Bước 1: Tài sản gì chúng tôi đang cố gắng để bảo vệ?
Câu hỏi này dường như rất cơ bản; nhưng đáng ngạc nhiêu là nhiều người không bao giờ hỏi nó. Câu hỏi này có liên quan đến việc hiểu phạm vi của vấn đề. Ví dụ như bảo vệ máy bay, sân bay, hàng không thương mại, ngân hàng, nhà máy, Đại sứ quán cho đến hệ thống thoát hơi nước… trong một quốc gia chống khủng bố có những vấn đề an ninh khác nhau và yêu cầu giải pháp khác nhau.
Bước 2: Các mối nguy hiểm đối với các tài sản này là gì?
Tại đây chúng ta xem xét các yêu cầu về an ninh. Trả lời điều này sẽ liên quan đến việc phải hiểu những gì đang được bảo vệ, hậu quả là gì nếu nó bị tấn công thành công, ai muốn tấn công nó, làm thể nào để họ tấn công nó và tại sao.
Bước 3: Giải pháp an ninh để giảm thiểu rủi ro đó như thế nào?
Một câu hỏi rất rõ ràng khác, nhưng lại cũng thường xuyên bị bỏ qua. Nếu giải pháp an ninh không giải quyết được vấn đề, thì điều đó không tốt. Bước này liên quan đến việc xem xét giải pháp an ninh tương tác với mọi thứ xung quanh như thế nào, đánh giá đến hoạt động thậm chí cả các lỗi của nó thường gặp phải.
Bước 4: Giải pháp an ninh gây ra rủi ro gì khác?
Câu hỏi này giải quyết những gì có thể được gọi là vấn đề mà hậu quả không lường trước được. Các giải pháp an ninh có hiệu ứng gợn sóng, và hầu hết gây ra những vấn đề an ninh mới. Bí quyết là hiểu vấn đề mới và đảm bảo chúng nhỏ hơn vấn đề cũ.
Bước 5: Giải pháp an ninh có tác động gì đến chi phí và sự đánh đổi?
Mọi hệ thống an ninh đều phải có chi phí và đòi hỏi sự đánh đổi. Đảm bảo an ninh là cần đến chi phí, đôi khi là một số lượng chi phí đáng kể; nhưng đổi lại có thể sẽ nhận lại những vấn đề quan trọng hơn, từ việc tạo nên sự thoải mái, thuận tiện đến các vấn đề về riêng tư, Vì vậy sự đánh đổi này là cần thiết và đáng để đầu tư.
Cân bằng rủi ro và sự đánh đổi là điểm quan trọng trong quy trình 5 bước của chúng tôi.
- Bước 1, chúng tôi xác định nhu cầu an ninh và phạm vi ảnh hưởng
- Bước 2, chúng tôi quyết định rủi ro
- Bước 3 và 4, chúng tôi tìm giải pháp an ninh để giảm thiểu rủi ro.
- Bước 5, chúng tôi đánh giá sự đánh đổi. Sau đó chúng tôi cố gắng cân bằng giữa ưu và nhược điểm: câu hỏi là giá trị của an ninh có đáng để đánh đổi không?
Sự tính toán này để quản lý rủi ro, chúng tôi sẽ biết biện pháp đối phó nào thích hợp còn biện pháp nào không thích hợp. Vì vậy:
- Quản lý rủi ro đối với chúng tôi bao gồm tỷ lệ xác suất. Đầu tiên, chúng tôi tìm ra rủi ro nào có giá trị đáng để lo lắng và cái nào có thể bỏ qua. Sau đó chúng tôi có thể quyết định đầu tư công sức vào rủi ro nghiêm trọng còn sẽ đầu tư ít hơn vào rủi ro không đáng kể. Điều này cũng khiến chúng tôi tối ưu được việc sử dụng ngân sách. Chúng tôi làm việc này dựa vào việc xem xét các rủi ro, không phải các các mối đe dọa (vì các mối đe dọa chỉ là nguy cơ tiềm ẩn mà một kẻ tấn công có thể tấn công vào hệ thống)
- Đối với chúng tôi, có một sự khác biệt quan trọng giữa “mối đe dọa” và “rủi ro”. Mối đe dọa là nguy cơ tiềm ẩn của kẻ tấn công có thể tấn công vào một hệ thống. Kẻ cắp xe, ăn trộm xe hay kẻ cướp xe tất cả đều là từ chỉ mối đe dọa – có mức độ nghiêm trọng từ ít nhất đến nghiêm trọng nhất. Nhưng khi chúng tôi nói về rủi ro, chúng tôi sẽ xem xét ngay đến cả mối đe dọa và sự nghiệm trọng của cuộc tấn công đó khi nó thành công. Như vậy: “Mối đe dọa xác định rủi ro, còn rủi ro xác định biện pháp đối phó”