Segundo a gestão da segurança da informação o gerenciamento de riscos é um processo cíclico, por qual motivo ? Sempre que o ciclo de testes é completado é sinal de que a ameaça já está ativa e em execução Sempre que o ciclo de testes é completado deve-se iniciar novamente o ciclo para testar o mesmo tipo de ameaça novamente, afinal os testes só serão confiáveis depois de passarem por várias vezes pelos mesmos processos. Sempre que o ciclo de testes é completado existe a certeza de que não haverá novas ameaças Sempre que o ciclo de testes é completado deve-se fazer o caminho no sentido contrário ao realizar novos testes para novas ameaças Sempre que o ciclo de testes é completado deve-se voltar ao início nas primeiras etapas para avaliar novos riscos