Model penilaian ancaman adalah perwakilan rancangan organisasi mengenai identifikasi kemungkinan ancaman dan cara yang akan dilaksanakan untuk meminimumkan atau mengatasi ancaman tersebut. Model sedemikian boleh menggunakan spreadsheet, graf, carta alir, rajah atau beberapa bantuan lain untuk menggambarkan titik yang diperlukan.
Tujuan
Tujuan model penilaian ancaman adalah untuk memberi organisasi keupayaan untuk mengenal pasti kemungkinan ancaman sebelum ia berlaku dan menggariskan cara sama ada menghalangnya atau membalikkan kesannya. Sebagai sebuah organisasi menjadi semakin besar dan kompleks, pelbagai jenis ancaman yang ia hadapi dapat berkembang dalam jumlah dan magnitud, dan penting untuk mempunyai model yang ditetapkan yang dapat digunakan oleh organisasi untuk menganjurkan dan menganalisis ancaman-ancaman ini dan kemudian melaksanakan tindak balas terhadap mereka. Percubaan untuk mengurangkan ancaman tanpa menggunakan model boleh mengelirukan, tidak cekap dan bahkan berkesan.
Kegunaan
Model penilaian ancaman boleh berguna apabila ia berkaitan dengan perkara liabiliti, seperti risiko keselamatan yang boleh menyebabkan pelanggan memfailkan saman sivil terhadap peruncit. Mereka juga mungkin menangani hal-hal seperti keselamatan komputer, yang boleh menjadi sangat penting bagi syarikat-syarikat yang menangani kedai-kedai besar maklumat akaun pelanggan, terutama apabila mereka menyimpan maklumat seperti nombor kad kredit, alamat dan nombor Keselamatan Sosial. Dengan memberi nota kemungkinan ancaman dan datang dengan cara untuk berurusan dengan mereka, organisasi boleh melindungi diri mereka, reputasi mereka, pelanggan mereka dan masyarakat secara umum.
Isu Teras
Menurut "Anjuran Penilaian Ancaman dan Risiko" James Bayne untuk Institut SANS, sumber untuk latihan keselamatan maklumat, sebarang model penilaian ancaman mesti berurusan dengan beberapa isu utama. Pertama, ia mesti mengenal pasti apa yang perlu dilindungi, seperti aset fizikal atau maklumat sensitif. Kedua, ia mesti mengenal pasti semua ancaman dan kelemahan yang dihadapi oleh organisasi. Ketiga, ia harus memberikan implikasi penuh terhadap apa yang akan terjadi jika ada aset berharga yang hilang. Keempat, ia mesti memberikan beberapa penyelesaian mengenai cara organisasi dapat meminimumkan pendedahannya terhadap ancaman tersebut.
Menganalisis Ancaman
Dalam melakukan penilaian ancaman, anda mesti menganalisis sifat dan keterukan ancaman yang dihadapi oleh organisasi anda. Aspek yang paling penting untuk mengkategorikan ancaman adalah mengenal pasti mereka sebagai manusia atau bukan manusia. Sebagai ancaman manusia, misalnya, akan menjadi penggodam, pekerja yang tidak puas hati, pekerja terlatih yang tidak terlatih atau pencuri. Ancaman bukan manusia akan menjadi bencana alam atau kegagalan peralatan. Model penilaian ancaman mesti membantu anda menyenaraikan semua ancaman ini dan mengukur tahap keterukan mereka.
