Dijital çağdaki hemen hemen her işletme, operasyonlarının temel unsurlarını yürüten bilgi teknolojisi (BT) sistemlerine dayanarak BT risk yönetimini günlük prosedürlerinin önemli bir parçası haline getirir. BT risk yönetimi, şirketin sistemlerinde dijital olarak depolanan bilgilerin güvenliği ile ilgili olarak ortaya çıkabilecek çeşitli sorunları tanımlamasına yardımcı olan, şirketin genel BT güvenliğinin bir bileşenidir. Bu, riski makul bir seviyeye düşürmek için tanımlamayı, değerlendirmeyi ve adım atmayı içeren bir süreçtir.
Çok sanayi, BT risk yönetimi kullanıyor. Elektronik olarak hassas bilgileri saklayan herhangi bir işletme için uygun ve kullanışlı bir süreçtir. Müşteri listesi kadar basit bir şey veya ticari sır ya da patent bilgileriyle ilgili bilgiler gibi daha önemli bir şey olsa da, güvenlik ihlali veya şirkete ciddi şekilde zarar verebilecek bir şekilde zarar verme riski çok büyüktür. BT risk yönetimi bu riski etkin bir şekilde azaltmak için tasarlanmıştır. Genellikle üç ana adımı izler.
İlk adımda, mevcut durumda olan sistemin bir değerlendirmesi yapılır. Kapsamlı bir değerlendirme yaparak, değerlendirmeyi yapan kişi olası tehditleri ve bu tehditlerden korunmanın en etkili yollarını belirlemek için daha donanımlı olacaktır. Bu, tartışılabilir bir şekilde, her diğer adım bu değerlendirmeden edinilen bilgilerden kaynaklandığı için süreçteki en önemli adımdır.
İkinci adım olası tehditleri tespit etmektir. Her tehdidi doğru bir şekilde tanımlamak için, potansiyel kaynak, yöntem ve motivasyonuna dikkat edilmelidir. Sel ve deprem gibi doğal tehditler olabilirler; verilerin bütünlüğünü tehdit edebilecek hem kötü niyetli hem de kasti olmayan eylemler dahil olmak üzere insan tehditleri; ve uzun vadeli elektrik kesintileri gibi çevresel tehditler. Potansiyel kaynakları ve motivasyonları dikkate alarak, veriler her açıdan korunabilir.
Buradan şirket mevcut güvenlik sistemlerini yerinde değerlendirebilir ve yetersizliklerin nerede olduğunu belirleyebilir. Bu, test etme - potansiyel tehditleri simüle etme ve örneğin sistemin nasıl tepki verdiğini gözlemleme yoluyla yapılabilir. Birkaç kapsamlı kapsamlı testten sonra, BT sistemindeki zayıflığı gidermek için aciliyet ve maliyetler de dahil olmak üzere ele alınması gereken zayıf yönlerin ayrıntılarını içeren bir rapor hazırlanmalıdır. Bu noktada, BT risk yönetimi ekibi tarafından geliştirilen rapordaki riski değerlendirmek ve hangi iyileştirmeleri uygulamak istediğine karar vermek için şirketin üyeleri, cüzdanın yetkileri ile ilgilidir. Bu maliyet-fayda analizini yaptıkları ve bir plan yaptıkları zaman, BT risk yönetimi ekibi istenen değişiklikleri uygulayarak işlerini bitirebilirler.
