Realizzare un progetto di risk management significa analizzare e ridefinire l’infrastruttura tecnologica, organizzativa e procedurale di un’azienda allo scopo di creare delle fondamenta solide sulle quali costruire la sicurezza (fisica, logica ed organizzativa/procedurale), ottimizzando gli investimenti sulla base del rischio reale a cui è soggetto il sistema informativo aziendale.
L'attività, limitata alla solo risk analysis, può però essere eseguita anche al termine di un progetto particolarmente critico, per verificare che i requisiti di sicurezza previsti in fase di progettazione siano stati rispettati. La risk analysis diventa il punto di partenza e di arrivo nel ciclo della sicurezza.
Per l’esecuzione della consulenza CryptoNet si basa su metodologie quantitative o qualitative o miste, eventualmente supportate da tool, a seconda del contesto applicativo in cui si trova ad operare.
In tutti i casi, un progetto di risk management prevede le seguenti fasi:
- information gathering
- impact analysis
- threat and vulnerability assessment
- risk assessment
- risk treatment