6. Cấu trúc luận văn
4.5.2 Giảm nhẹ rủi ro (Risk Reduction)
Hành động: Mức độ rủi ro nên được giảm nhẹ qua việc lựa chọn các kiểm soát và do đó các rủi ro dưa thừa có thểđược đánh giá lại đến một mức chấp nhận được.
Các kiểm soát thích hợp nên được lựa chọn để đáp ứng được các yêu cầu xác định bởi quá trình đánh giá rủi ro và xử lý rủi ro. Sự lựa chọn này nên tập trung vào các tiêu chí chấp nhận rủi ro như là các yêu cầu về luật pháp, các yêu cầu thông dụng và các yêu cầu hợp đồng. Sự lựa chọn này cũng nên tập trung vào chi phí và khung thời gian đối với việc thực thi các kiểm soát, hay các khía cạnh ảnh hưởng về kỹ thuật, môi trường hay văn hóa. Thông thường hoàn toàn có thể giảm nhẹ tổng chi phí của hệ thống với các kiểm soát an toàn dịch vụ Web được lựa chọn đúng đắn.
Nhìn chung, các kiểm soát có thể cung cấp một hay nhiều kiểu bảo vệ dưới đây: hiệu chỉnh, loại trừ, ngăn chặn, tối thiểu hóa tác động, dò tìm, phục hồi, theo dõi và nhận biết. Trong quá trình lựa chọn kiểm soát, điều quan trọng là đánh giá chi phí của kết quả thu được, việc thực thi, quản lý, thao tác, theo dõi và bảo trì của các kiểm soát cùng với giá trị của các tài sản được bảo vệ. Thêm vào đó, cần xem xét các kỹ năng chuyên gia cần thiết để xác định và thực thi các kiểm soát mới hay thay đổi các kiểm soát đã có.
Có nhiều mối ràng buộc có thể ảnh hưởng đến sự lựa chọn các kiểm soát. Các ràng buộc về kỹ thuật như là các yêu cầu về thực thi, yêu cầu về quản lý và tương thích có thể cản trở việc sử dụng các kiểm soát nào đó hay nó có thể gây ra các lỗi thuộc về con người hay là làm vô hiệu hóa kiểm soát, đưa ra phán đoán sai về an toàn hay thậm chí làm tăng rủi ro so với việc không sử dụng kiểm soát (ví dụ: yêu cầu các mật khẩu phức tạp mà không có sự huân luyện thích hợp, dẫn đến việc người dùng ghi lại các mật khẩu). Thêm vào đó, nó có thể là trường hợp mà một kiểm soát có thể gây ra ảnh hưởng đến thực thi. Những người quản lý nên cố gắng nhận ra một giải pháp phù hợp với các yêu cầu thực thi trong khi đảm bảo khả năng an toàn thông tin. Kết quả của bước này là một danh sách các kiểm soát khả thi, cùng với chi phí, lợi nhuận, và thứ tựưu tiên của việc thực thi các kiểm soát đó.
Rất nhiều mối ràng buộc nên được chú trọng đến khi lựa chọn các kiểm soát và trong quá trình thực thi. Thông thường những ràng buộc sau được xem xét:
- Ràng buộc về thời gian - Ràng buộc về tài chính - Ràng buộc về kỹ thuật - Ràng buộc về hoạt động - Ràng buộc về văn hóa - Ràng buộc vềđạo đức - Ràng buộc về luật pháp - Tính dễ sử dụng - Ràng buộc về con người - Ràng buộc về tích hợp các kiểm soát mới và các kiểm soát đã có