Risk Management Options

There are Risk Management Options available for all management. Standards and frameworks should be used to create guidelines, policies and good governance.

Risk Mitigation

There are four approved ways to risk mitigation, as represented in the table below:

1. Risk Acceptance

Can withstand the consequences of successful threat.

2. Risk Avoidance

When the risk is deemed too high, the decision to operate in that environment may be made.

3. Risk reduction and/or management reduction

Taking actions to prevent the threat from becoming reality or to mitigate its possible consequences.

4. Risk Transfer

Outsourcing risk mitigation or sensitive environment management, or obtaining suitable insurance.


About Risk Appetite

Risk appetite is often determined by how much an organisation believes it can afford to lose in the case of security incident. This is sometimes handled by self-insurance model, in which the company keeps contingency fund to ensure that any minor security event is rapidly recovered from.

Risk appetite is the level of risk that an organisation is willing to accept in order to achieve its goals, before taking action to lessen the risk. 
It represents compromise between the potential benefits of innovation and the risks that change invariably entails.

Risk Appetite can be expressed as:

Averse: Aversion to risk and uncertainty is an important organisational goal.
Minimal: Preference for ultra-safe solutions with low risk and only small chance of profit.
Cautious: Preference for safe solutions with low degree of risk and potentially limited payoff.
Open: Willing to explore all available possibilities and select the one that is most likely to result in effective delivery while also delivering reasonable level of reward and value for money.
Hungry: Eager to be innovative and select solutions with potentially better business returns, despite the higher inherent risk.


Business risk and cyber risk


Remember that cyber risk is only one component of larger corporate or organisational risk profile. 
As result, the security manager must be aware of how their department may be judged in comparison to others by conducting a risk assessment
Typically, cybersecurity is only noticed when there is highly publicised event. 
This is primarily due to cybersecurity specialists’ difficulty in conveying security weakness or threat to predominantly untrained audience. 
Things people are familiar with, such as occupational health and safety, physical infrastructure, or supply chain breakdown, are much easier to convey.
When combined with additional acronyms like Trojan, phishing, SMiShing, and worms, abbreviations like Data Loss Prevention (DLP), Intrusion Detection System (IDS), and Intrusion Prevention Systems (IPS) don’t help to dispel the mystery that surrounds cybersecurity. 
As result, keep the terminology simple.

Risk management

Risk management within the security ecosystem must strike balance between business protection and business assistance. 
That is, the security programme must assess if the defined controls are efficient and beneficial, cost-effective, and do not interfere with successful work practises. 
Alternatively, the security ecosystem should promote good and efficient work practices, facilitate access to new market prospects, and respond rapidly to security incidents.


Business continuity or resilience

In the event of security incident, business continuity refers to the comprehensive programme for guaranteeing that the firm can continue to operate at an acceptable level. 
The business continuity programme consists of four major components:
Impact analysis: Examining how long it takes for the loss of system to have an undesirable business impact, how long it takes to recover, and how much of the system is necessary to be operational.
Backup programme: How frequently are data and the system backed up, and how frequently is the recovery procedure tested?
Infrastructure resilience: The system can function in all but the most extreme conditions.
Disaster recovery: The procedure and infrastructure required to restore the system to functional state.



Finally, compliance must be demonstrated by the security programme. 
This has traditionally been regarded as conformity with norm, regulation, or legislative goal. 
An effective risk assessment, on the other hand, can establish which of those objectives are genuinely danger to the organisation and, as result, if the controls are effective at safeguarding and enabling the firm. The checkbox security method is complex to manage and rarely effective in developing security architecture that represents the business objectives.