كيفية تقييم مخاطر الأمن السيبراني في خمس خطوات

تحتاج المؤسسات إلى إكمال تقييم مخاطر الأمن السيبراني ، وهي عملية تحدد الأصول الأكثر عرضة للمخاطر التي تواجهها المؤسسة.

1.2k مشاهدة
7 دقائق
تقييم المخاطر
تقييم المخاطر

كل منظمة أعمال لديها اتصال بالانترنت وشكل من أشكال البنية التحتية لتكنولوجيا المعلومات ، مما يعني أن جميع المؤسسات تقريباً عرضة لخطر هجوم سيبراني. لفهم حجم هذه المخاطر ولكي تكون قادرة على إدارتها ، تحتاج المؤسسات إلى إكمال تقييم مخاطر الأمن السيبراني ، وهي عملية تحدد الأصول الأكثر عرضة للمخاطر التي تواجهها المؤسسة.

يؤدي التخفيف من المخاطر التي تم تحديدها أثناء التقييم إلى منع وتقليل الحوادث الأمنية المكلفة وخروقات البيانات وتجنب المشكلات التنظيمية والامتثال. تُلزم عملية تقييم المخاطر أيضاً كل فرد داخل المؤسسة بالنظر في كيفية تأثير مخاطر الأمن السيبراني على أهداف المؤسسة ، مما يساعد على خلق ثقافة أكثر وعياً بالمخاطر.

ماذا الذي يتطلبه تقييم مخاطر الأمن السيبراني؟

يتطلب تقييم مخاطر الأمن السيبراني من المنظمة تحديد أهداف أعمالها الرئيسية وتحديد أصول تكنولوجيا المعلومات الضرورية لتحقيق تلك الأهداف. ثم يتعلق الأمر بتحديد الهجمات السيبرانية التي يمكن أن تؤثر سلباً على تلك الأصول ، واتخاذ قرار بشأن احتمالية حدوث تلك الهجمات وتأثيرها المحتمل.

كيفية إجراء تقييم مخاطر الأمن السيبراني:

وفقاً لما كتبه Michael Cobb يمكن تقسيم تقييم مخاطر الأمن السيبراني إلى عدة أجزاء ، ولكن الخطوات الخمس الرئيسة هي تحديد النطاق وتحديد المخاطر وتحليل المخاطر وتقييم المخاطر والتوثيق.

الخطوة الأولى: تحديد نطاق تقييم المخاطر

يبدأ تقييم المخاطر بتحديد ما يقع في نطاق التقييم. بشكل واقعي، من المرجح أن يشمل هذا النطاق وحدة أعمال محددة أو جانب معين من نشاطات المؤسسة، مثل معالجة الدفع أو تطبيق ويب. من الضروري الحصول على الدعم الكامل من جميع أصحاب المصلحة الذين تقع أنشطتهم في نطاق التقييم حيث أن مدخلاتهم ستكون ضرورية لفهم الأصول والعمليات الأكثر أهمية ، وتحديد المخاطر وتقييم الآثار وتحديد مستويات تحمل المخاطر. من المهم مراجعة معايير مثل ISO / IEC 27001 للمساعدة على توجيه المؤسسات حول كيفية تقييم مخاطر أمن المعلومات بطريقة منظمة.

الخطوة الثانية: كيفية تحديد مخاطر الأمن السيبراني؟

2.1 تحديد الأصول

لا يمكننا حماية ما لا نعرفه، لذا فإن المهمة التالية هي تحديد وإنشاء جرد لجميع الأصول المادية والمنطقية التي تقع ضمن نطاق تقييم المخاطر. بنهاية هذه العملية سيكون لدينا معرفة بالأصول الهامة للمؤسسة و كذلك بالأصول التي تمثل أهمية تقنية لعمليات المؤسسة مثل Active Directory.

2.2 تحديد التهديدات

التهديدات هي التكتيكات والتقنيات والأساليب التي تستخدمها الجهات الفاعلة في محاولتها لإحداث ضرر لأصول المنظمة. يمكن في هذه المرحلة استخدام مكتبة تهديدات مثل MITRE ATT&CK.

2.3 تحديد الخطأ الذي يمكن أن يحدث

تتضمن هذه المهمة تحديد عواقب تهديد محدد يستغل ثغرة أمنية لمهاجمة أحد الأصول داخل النطاق. فمثلا:

التهديد: يقوم المهاجم بتنفيذ SQL injection على ملف

الثغرة: التحديثات الأمنية غير مثبتة

الأصل: خادم الويب

النتيجة: سرقة بيانات العملاء الخاصة.

