Bezpečnostní rizika
„Informační systém je pouze tak bezpečný, jak bezpečný je jeho nejslabší článek.“
Bezpečnost se odvíjí od bezpečnostních rizik. Kdyby žádná bezpečnostní rizika nebyla, nemusela by se bezpečnost vůbec řešit. Ideálním cílem bezpečnostní politiky organizace by mělo být, snažit se eliminovat všechna bezpečnostní rizika. To ovšem v praxi není možné, protože eliminovat všechna rizika, by stálo nekonečné množství prostředků a organizace má vždy nějaký limit prostředků, které může do své bezpečnosti vložit. Tento limit prostředků záleží na rozhodnutí managementu organizace a je u každé organizace jiný.
Díky tomuto limitu jsou odstraněny nejvážnější bezpečnostní rizika, ovšem nikdy se nepodaří pokrýt všechny. Pokud má organizace nulové výdaje na bezpečnost, neeliminuje žádná rizika. Tedy i ty nejsilnější bezpečnostní rizika přetrvávají.
Míra bezpečnosti rizika závisí na dvou faktorech. První je pravděpodobnost, s jakou riziko nastane. Druhým faktorem je dopad, který by způsobilo, když by se bezpečnostní hrozba, která stojí za rizikem, stala skutečností. Tento dopad se dá vyčíslit ve finančních prostředcích, za které by se organizace vrátila do původního stavu.
Efektivní je pouze taková bezpečnost, kde se nevydává více, ani méně prostředků, než na sumu nepokrytých rizik, která se spočtou jako součin jejich pravděpodobnosti a dopadu.