Υπηρεσίες

Εκτός από την ενημέρωση και την επίγνωση πάνω σε θέματα ασφάλειας, είναι απαραίτητο να υπάρχει γνώση και ως προς το πώς να διαχειρίζεται ο οργανισμός τον οποιοδήποτε κίνδυνο προκύψει. Σε αυτό έρχεται να βοηθήσει η μεθοδολογία διαχείρισης κινδύνων, μέσω της οποίας, θα αντιμετωπιστεί με τον σωστό τρόπο ο κίνδυνος που μπορεί να εμφανιστεί στο σύστημα. Ο σκοπός της διαχείρισης κινδύνων μπορεί να είναι είτε η υποστήριξη του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών, είτε η συμμόρφωση με απαιτήσεις, είτε η προετοιμασία ενός σχεδίου επιχειρησιακής συνέχειας είτε η περιγραφή προδιαγραφών ασφάλειας. Η μεθοδολογία διαχείρισης κινδύνων χωρίζεται σε έξι βήματα: Καθορισμός πλαισίου, Εκτίμηση κινδύνων, Διαχείριση κινδύνων, Αποδοχή κινδύνων, Παρουσίαση κινδύνων και διαβούλευση και Παρακολούθηση και επανεξέταση κινδύνων.

Στο πρώτο βήμα, στον καθορισμό του πλαισίου, ορίζεται στην ουσία όλος ο σκοπός της μεθόδου διαχείρισης κινδύνων που θα ακολουθηθεί. Καθορίζονται κάποια κριτήρια τα οποία θα χρησιμοποιηθούν στη συνέχεια, το μέγεθος της μεθόδου και το οργανωτικό πλαίσιο λειτουργίας της για την δημιουργία των προδιαγραφών των παραμέτρων αυτών.

Το δεύτερο βήμα είναι η εκτίμηση του κινδύνου, όπου χωρίζεται σε τρεις φάσεις: την αναγνώριση, τη ανάλυση και την αξιολόγηση κινδύνων. Σκοπός αυτού του βήματος είναι η αναγνώριση του κινδύνου και ο εντοπισμός του σύμφωνα με τα κριτήρια αξιολόγησης. 

Στην διαχείριση κινδύνων, ο τελικός στόχος είναι να βρεθούν τα κατάλληλα μέτρα ασφάλειας έτσι ώστε είτε να μειωθεί είτε να διατηρηθεί ο κίνδυνος και να διαμορφωθεί ένα σχέδιο διαχείρισης του. Σε αυτό το σημείο πρέπει να παρθούν κάποιες αποφάσεις οι οποίες μπορεί να επηρεαστούν από το κόστος του περιστατικού, την συχνότητα του, τον τρόπο αντιμετώπισης του οργανισμού, την υλοποίηση των μέτρων ασφαλείας, τους διαθέσιμους πόρους, τις παρούσες προτεραιότητες και την πολιτική του οργανισμού. 

Στην συνέχεια και αφού ολοκληρωθεί η διαδικασία της διαχείρισης κινδύνων, γίνεται παρουσίαση και διαβούλευση του περιστατικού. Κύριος λόγος είναι η ενημέρωση των μετόχων του οργανισμού για το περιστατικό και η αναγνώριση του κινδύνου. Θα πρέπει να υπάρξει μια οργανωμένη παρουσίαση του περιστατικού, με ανάλυση του κινδύνου για την ευκολότερη κατανόηση του από τους μετόχους.

Το τελευταίο βήμα είναι η παρακολούθηση και η επανεξέταση της διαχείρισης κινδύνων. Τα μέτρα ασφαλείας τα οποία πάρθηκαν, θα πρέπει να ελέγχονται τακτικά ώστε να εξασφαλίζεται η σωστή λειτουργία τους, καθώς επίσης και να διασφαλίζεται το ενδεχόμενο ότι αν υπήρξαν κάποιες αλλαγές στο περιβάλλον, δεν επηρεάστηκε η λειτουργία τους. Ο τακτικός έλεγχος θα έχει τα αναμενόμενα θετικά αποτελέσματα που επιθυμεί και το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών.