The Cascarino Cube

Diskusi berikut adalah pendekatan umum untuk identifikasi dan prioritas risiko. Penggunaannya perlu
disesuaikan dengan kebutuhan masing-masing organisasi. Ini disebut di sini sebagai "kubus" meskipun,
pada kenyataannya, berbentuk kubus dengan jumlah lapisan yang bergantung pada arsitektur individu,
komponen, dan risiko yang dihadapi organisasi.

Di dalam Cascarino Cube terdiri dari beberapa bagian yang berhubungan:

1. Pusatnya adalah data organisasi, yang merupakan aset utama yang harus dilindungi.
2. Hal ini berada didalam dan dikontrol langsung oleh computer utama sendiri.
3. Untuk mendapatkan akses ke Mainframe, komunikasi mainframe saluran digunakan.
4. Komunikasi ini biasanya dilakukan dari server atau prosesor perantara.
5. Lalu selanjutnya, berkomunikasi melalui router dan kabel melalui WAN (wide area networks)
6. Workstation adalah titik dari mana pengguna dapat memasuki sistem.
7. Tambahan sering kali ada pengguna yang akan mengakses data melalui Internet dan seluler
komputasi.

Arsitektur itu sendiri akan terdiri dari beberapa komponen diantaranya antara lain, biasanya:

 Data
 Perangkat lunak
 Orang-orang
 Perangkat keras

Masing-masing lapisan arsitek dan komponen ini akan menghadapi risiko dalam berbagai bentuk.
Biasanya risikonya mungkin termasuk:
  Sistem tidak tersedia
 Kehilangan kerahasiaan
 Kehilangan integritas
 Ketidakakuratan dan ketidaklengkapan
 Kurangnya pemantauan
 Kurangnya kepatuhan
 Di bawah rata-rata

Jika diprioritaskan dan disusun, profil risiko organisasi mungkin diwakili oleh peringkat risiko yang lebih
tinggi untuk komponen yang lebih penting yang membentuk sudut kiri atas setiap potongan arsitektur.

Setiap potongan arsitektur kemudian dapat dievaluasi secara terpisah dan pengendalian operasional,
keamanan, dan teknis diidentifikasi dan dialokasikan ke sel tertentu yang mewakili risiko ke komponen
sistem (seperti data). Pada tahap ini, tidak ada upaya yang dilakukan untuk menentukan apakah kontrol
yang diyakini ada benar-benar ada dan berfungsi sebagaimana mestinya.

Ketidakcukupan kontrol menunjukkan tingkat risiko yang terlalu tinggi bahkan jika semua kontrol
berfungsi sebagaimana mestinya, dan kerentanan semacam itu kemudian harus diatasi. Setelah semua
pengendalian mitigasi telah diidentifikasi, mereka dapat dievaluasi untuk menentukan pengendalian
mana yang dapat memberikan jaminan paling besar kepada manajemen (apakah itu dari perspektif
pencegahan, detektif, atau korektif). Ini ditetapkan sebagai kontrol utama dan membentuk pertahanan
paling kritis dari manajemen terhadap risiko spesifik tersebut. Dari perspektif manajemen, kontrol ini
akan menjadi subjek pemantauan yang paling ketat dalam operasi normal. Dari perspektif audit, ini
biasanya merupakan pengendalian yang dipilih untuk diuji efektivitasnya.

Setelah kontrol kunci diidentifikasi di dalam masing-masing sel, mereka dapat ditelusuri secara tiga
dimensi ke dalam sel lain di dalam sistem lain komponen dan komponen arsitektur. Lalu kemudian
memungkinkan peta tiga dimensi dari dampak yang dapat dialami oleh kegagalan kontrol kunci di semua
komponen sistem dan komponen arsitektur yang menghadapi berbagai risiko.

Selain itu, sifat kubus tiga dimensi memungkinkan auditor untuk memeriksa kecukupan dan efektivitas
pengendalian dalam irisan vertikal system komponen yang menunjukkan semua risiko dan komponen
arsitektur yang terpengaruh, irisan horizontal risiko untuk semua komponen yang menunjukkan sistem
dan komponen arsitektur yang terpengaruh atau diiris oleh komponen arsitektur yang menunjukkan
semua risiko dan komponen sistem yang terpengaruh.