Durbin beschreibt Informationsrisikomanagement als laufenden Prozess statt als punktuelle Prüfung. Risiken unterschieden sich in ihrer Tragweite, in der verfügbaren Datenlage und in den Bedürfnissen der beteiligten Stakeholder. Deshalb seien unterschiedliche Analysetiefen nötig. Für schnelle Entscheidungen mit begrenzter Datenbasis eigne sich eine qualitative Analyse, etwa bei der kurzfristigen Bewertung eines neuen SaaS-Anbieters im Beschaffungsprozess. Quantitative Analysen seien dagegen dann sinnvoll, wenn Investitionsentscheidungen finanziell untermauert werden müssen, etwa bei der Frage, ob Ausgaben für Endpoint Detection im Verhältnis zu den erwarteten Kosten eines Ransomware-Vorfalls stehen.

Als methodischen Rahmen nennt der Beitrag IRAM3. Die Methodik führe qualitative und quantitative Analysen in einem einheitlichen Ablauf zusammen und sei modular aufgebaut, sodass Unternehmen an der Phase einsteigen können, die zu ihrem unmittelbaren Bedarf passt. Ein vernetzter Risikolebenszyklus verändere dabei nicht nur das Verständnis von Geschäftsauswirkungen, Bedrohungen, Kontrollen und Exposition, sondern halte diese Arbeitsschritte dauerhaft miteinander verbunden.

Am Anfang steht laut Durbin die Bestimmung der geschäftlichen Auswirkungen. Dazu sollten zusammengehörige Assets nach der unterstützten Geschäftsfunktion gruppiert werden, etwa Handelsplattformen, Umgebungen für Kundendaten oder ein Payment Gateway. Erst dadurch lasse sich die Risikobetrachtung an der tatsächlichen Arbeitsweise des Unternehmens ausrichten und die eigene Risikotoleranz definieren. Als Beispiel nennt der Text den Ausfall bestimmter Funktionen einer Aktienhandelsplattform während Spitzenzeiten, der erhebliche finanzielle Verluste und Reputationsschäden verursachen könne.

Darauf aufbauend folgt die Analyse von Bedrohungsereignissen. Unternehmen müssten relevante Bedrohungen kritischen Assets zuordnen und abschätzen, wie wahrscheinlich deren Eintritt ist. In der quantitativen Perspektive empfiehlt der Beitrag eine Dreipunktschätzung mit Minimal-, Wahrscheinlichkeits- und Maximalwert. Diese Schätzung soll die Zahl der Verlustereignisse abbilden, die innerhalb eines Jahres zu erwarten sind.

Ein zentrales Thema ist zudem die Wirksamkeit von Kontrollen. Ein Unternehmen könne zwar vollständige Multifaktor-Authentifizierung melden; wenn privilegierte Servicekonten ausgenommen bleiben, weil eine Altintegration sonst nicht mehr funktioniert, entstehe dennoch ein direkter Zugangspfad zu kritischen Systemen. Kontrollen müssten deshalb spezifischen Bedrohungen zugeordnet, auf ihren Implementierungsgrad geprüft und danach bewertet werden, ob sie das Risiko tatsächlich senken. Entscheidend seien zwei Fragen: Verringert die Maßnahme die Eintrittswahrscheinlichkeit einer Bedrohung, und begrenzt sie den Schaden, falls die Bedrohung eintritt?

Auch bei der eigentlichen Risikoanalyse plädiert Durbin für mehr Differenzierung. Zwei Risiken mit derselben Einstufung als hohes Risiko könnten finanziell sehr unterschiedlich ausfallen: Das eine könne mit hoher Wahrscheinlichkeit zu einem Verlust von 1 Million Dollar führen, das andere bei geringerer Eintrittswahrscheinlichkeit Schäden von mehr als 10 Millionen Dollar verursachen. Qualitative Risikomatrizen lieferten einen schnellen Orientierungswert, während quantitative Modellierung mit Simulationstechniken Wahrscheinlichkeitsverteilungen möglicher Verluste sichtbar mache und so zeige, welche Bedrohungen den größten finanziellen Druck erzeugen.

Bei der Behandlung von Risiken geht es laut Beitrag darum, die aktuelle Exposition mit der akzeptierten Risikotoleranz abzugleichen und darauf aufbauend Maßnahmen zu wählen. Als Beispiel nennt Durbin einen Händler, der zwischen stärkeren Betrugskontrollen, zusätzlichen Schritten im Zahlungsprozess oder mehr Versicherungsschutz abwägen muss. Risikomodellierung könne sichtbar machen, wie sich jede dieser Maßnahmen auf erwartete Verluste und auf Reibung für Kunden auswirkt. Versicherungen könnten zwar finanzielle Folgen mindern, aber weder den Betrieb wiederherstellen noch Vertrauen von Kunden oder den regulatorischen Status zurückbringen.

Abschließend fordert der Beitrag, Maßnahmenpläne nicht nur umzusetzen, sondern ihre Fertigstellung und Wirksamkeit nachweisbar zu überprüfen. Alle Schritte sollten Verantwortlichkeiten und Fristen haben. Bleibt ein Restrisiko bestehen, müsse es erneut gegen die Risikotoleranz bewertet und gegebenenfalls weiter behandelt werden. Da sich mit dem Wachstum eines Unternehmens auch Abhängigkeiten und Bedrohungen verändern, müsse Risikoinformation fortlaufend überprüft, kommuniziert und verbessert werden.