إلى جانب أساسيات أمن المعلومات والمعروفة اختصاراً بمثلث (CIA)، ربما تكون مفاهيم إدارة المخاطر هي الجزء الأكثر أهمية وتعقيداً في هذا المجال . في الواقع، تعد إدارة المخاطر العملية التي يتم من خلالها اتخاذ القرارات لتحديد ضوابط الأمن الضرورية، وتنفيذ ضوابط الأمن، واكتساب واستخدام أدوات الأمن، وتوظيف مسؤولي الأمن.
صفر مخاطر – مجرد حلم
لا يمكن التخلص من المخاطر بشكل كامل. في حالة توفر الوقت الكافي والموارد والدوافع والمال، فإن أي نظام أو بيئة، بغض النظر عن مدى أمانها، يمكن أن تتعرض للخطر . بعض التهديدات أو الأحداث، مثل الكوارث الطبيعية، تكون خارجة عن سيطرتنا تماماً وغالباً ما تكون غير متوقعة. لذلك، فإن الهدف الرئيس من إدارة المخاطر هو اتخاذ قرارات بشأن مخاطر معينة تحددها إدارة المؤسسة. تتكون إدارة المخاطر من ثلاثة عناصر رئيسة :
تحديد التهديد
تحليل المخاطر
معالجة المخاطر
مفاهيم إدارة المخاطر – تحديد التهديدات
إن عمل أمن المعلومات يدور حول إدارة المخاطر. يتكون الخطر من تهديد وثغرات أمنية في أحد الأصول:
التهديد: أي ظرف أو حدث طبيعي أو من صنع الإنسان يمكن أن يكون له تأثير سلبي أو غير مرغوب فيه، طفيف أو كبير، على أحد الأصول أو عمليات المؤسسة.
الضعف: غياب أو ضعف الحماية أو التحكم في أحد الأصول أو العمليات (أو ضعف جوهري) مما يجعل التهديد أكثر ضرراً أو تكلفة، أو أكثر احتمالية للحدوث، أو من المرجح أن يحدث بشكل متكرر.
الأصل: مورد أو عملية أو منتج أو نظام له بعض القيمة بالنسبة للمؤسسة وبالتالي يجب حمايته. قد تكون الأصول ملموسة
(أجهزة الكمبيوتر والبيانات والبرامج والسجلات وما إلى ذلك) أو غير ملموسة (الخصوصية والوصول والصورة العامة وثقافة الشركة وما إلى ذلك)، وقد يكون لهذه الأصول أيضاً قيمة ملموسة (سعر الشراء) أو قيمة غير ملموسة (الميزة التنافسية). ولنتذكر: أن المخاطر = قيمة الأصول × تأثير التهديد × احتمال التهديد.
تقييم المخاطر/التحليل (المعالجة)
تقييم المخاطر : يبدأ تقييم المخاطر بالكشف عن عناصر محددة من المكونات الثلاثة للمخاطر وتحديدها: الأصول والتهديدات والثغرات.
تحديد و تقييم الأصول: يعد تحديد أصول المؤسسة وتحديد قيمتها خطوة بالغة الأهمية في تحديد المستوى المناسب من الأمن. يمكن أن تكون قيمة الأصول بالنسبة للمؤسسة كمية (مرتبطة بتكلفتها) أو نوعية (أهميتها النسبية). ومن المهم الانتباه أن عملية تقييم الأصول غير الدقيقة أو التي يتم إجراؤها على عجل قد ينتج عنها ما يلي:
- ضوابط مختارة بشكل سيئ أو غير مطبقة بشكل صحيح
- ضوابط غير فعّالة من حيث التكلفة
- ضوابط تحمي الأصول الخاطئة
وبالمقابل فإن عملية تقييم الأصول التي يتم إجراؤها بشكل صحيح لها العديد من الفوائد ، ومنها:
- دعم تقييمات المخاطر الكمية والنوعية، وتحليلات تأثير الأعمال (BIAs)، والتدقيق الأمني.
- تسهيل تحليل التكلفة والفائدة ودعم قرارات الإدارة فيما يتعلق باختيار الضمانات المناسبة.
- إمكانية استخدام نتائج عملية تقييم الأصول لتحديد متطلبات التأمين والميزانية وتكاليف الاستبدال.
- المساعدة في إظهار العناية الواجبة، وبالتالي (ربما) الحد من المسؤولية الشخصية من جانب المديرين والمسؤولين.
