في عالم يعتمد بشكل متزايد على التقنية، أصبحت إدارة مخاطر تكنولوجيا المعلومات أمراً بالغ الأهمية. مع تزايد التهديدات السيبرانية وتعقيدها، أصبح من الضروري تبني منهجيات فعالة لتقييم المخاطر ووضع استراتيجيات للتخفيف من حدتها. يتم ذلك عبر تطبيق المفاهيم والمنهجيات الرئيسة من مجال إدارة المخاطر .
ما هي المخاطر؟
في الأمن السيبراني، تُعرف المخاطر على أنها احتمال وقوع حدث سلبي. وبالتالي، تشمل المخاطر عنصرين رئيسيين: احتمال حدوث الحدث، وتأثير هذا الحدث إذا وقع. يمكن التعبير عن المخاطر رياضياً على أنها الانحراف عن النتيجة المتوقعة. على سبيل المثال، في الأسواق المالية، قد تكون الاستثمارات عالية المخاطر أكثر جاذبية من الاستثمارات منخفضة المخاطر بسبب إمكانية تحقيق عوائد عالية. ومع ذلك، في أمن الحاسوب، الهدف هو عادةً تصميم بيئة منخفضة المخاطر حيث يتم تقليل التهديدات والأضرار التي يمكن أن تسببها بشكل فعال.
إدارة مخاطر تكنولوجيا المعلومات – مفاهيم أساسية
لتوضيح بعض المفاهيم الأساسية في إدارة المخاطر، دعونا ننظر إلى مثال من العالم المادي. معظم الأشخاص الذين يقودون سياراتهم إلى العمل يصلون بأمان كما هو متوقع، ولكن عدداً صغيراً منهم يتعرضون لحوادث، وعدد أقل منهم قد يكونوا ضحايا لهجمات متعمدة مثل “السلب على الطرقات”. ينفق السائقون أكبر قدر ممكن من المال لشراء سيارات تتمتع بأفضل ميزات الأمان، مما يقلل من فرص وقوع الحوادث. بالإضافة إلى ذلك، يتم توجيه الإنفاق على أجهزة السلامة نحو منع أو تقليل الضرر الناتج عن الأحداث التي يكون لها أعلى تأثير. على سبيل المثال، تخفف أحزمة الأمان والوسائد الهوائية الإصابات الناجمة عن حوادث الاصطدام.
هذا المثال يوضح بعض المفاهيم الرئيسة في إدارة المخاطر:
- سلامة الإنسان (وخاصة الحفاظ على حياته) وهي عادةً النتيجة الأكثر أهمية فوق كل النتائج الأخرى.
- الأضرار الطفيفة على الممتلكات يمكن إصلاحها بسهولة في كثير من الأحيان.
- التهديدات يمكن أن تنشأ من أحداث عرضية أو أعمال متعمدة.
- يمكن تقييم المخاطر بشكل منهجي من خلال تصنيفها حسب شدتها واحتمالية حدوثها.
- بمجرد تحديد المخاطر، يمكن تصميم وتطوير وتنفيذ واختبار وتقييم منهجيات للتخفيف من تلك المخاطر.
- يجب توجيه الإنفاق للتخفيف من المخاطر نحو الأنشطة الأكثر خطورة.
- من المستحيل الحماية من جميع المخاطر، سواء كانت معروفة أو غير معروفة. وبالتالي فإن قبول المخاطر المتبقية هو جزء أساسي من مسؤوليات صناع القرار فيما يتعلق بإدارة مخاطر تكنولوجيا المعلومات.
