Tratarea riscurilor de securitate

Înainte de a aborda tratarea unui anumit risc, organizaţia trebuie să stabilească criterii pe baza cărora să decidă dacă riscurile pot fi acceptate sau nu. Riscurile pot fi acceptate dacă se estimează, de exemplu, că riscul este scăzut sau că tratarea nu este eficientă pentru organizaţie din punct de vedere al costului. Astfel de decizii trebuie înregistrate.

Pentru fiecare dintre riscurile identificate prin determinarea de risc este necesară o decizie privind tratarea riscului. Opţiunile posibile pentru tratarea riscului cuprind:

a) aplicarea măsurilor adecvate de securitate pentru reducerea riscului;

b) acceptarea conştientă şi obiectivă a riscurilor cu condiţia ca acestea să fie conforme politicii şi criteriilor organizaţiei privind acceptarea riscului;

c) evitarea riscurilor prin interzicerea acţiunilor care ar putea cauza apariţia de riscuri;

d) transferul riscurilor asociate către terţe părţi, spre exemplu asigurători sau furnizori.

Pentru acele riscuri pentru tratarea cărora s-a luat decizia de aplicare a măsurilor de securitate adecvate, respectivele măsuri trebuie selectate şi implementate pentru a răspunde cerinţelor identificate prin determinarea riscului. Măsurile trebuie să asigure reducerea riscurilor la un nivel acceptabil ţinând cont de:

  • cerinţele şi constrângerile reglementărilor şi legislaţiei internaţionale;
  • obiectivele organizaţiei;
  • cerinţele şi constrângerile operaţionale;
  • costul implementării şi operării în raport cu riscurile care se reduc, păstrând proporţionalitatea faţă de cerinţele şi limitările specifice organizaţiei;
  • necesitatea de realizare a unui echilibru între investiţia în implementarea şi operarea măsurilor de securitate şi pagubele probabile de pe urma breşelor de securitate.

Măsurile de securitate pot fi selectate din prezentul standard sau din alte seturi de măsuri, sau pot fi proiectate noi măsuri corespunzătoare nevoilor specifice ale organizaţiei. Este necesar să se recunoască faptul că s-ar putea ca unele măsuri de securitate să nu fie aplicabile oricărui sistem informaţional sau mediu şi să nu poată fi practicate de orice organizaţie.

Măsurile de securitate a informaţiei trebuie avute în vedere în faza de proiectare a cerinţelor sistemelor şi proiectelor. În caz contrar se pot înregistra costuri suplimentare şi soluţii mai puţin eficiente şi, în cel mai rău caz, se ajunge la incapacitatea de realizare a unei securităţi adecvate.

Trebuie reţinut faptul că nici un set de măsuri de securitate nu poate realiza o securitate totală şi că sunt necesare acţiuni manageriale suplimentare pentru monitorizarea, evaluarea şi îmbunătăţirea eficienţei măsurilor de securitate în sprijinul ţelurilor organizaţiei.

Leave a Reply

Your email address will not be published. Required fields are marked *