مفاهيم إدارة المخاطر – تحديد قيمة الأصول
هناك ثلاثة عناصر أساسية تستخدم لتحديد قيمة أحد الأصول وهي:
التكاليف الأولية وتكاليف الصيانة: غالباً ما تكون قيمة مالية ملموسة قد تتضمن تكاليف الشراء والترخيص والتطوير (أو الاستحواذ) والصيانة والدعم.
القيمة الداخلية: قيمة صعبة وغير ملموسة. وقد تتضمن تكلفة إنشاء المعلومات واكتسابها وإعادة إنشائها، والتأثير التجاري أو الخسارة في حالة فقد المعلومات أو المساس بها. ويمكن أن تتضمن أيضاً تكاليف المسؤولية المرتبطة بقضايا الخصوصية.
القيمة العامة (أو الخارجية): وهي تكلفة أخرى صعبة وغير ملموسة غالباً، ويمكن أن تتضمن القيمة العامة فقدان المعلومات أو توقف العمليات، فضلاً عن تضرر سمعة العمل.
المساهمة في الإيرادات: على سبيل المثال، أصل بقيمة 10.000 ريال قد يكون مفيداً لتحقيق 5 ملايين ريال من الإيرادات السنوية. وبالتالي، فإن قرارات المخاطر لمثل هذا الأصل يجب أن تأخذ في الاعتبار ليس فقط تكلفته، بل وأيضاً دوره في توليد أو حماية الإيرادات.
تحليل التهديدات
لإجراء تحليل التهديدات، من المهم اتباع الخطوات الأساسية الأربع التالية:
- تحديد التهديد الفعلي.
- تحديد العواقب المحتملة على المؤسسة إذا حدث حدث التهديد.
- تحديد التكرار المحتمل وتأثير حدوث التهديد.
- تقييم احتمالية حدوث التهديد فعلياً.
على سبيل المثال، قد تشعر الشركة التي لديها مركز توزيع في أحد البلدان النامية بالخطر من العواقب المحتملة انقطاع التيار الكهربائي. وبالتالي، يمكن للشركة تحديد متوسط لعدد ساعات انقطاع التيار و تأثيرها الفعلي على عمليات الشركة خلال هذه الفترة و طرق معالجتها. قد يكون من الصعب حصر عدد وأنواع التهديدات التي يجب على المؤسسة مواجهتها، ولكن يمكن تصنيفها عموماً إلى:
- طبيعية: الزلازل والفيضانات والأعاصير والبرق والحرائق وما إلى ذلك.
- من صنع الإنسان: الوصول غير المصرح به، وأخطاء إدخال البيانات، والسرقة، والإرهاب، والتخريب، والحرق العمد، والهندسة الاجتماعية، والبرمجيات الخبيثة والفيروسات، وما إلى ذلك.
لا يمكن تصنيف جميع التهديدات بسهولة أو بشكل دقيق. على سبيل المثال، يمكن أن تكون الحرائق وخسائر المرافق طبيعية ومن صنع الإنسان.
تقييم نقاط الضعف
يوفر تقييم نقاط الضعف خط أساس لتحديد نقاط الضعف في أحد الأصول بالإضافة إلى تحديد طريقة أو أكثر محتملة للتخفيف من
نقاط الضعف تلك. على سبيل المثال، قد تفكر إحدى المؤسسات في تهديد رفض الخدمة (DoS)، إلى جانب ثغرة أمنية موجودة في تنفيذ Microsoft لنظام أسماء النطاقات (DNS). ومع ذلك، إذا تم تصحيح خوادم DNS الخاصة بالمؤسسة بشكل صحيح أو إذا استخدمت المؤسسة خادم DNSSEC المستند إلى UNIX، فقد تكون الثغرة الأمنية المحددة قد تمت معالجتها بشكل كافٍ بالفعل، وقد لا تكون هناك حاجة إلى ضوابط إضافية لهذا التهديد.
تحليل المخاطر
يجمع تحليل المخاطر بين جميع عناصر إدارة المخاطر (التحديد والتحليل والتحكم) وهو أمر بالغ الأهمية للمؤسسة لتطوير استراتيجية فعّالة لإدارة المخاطر. يتضمن تحليل المخاطر الخطوات الأربع التالية:
- تحديد الأصول المراد حمايتها، بما في ذلك قيمتها النسبية، وحساسيتها، وأهميتها بالنسبة للمؤسسة.
- تحديد التهديدات ، بما في ذلك بيانات تواتر التهديدات وتأثيرها.
- حساب متوسط الخسارة السنوي (ALE). ويعد حساب متوسط الخسارة السنوي مفهوماً أساسياً في تحليل المخاطر وهو مفيد بشكل خاص لتحديد نسبة التكلفة إلى الفائدة للحماية أو التحكم.