تقييم المخاطر: تحديد النطاق
تحديد نطاق تقييم المخاطر هو نشاط بالغ الأهمية. إذا كان النطاق واسعاً جداً، فقد يكون من الصعب تفسير النتائج، وقد تصبح عملية جمع البيانات مكلفة للغاية من حيث الوقت والموارد. على العكس من ذلك، إذا كان النطاق ضيقاً جداً، فقد يتم تجاهل تهديدات مهمة وذات تأثير كبير. في أمن الحاسوب، يمكن تحديد نطاق تقييم المخاطر على مستوى مستخدم فردي، أو مجموعة مستخدمين معينة، أو نظام حاسوبي مادي، أو مركز بيانات، أو شبكة، أو منطقة، أو بلد، أو خدمة، أو تطبيق، أو أي مجموعة من هذه الكيانات.
في بعض الأحيان، يمكن تحديد النطاق بسهولة. على سبيل المثال، قد ترغب في طرح سؤال بسيط مثل: “ما هو تأثير تثبيت نظام تشغيل Microsoft Windows في بيئة مركز بيانات؟” في هذه الحالة، يمكن تحديد النطاق ليشمل مركز البيانات وبيئته المادية، وموظفي مركز البيانات، والشبكة الداخلية، وحدود الشبكة الخارجية، والتطبيقات والخدمات التي تعمل داخل مركز البيانات. في حالات أخرى، قد يكون من الصعب تحديد نطاق مناسب. على سبيل المثال، إذا كنت تدير موقعاً للتجارة الإلكترونية وتتعرض تطبيقاتك لهجمات و محاولات احتيال من مستخدمين خارجيين من دول متعددة، فقد يكون من الصعب تحديد الحدود.
تحليل بيانات المخاطر
تعتمد البيانات التي تحتاج إلى جمعها وتحليلها لإجراء تقييم المخاطر على منهجية التقييم. في هذا المقال الموجز ، يقترح روبودين نظاماً بسيطاً يعتمد على المصفوفات لتحليل المخاطر، وهو شائع الاستخدام في العديد من الصناعات.
ببساطة، يتم إنشاء مصفوفة تربط بين شدة التهديد واحتمالية حدوثه. وبالتالي، تمثل الأحداث التي لديها احتمالية عالية وشدة عالية أكبر التهديدات، بينما يتم تصنيف الأحداث ذات الاحتمالية المنخفضة والشدة المنخفضة وفقاً لذلك. يمكن التعبير عن نموذج المخاطر الأساسي على النحو التالي: {التأثير} = {الاحتمالية} {الشدة}
الأحداث التي لديها احتمالية منخفضة ولكنها تتمتع بتصنيف شديد ستكون مصنفة أعلى من تلك التي لديها احتمالية منخفضة وشدة منخفضة، وهكذا.
إدارة مخاطر تكنولوجيا المعلومات
بمجرد تحليل بيانات تقييم المخاطر، يجب تفسير النتائج في سياق قبول المخاطر بشكل صريح، أو وضع إجراءات مضادة (أو ضوابط) يمكن أن تخفف من المخاطر. عادةً ما يتم تصنيف نتائج تحليل هذه البيانات حسب التهديد، ويتم تحديد استراتيجيات للتخفيف من المخاطر لكل تهديد وتقدير تكلفتها. غالباً ما يكون هناك أكثر من إجراء للتخفيف يمكن تطبيقه لمواجهة كل تهديد، وقد تختلف التكاليف المرتبطة بكل إجراء بشكل كبير.
كلمة أخيرة
في هذا المقال، تم تقديم نهج بسيط لفهم إدارة مخاطر تكنولوجيا المعلومات، مع التركيز على تحديد الأولويات في الاستجابة للتهديدات الأكثر خطورة. نظرًا لأن الميزانيات عادةً لا تكفي لتمويل جميع الإجراءات المضادة الممكنة، فمن الضروري تحديد وترتيب الضمانات التي يُتوقع أن تكون الأكثر فعالية، بناءً على البيانات التاريخية والخبرة المتاحة. يمكن أن تلعب النماذج دورًا مهماً في فهم الهجمات الإلكترونية وعواقبها، مما يساعد في وضع استراتيجيات فعالة لإدارة المخاطر.
