تستخدم الشركات تقييمات مخاطر الأمن الإلكتروني لتحديد التهديدات والثغرات الأمنية وتقدير آثارها المحتملة وتحديد أولويات المخاطر الأكثر حساسية.

تعتمد كيفية إجراء الشركة لتقييم المخاطر على الأولويات والنطاق وتحمل المخاطر المحددة في خطوة التأطير. تقيم معظم التقييمات ما يلي:

التهديدات هي الأشخاص والأحداث التي يمكن أن تعطل نظام تكنولوجيا المعلومات أو تسرق البيانات أو تعرِّض أمن المعلومات للخطر بطرق أخرى. تتضمن التهديدات الهجمات الإلكترونية المتعمدة (مثل برامج الفدية أو التصيد الاحتيالي) وأخطاء الموظفين (مثل تخزين المعلومات السرية في قواعد بيانات غير آمنة). يمكن للكوارث الطبيعية، مثل الزلازل والأعاصير، أن تهدد أيضًا أنظمة المعلومات.

الثغرات الأمنية هي العيوب أو نقاط الضعف في النظام أو العملية أو الأصل التي يمكن للتهديدات استغلالها لإحداث الضرر. قد تكون الثغرات الأمنية تقنية، مثل جدار حماية تمت تهيئته بشكل خاطئ ويسمح للبرامج الضارة بالدخول إلى الشبكة أو خطأ في نظام التشغيل يمكن للمخترقين استخدامه للسيطرة على الجهاز عن بُعد. وقد تنشأ الثغرات الأمنية أيضًا من سياسات وعمليات ضعيفة، مثل سياسة متساهلة للتحكم في الوصول تسمح للأشخاص بالوصول إلى أصول أكثر مما يحتاجون إليه.

التأثيرات هي ما يمكن أن يسببه التهديد في الشركة. قد يتسبب التهديد السيبراني في تعطيل الخدمات الحيوية، ما يؤدي إلى فترة تعطل وفقدان للإيرادات. يمكن للمتسللين سرقة البيانات الحساسة أو تدميرها. يمكن للمحتالين استخدام هجمات اختراق البريد الإلكتروني الخاص بالشركات لخداع الموظفين ليقوموا بإرسال الأموال إليهم.

يمكن أن تنتشر آثار التهديد إلى ما هو أبعد من المؤسسة. فالعملاء الذين تمت سرقة معلومات التعريف الشخصية الخاصة بهم أثناء اختراق أمن البيانات هم أيضًا ضحايا للهجوم.

ولأنه قد يكون من الصعب تحديد تأثير تهديد الأمن السيبراني بشكل دقيق، فغالبًا ما تستخدم الشركات بيانات نوعية مثل الاتجاهات التاريخية وقصص الهجمات على المؤسسات الأخرى لتقدير التأثير. تُعد حساسية الأصل عاملاً آخر: كلما كان الأصل أكثر حساسية، كانت الهجمات ضده أكثر تكلفة.

المخاطر تقيس مدى احتمالية تأثير تهديد محتمل على المؤسسة ومقدار الضرر الذي قد يسببه هذا التهديد. التهديدات التي من المحتمل أن تحدث والتي من المحتمل أن تسبب أضرارًا جسيمة هي الأكثر خطورة، في حين أن التهديدات غير المحتملة التي قد تسبب أضرارًا طفيفة هي الأقل خطورة.

أثناء تحليل المخاطر، تأخذ الشركات في الاعتبار عوامل متعددة لتقييم مدى احتمالية حدوث تهديد ما. قد تؤثر الضوابط الأمنية القائمة وطبيعة الثغرات الأمنية لتكنولوجيا المعلومات وأنواع البيانات التي تحتفظ بها الشركة في احتمالية التعرض للتهديدات. فحتى مجال الشركة قد يلعب دورًا في تحديد ذلك: لقد وجد مؤشر X-Force Threat Intelligence Index أن المؤسسات في قطاعي التصنيع والتمويل تواجه هجمات إلكترونية أكثر من المؤسسات في قطاعي النقل والاتصالات.

يمكن أن يعتمد تقييم المخاطر على مصادر البيانات الداخلية، مثل أنظمة المعلومات الأمنية وإدارة الأحداث (SIEM) واستعلامات التهديدات الخارجية. قد ينظرون أيضًا إلى التهديدات والثغرات الأمنية في سلسلة التوريد الخاصة بالشركة، حيث يمكن أن تؤثر الهجمات التي يتعرض لها البائعون في الشركة.

من خلال تقييم جميع هذه العوامل، يمكن للشركة بناء ملف تعريف المخاطر الخاص بها. يوفر ملف تعريف المخاطر كتالوجًا للمخاطر المحتملة للشركة، مع تحديد أولوياتها بناء على مستوى حساسية تلك المخاطر. كلما كان التهديد أكثر خطورة، زادت حساسيته بالنسبة إلى المؤسسة.