrzenie na sam proces przeprowadzania analizy i oceny ryzyka IT, uwzględniając możliwe scenariusze wyzwań, oraz sposób opracowania wniosków i podjęcia działań naprawczych po zakończonej analizie.
Najważniejszą zasadą, którą powinniśmy się kierować przy przeprowadzaniu analizy ryzyka IT jest opisanie podejścia do analizy w taki sposób, aby proces był powtarzalny, a jego wyniki zrozumiałe i porównywalne. Zastanówmy się zatem, w jaki sposób po zakończeniu procesu analizy będziemy zarządzać wynikami, zmianami, i oczywiście kolejnymi iteracjami.
Po dokonaniu oceny ryzyka najczęściej kolejny krok to decyzja o postępowaniu z ryzykiem (najbardziej znane to akceptacja, unikanie, ograniczenie itd.), i w zależności od dokonanego wyboru opracowanie działań postępowania z ryzykiem / działań naprawczych. Pozostaje oczywiście jeszcze proces monitorowania i przeglądu ryzyka IT, który powinien być realizowany na bieżąco. Czy to już faktycznie koniec? Zastosowanie zaproponowanego powyżej podejścia wykorzystania ankiet z konkretnymi pytaniami typu T/N dostarcza przeprowadzającym analizę ryzyka IT dużo więcej informacji, niż tylko szacowanie ryzyka IT. Potencjalnie wszystkie pytania, które otrzymały odpowiedź „Negatywna” mogą być rozpatrywane jako słabość zasobu. Krótkie ankiety wysłane do odpowiednich osób mogą dostarczyć szczegółowych i konkretnych informacji na temat stanu bezpieczeństwa zasobów IT całej organizacji.
W artykule wykorzystano materiały firm SAP SE i RSA Security.
Automated page speed optimizations for fast site performance