مدیریت ریسک در امنیت اطلاعات

(قسمت دوم)

شناسایی و مدیریت ریسک یکی از رویکردهای جدید است که برای تقویت و ارتقای اثربخشی سازمانها مورد استفاده قرار می گیرد. به طورکلی، ریسک بامفهوم احتمال زیان و یا عدم اطمینان شناخته می شود که انواع مختلف و طبقه بندیهای متنوع دارد.

(قسمت اول)

تعریف ریسک و انواع آن

برای درك طبیعت ریسک، ابتدا باید از تعریف آن آغاز کرد. ریسک یعنی احتمال بوجود آمدن خطر یا بعبارت دیگر هر احتمالی که باعث به خطر افتادن دارائی‌های ما ائم از فیزیکی و یا غیر آن بشود و به طبع این خطرات می تواند صدمات جبران پذیر و یا جبران ناپذیری برای سازمان به بار بیاورد.

انواع ریسک را می توان بدین گونه تعریف کرد:

ریسک سوداگرانه: زمانی که شما برای یک تغییر در آی تی سازمان حال می تواند این تغییر در نرم افزار و یا سخت افزار باشد، سیستم امنیتی خود را دچار مشکل کنید و خطر امنیتی را بالا برده و در نهایت هدف شما تغییر به سمت بهبود وضعیت موجود می باشد.

ریسک خطرناك: احتمال به خطر افتادن دارائی های سازمان هر لحظه توسط خطراتی مانند دسترسی های غیر مجاز، سیل، آتش سوزی و... وجود دارد. در این مدل ریسک تمام غم کارشناسان امنیت حفظ اطلاعات و اطمینان خاطر از کمترین احتمال برای خطر مد نظر می باشد

عناصر اصلی ریسک

محتوا : محتوا یعنی زمینه، وضعیت، یا محیطی که ریسک در آن منظور شده و مشخص کننده فعالیتها و شرایط مرتبط با آن وضعیت است

 فعالیت: عنصر فعالیت یعنی عمل یا اتفاقی که باعث ریسک می شود

شرایط: شرایط تعیین کننده وضعیت جاری یا یک مجموعه از اوضاع و احوال است که می تواند به ریسک منجر شود. شرایط، وقتی با یک فعالیت آغازگر خاص ترکیب می شود، می تواند یک مجموعه از پیامدها یا خروجی ها را تولید کند

پیامدها: پیامدها، به عنوان آخرین عنصر ریسک، نتایج یا اثرات بالقوه یک فعالیت در ترکیب با یک شرط یا شرایط خاص است. به عبارت دیگر، محتوا نمایی از تمامی پیامدهای سنجیده شده فراهم می سازد. بدون تعیین یک محتوای مناسب، به طور قطع نمی توان تعیین نماید، کدامین فعالیتها، شرایط و پیامدها می بایست در تجزیه و تحلیل ریسک و فعالیت های مدیریتی در نظر گرفته شوند. بنابراین، محتوا، مبنایی برای تمامی فعالیت های بعدی مدیریت ریسک فراهم می کند.

بعد از ایجاد یک محتوا، عناصر باقی مانده در ریسک به طور مناسبی قابل بررسی هستند.

فعالیت، عنصر فعال ریسک است و می بایست با یک یا چندین شرط ویژه برای ظهور ریسک ترکیب شود. تمامی اشکال ریسک با یک فعالیت به وجود می آیند؛ بدون فعالیت، امکان ریسک وجود ندارد. در حالی که فعالیت، عنصر فعال ریسک است، شرایط تشکیل دهنده عنصر منفعل ریسک است.

نحوه مدیریت ریسک

به طور کلی، مدیریت ریسک فرایند سنجش یا ارزیابی ریسک و سپس طرح استراتژی هایی برای سازمان ها می باشد. استراتژی های به کار رفته شامل: انتقال ریسک به بخش های دیگر، اجتناب از ریسک، کاهش اثرات منفی ریسک، و پذیرش قسمتی یا تمامی پیامدهای یک ریسک خاص هستند.

تمامی شرکتهای بزرگ دارای تیم های مدیریت ریسک هستند و شرکتها و گروه های کوچک به صورت غیر رسمی، در صورت عدم وجود نوع رسمی آن، مدیریت ریسک را مورد استفاده قرار می دهند .

در مدیریت ریسک مطلوب، یک فرایند اولویت بندی منظور گردیده که بدان طریق ریسک هایی با بیشترین زیاندهی و بالاترین احتمال وقوع در ابتدا و ریسک هایی با احتمال وقوع کمتر و زیاندهی پایین تر در ادامه مورد رسیدگی قرار می گیرند. در عمل، این فرایند ممکن است خیلی مشکل باشد و همچنین در اغلب اوقات ایجاد توازن میان ریسک هایی که احتمال وقوع شان بالا و زیاندهی شان پایین و ریسک هایی که احتمال وقوع شان پایین و زیاندهی شان بالاست، ممکن است به طور مناسبی مورد رسیدگی قرار نگیرند.

پس از گفتن مطالب فوق گروهی از تهدیدها که بیشترین خطر را برای آی تی دارد دسته بندی می کنیم که شامل موارد زیر می باشد.

دسته بندی عوامل تهدید:

تکنولوژی: خطاهای موجود در نرم افزارها و سخت افزارهای تولیدی

تنظیمات اشتباه: شامل تظیمات اشتباهی می باشد که هنگام پیکربندی نرم افزارها و سخت افزارها انجام می شود

محیطی: طوفان، زلزله،سیل

انسانی: اشتباهات و خطاهای انسانی مانند عدم آموزش کافی و دسترسی ناخواسته به اطلاعات محرمانه و یا عدم نصب صحیح نرم افزارها

استراتژی های مدیریت ریسک

وقتی که ریسک ها شناسایی و ارزیابی شدند، تمامی تکنیک های اداره ریسک در یک یا چند طبقه از چهار طبق اصلی قرار میگیرند :

انتقال: یعنی موجب شدن اینکه بخش دیگری ریسک را قبول کند، معمولاً بوسیله بستن قرارداد یا انجام اقدامات احتیاطی

اجتناب: یعنی انجام ندادن فعالیتی که باعث ریسک می شود

کاهش: استراتژی کاهش، یعنی به کارگیری شیوه هایی که باعث کاهش شدت زیان می شود

پذیرش: یعنی قبول زیان وقتی که آن رخ می دهد

با توجه به مطالب گفته شده می توان نتیجه گرفت که در همه سازمان ها می بایست برای مدیریت صحیح آسیب ها و تهدید هائی که برای اطلاعات و در کل سیستم آی تی آنجا وجود دارد استراتژی درست و مدونی وجود داشته باشد که بتوان در کمترین زمان ممکن بحران بوجود آمده را مدیریت و سیستم را به حالت اولیه برگرداند. البته باید توجه داشته باشیم که مدیریت صحیح نیاز به پیاده سازی زیرساخت درست و مدرن و همچنین پرداخت هزینه برای آن می باشد.