- تحديد الضوابط المناسبة. وتعتبر هذه العملية هي أحد مكونات تحديد المخاطر (تقييم نقاط الضعف) والتحكم في المخاطر .
التحليل النوعي للمخاطر
على عكس التحليل الكمي للمخاطر، يتجنب هذا النهج لتحليل المخاطر الأرقام. ويتمثل التحدي الذي يفرضه هذا النهج في
تطوير سيناريوهات حقيقية تصف التهديدات الفعلية والخسائر المحتملة لأصول المؤسسة. يتضمن التحليل النوعي للمخاطر بعض المزايا عند مقارنته بتحليل المخاطر الكمي، ومنها:
- لا يتطلب حسابات معقدة.
- الوقت والجهد المبذول في العمل منخفض نسبياً.
- حجم البيانات المدخلة المطلوبة منخفض نسبياً.
تشمل عيوب تحليل المخاطر النوعي، مقارنة بتحليل المخاطر الكمي، ما يلي:
لا يتم تحديد التكاليف المالية؛ وبالتالي فإن تحليل التكلفة والفائدة غير ممكن.
يعتمد النهج النوعي بشكل أكبر على الافتراضات والتخمين.
بشكل عام، لا يمكن أتمتة تحليل المخاطر النوعي.
يصعب شرح التحليل النوعي لأصحاب القرار . (تفهم الإدارات التنفيذية مقولة “سيكلفنا هذا 3 ملايين ريال على مدى 12 شهراً” بشكل أفضل من “سيتسبب هذا في خسارة غير محددة في تاريخ مستقبلي غير محدد.”)
تتمثل إحدى المزايا المميزة لتحليل المخاطر النوعي في أنه يمكن رسم مجموعة كبيرة من المخاطر المحددة وفرزها حسب قيمة الأصول أو المخاطر أو غيرها من الوسائل. يمكن أن يساعد هذا المؤسسة على تحديد وتمييز المخاطر الأعلى من المخاطر الأقل، حتى
رغم عدم معرفة المبالغ الدقيقة. ولا يحاول التحليل النوعي للمخاطر تعيين قيم رقمية لمكونات (الأصول والتهديدات) تحليل المخاطر.
مفاهيم إدارة المخاطر – التحليل الكمي
يتطلب التحليل الكمي الكامل للمخاطر قياس جميع عناصر العملية، بما في ذلك قيمة الأصول، والتأثير، وتكرار التهديدات، وفعالية الضوابط ، وتكاليفها، وعدم اليقين، والاحتمالية، وتخصيص قيم رقمية لها. يحاول التحليل الكمي للمخاطر تعيين قيم رقمية (تكاليف) أكثر موضوعية لمكونات (الأصول والتهديدات) تحليل المخاطر. وتتضمن مزايا التحليل الكمي للمخاطر، مقارنة بالتحليل النوعي للمخاطر، ما يلي:
- يتم تحديد التكاليف المالية؛ وبالتالي، يمكن تحديد تحليل التكلفة والفائدة.
- تدعم البيانات الأكثر إيجازاً وتحديدًا التحليل؛ وبالتالي فإن هامش الافتراضات والاستقراء أقل والتخمين أقل.
- غالباً ما يمكن أتمتة التحليل والحسابات.
- من الأسهل شرح النتائج الكمية المحددة إلى المديرين التنفيذيين والإدارة العليا.
تتضمن عيوب التحليل الكمي للمخاطر، مقارنة بالتحليل النوعي للمخاطر، ما يلي:
- التحيزات البشرية من شأنها أن تحرف النتائج.
- عادةً ما تكون هناك حاجة إلى العديد من الحسابات المعقدة.
- الوقت والجهد المبذولين مرتفعان نسبياً.
- حجم بيانات الإدخال المطلوبة مرتفع نسبياً.
- من الصعب تحديد احتمالية وقوع أحداث التهديد.
- هناك بعض الافتراضات المطلوبة.
التحليل الكمي المحض للمخاطر غير ممكن أو عملي بشكل عام. ويرجع ذلك في المقام الأول إلى صعوبة تحديد احتمالية دقيقة لحدوث أي سيناريو تهديد معين. ولهذا السبب، فإن العديد من تحليلات المخاطر عبارة عن مزيج من تحليل المخاطر النوعي والكمي، والمعروف باسم تحليل المخاطر الهجين الذي يجمع بين عناصر تحليل المخاطر الكمي والنوعي.