يؤدي تلخيص هذه المعلومات في سيناريوهات بسيطة مثل هذه إلى تسهيل فهم جميع أصحاب المصلحة للمخاطر التي يواجهونها فيما يتعلق بأهداف العمل الرئيسية و مذلك لمساعدة فرق الأمن على تحديد التدابير المناسبة وأفضل الممارسات لمعالجة المخاطر.

الخطوة الثالثة: تحليل المخاطر وتحديد التأثير المحتمل

يتم في هذه المرحلة تحديد احتمالية حدوث سيناريوهات المخاطر الموثقة في الخطوة السابقة ، والتأثير على المنظمة إذا حدث ذلك. يتم تصنيف الاحتمالية على مقياس من 1 إلى 5 حيث يمثل 1: “نادر” بينما يمثل 5″مرجح للغاية”. و كذلك يصنف التأثير تأثير على مقياس من 1 إلى 5، حيث 1: ضئيل و 5: “شديد جداً”.

يشير التأثير إلى حجم الضرر الذي يلحق بالمنظمة نتيجة عواقب التهديد الذي يستغل إحدى نقاط الضعف. يجب تقييم التأثير على السرية والنزاهة والتوافر في كل سيناريو باستخدام أعلى تأثير باعتباره النتيجة النهائية. يجب أخذ رأي أصحاب المصلحة و خبراء الأمن بنتيجة هذا التقييم ليكون أكثر واقعية.

الخطوة 4: تحديد المخاطر وترتيبها حسب الأولوية

  • باستخدام مصفوفة حساب مخاطر يكون فيها مستوى المخاطر هو “Risk = Impact x likelihood” ، إذا تم اعتبار خطر هجوم SQL injection مثلاً على أنه ” ذواحتمال كبير” و ضرره بالغ ، فسيصبح مستوى المخاطر”مرتفع جدًا”.

يجب إعطاء أولوية المعالجة لأي سيناريو مخاطره أعلى من مستوى الـ tolerance المتفق عليه لجعله ضمن مستوى تحمل المخاطر في المؤسسة. هناك ثلاث طرق للقيام بذلك:

تجنب المخاطر Avoid. إذا كانت المخاطر تفوق الفوائد ، فقد يكون التوقف عن النشاط هو أفضل مسار للعمل إذا كان يعني عدم التعرض له.
نقل المخاطر Transfer. مشاركة جزء من المخاطر مع أطراف أخرى من خلال التأمين السيبراني أو الاستعانة بمصادر خارجية لعمليات معينة.
تقليل المخاطر Mitigate. تطبيق الضوابط الأمنية وغيرها من التدابير لتقليل الاحتمالية و / أو التأثير وبالتالي مستوى المخاطر.
ومع ذلك ، لا يمكن جعل أي نظام أو بيئة آمنة بنسبة 100٪ ، لذلك هناك دائماً بعض المخاطر المتبقية. وهذا ما يسمى بالمخاطر المتبقية residual risk ويجب قبولها رسمياً من قبل أصحاب المصلحة كجزء من استراتيجية الأمن السيبراني للمؤسسة.

الخطوة الخامسة: توثيق كافة المخاطر

من المهم توثيق جميع سيناريوهات المخاطر المحددة في سجل المخاطر. يجب مراجعة هذا السجل وتحديثه بانتظام للتأكد من أن الإدارة لديها دائماً لمخاطر الأمن السيبراني الخاصة بها. يجب أن تشمل:

  • سيناريو المخاطر
  • تاريخ التعريف
  • الضوابط الأمنية الحالية
  • مستوى المخاطر الحالي
  • خطة العلاج Treatment plan – الأنشطة المخطط لها والجدول الزمني لجعل المخاطر ضمن مستوى مقبول لتحمل المخاطر
  • حالة التقدم في معالجة المخاطر Progress status – حالة تنفيذ خطة العلاج
  • المخاطر المتبقية Residual risk – مستوى المخاطر بعد تنفيذ خطة العلاج
  • مالك المخاطر Risk owner- الفرد أو المجموعة المسؤولة عن ضمان بقاء المخاطر المتبقية ضمن مستوى التحمل الذي أقرته المؤسسة.


يعد تقييم مخاطر الأمن السيبراني مهمة كبيرة ومستمرة ، لذلك يجب توفير الوقت والموارد لها لتحسين مستوى الأمن السيبراني في المؤسسة. ستحتاج إلى تكرار عملية التقييم مع ظهور تهديدات جديدة ، وإدخال أنظمة أو أنشطة جديدة ، ولكن إذا تم إجراء هذا التقييم بشكل جيد لأول مرة ، سيؤسس ذلك لأرضية صلبة لإدارة المخاطر ونموذجاً للتقييمات المستقبلية إضافة لتقليل فرص حدوث هجوم إلكتروني يؤثر سلباً على أهداف العمل.

شارك المقال
اضف تعليق

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *