Upravljanje informacijskom sigurnošću sve se više prepoznaje kao poslovna potreba. Također, upravljanje informacijskom sigurnošću u poslovanju, sve češće, direktno ili indirektno nameću i razni regulatorni propisi.

Upravljanje rizikom je proces kroz koji se potvrđuje poslovna opravdanost odabira sigurnosnih rješenja i  kontrola koje će osigurati dovoljnu razinu sigurnosti. Također, proces upravljanja rizikom omogućava razvoj strategije i postavljanje ciljeva u području informacijske sigurnosti.

Najvažniji dio tog procesa, ali i najpodložniji pogreškama jest prvi korak koji predstavlja procjenu rizika. Literatura uglavnom razlikuje kvalitativnu i kvantitativnu procjenu rizika. Kod kvalitativne procjene rizik se procjenjuje iskustveno, odnosno opisno, za razliku od kvantitativne procjene kod koje se rizik opisuje numerički (financijski).

Unatoč teoretskoj osnovi (kvantitativni pristup) koja omogućava preciznu procjenu rizika, praksa pokazuje da takav pristup, kod kojeg se vrijednost informacijskih resursa uglavnom opisuje njihovom knjigovodstvenom vrijednošću nije adekvatan. Zbog toga se kod procjene rizika u informacijskim sustavima preferira kvalitativni, odnosno kombinacija kvalitativnog i kvantitativnog pristupa.

Obzirom da se kvalitativna procjena rizika izrazito oslanja na subjektivnu procjenu, podložna je pogreškama. U radu su analizirane neke od metoda za kvalitativnu (kvantitativno-kvalitativnu) procjenu rizika, s posebnim naglaskom na to kako različiti elementi mogu utjecati na pouzdanost rezultata procjene rizika.
 

Najveći dio provala u računalne sustave događa se kao posljedica ranjivosti u aplikativnim i poslužiteljskim programskim paketima. Otkrivanjem i identifikacijom sigurnosnih propusta bave se sigurnosni stručnjaci, administratori sustava, ali i zlonamjerni korisnici koji žele penetrirati u tuđe računalne sustave.

Posljednjih godina, posebnu pozornost privukla je tehnika fuzzinga, metoda pomoću koje je relativno brzo moguće otkriti kritične sigurnosne propuste u različitim programskim rješenjima, a koja se bazira na tzv. fault injection tehnici kojom se, prosljeđivanjem različitih ulaznih podataka ciljnoj aplikaciji, nastoje otkriti sigurnosni propusti.

U dokumentu su opisane osnovne vrste i tehnike fuzzinga, a na primjeru FTP protokola, korištenjem Infigo FTPStress Fuzzer alata demonstrirana je konkretna primjena i efikasnost ove metode u pronalaženju sigurnosnih ranjivosti.