إطار إدارة المخاطر للمؤسسات الصغيرة من NIST

بالنسبة لمنظمات الأعمال بمختلف تصنيفاتها وأحجامها، فإن أمن المعلومات هو حماية المعلومات والأنظمة من الوصول أو الاستخدام أو الكشف غير المصرح به، أو التعطيل أو التعديل أو التدمير. يلخص روبودين في هذا المقال دليل المؤسسات الصغيرة وفق إطار إدارة المخاطر من NIST. يمثل هذا الدليل نقطة انطلاق لتصميم وتنفيذ برنامج إدارة مخاطر أمن المعلومات والخصوصية.

أساسيات إدارة المخاطر

إدارة المخاطر هي عملية شاملة تمكن المنظمات من:

• تحديد إطار المخاطر: إنشاء سياق للمخاطر من خلال توفير منظور مشترك حول كيفية إدارة المنظمات للمخاطر. أحد المخرجات الرئيسة في هذه المرحلة هو استراتيجية إدارة المخاطر التي تعالج تحمل المخاطر والافتراضات والقيود، وكيف تنوي المنظمة تقييم المخاطر والاستجابة لها ومراقبتها.
• تقييم المخاطر: تحديد أولويات وتقدير تأثيرات المخاطر على المنظمة والعمليات والمهمة/العمل.
  الاستجابة للمخاطر: تحديد وتقييم واتخاذ القرار بشأن وتنفيذ مسارات العمل المناسبة لقبول أو تجنب أو تخفيف أو مشاركة أو نقل المخاطر.
• مراقبة المخاطر: التحقق من تنفيذ تدابير الاستجابة للمخاطر المخطط لها، وتحديد الفعالية المستمرة لاستجابات المخاطر، و مراقبة المخاطر بشكل مستمر.

إطار عمل إدارة المخاطر من NIST

يوفر هذا الإطار عملية شاملة ومرنة ومستدامة وقابلة للقياس يمكن للمؤسسات استخدامها لإدارة مخاطر أمن المعلومات والخصوصية الفريدة الخاصة بها. ويمكن تطبيق إطار عمل إدارة المخاطر على الأنظمة الجديدة والموجودة فعلاً، وأي نوع من الأنظمة أو التكنولوجيا (على سبيل المثال، انترنت الأشياء، وأنظمة التحكم)، وضمن أي نوع من المؤسسات بغض النظر عن الحجم أو مجال العمل. يساعد هذا الإطار المؤسسات الصغيرة -مثلاً- على تحديد وتنفيذ وتقييم وإدارة ومراقبة قدرات وخدمات الأمن السيبراني لاكتشاف المخاطر المستمرة في الأنظمة الجديدة والقديمة والقضاء عليها والتخفيف منها.

يقدم الإطار نهجاً قائماً على المخاطر لتطبيقات الأمن السيبراني يبدأ في وقت مبكر من دورات حياة النظام من خلال دمج إدارة مخاطر الأمن والخصوصية وسلسلة التوريد السيبرانية. يدفع إطار العمل المؤسسات إلى اختيار الضوابط والمواصفات ويركز على الفعالية والكفاءة. كما يأخذ بعين الاعتبار القيود القانونية والسياسات والمعايير واللوائح المعمول بها.

يتألف إطار عمل إدارة المخاطر التابع للمعهد الوطني للمعايير والتكنولوجيا من المكونات التالية:

1. التعريف: يبدأ إطار عمل إدارة المخاطر من NIST بتحديد المخاطر عبر المؤسسة، مثل المخاطر القانونية والخصوصية والاستراتيجية. ويجب تكرار هذه الخطوة بانتظام مع تغير مشهد المخاطر.
2. القياس والتقييم: قياس وتقييم وتطوير ملفات تعريف المخاطر التي تم تحديدها.
3. التخفيف: مراجعة المخاطر التي تم تحديدها لتحديد أثرها. وفي بعض الحالات، تكون المخاطر مقبولة ولا تتطلب أي إجراء. بينما تتطلب مخاطر أخرى إجراءات لتحفيفها، وقد تتطلب مخاطر أخرى تجنبها نهائياً.
4. الإبلاغ والمراقبة: مشاركة المعلومات حول المخاطر والتقييمات المنتظمة للمخاطر لتحديد أي تغييرات تستدعي اتخاذ إجراءات إضافية.
5. الحوكمة: من خلال حوكمة المخاطر، يضمن إطار عمل إدارة المخاطر من NIST تنفيذ عناصر إدارة المخاطر وإنفاذ السياسات المتعلقة بالمخاطر.

إطار إدارة المخاطر – خطوات نحو الأمان

الخطوات السبع في إطار إدارة المخاطر من NIST هي: إعداد وتصنيف واختيار وتنفيذ وتقييم وتفويض ومراقبة الضوابط الأمنية.

التحضير

يضمن البدء بخطوة التحضير أن تكون مؤسستك جاهزة لتنفيذ عملية إدارة المخاطر بطريقة عملية وفعالة ومنخفضة التكلفة لتحقيق نتائج إدارة المخاطر المرجوة. يجب البدء بهذه الخطوة وتنفيذ العملية بشكل متتابع. ومع ذلك، أثناء مراقبة عناصر التحكم، يمكنك العودة إلى خطوات أخرى بأي ترتيب، وبقدر ما يلزم. ويتضمن ذلك:

• تعيين فرد أو أفراد سيتم تكليفهم بمهمة تنفيذ إطار عمل إدارة المخاطر. يمكن إسناد الأدوار والمسؤوليات إلى أفراد داخل مؤسستك أو خارجها.
• إنشاء استراتيجية لإدارة المخاطر للمؤسسة توضح مدى تحمل مؤسستك للمخاطر.
• تنفيذ استراتيجية مراقبة مستمرة لمؤسستك لمراقبة وضع المخاطر الأمنية والخصوصية.
• تحديد نطاق الحماية للنظام وما يقع ضمن هذا النطاق.
• تقييم مخاطر الأمن والخصوصية على مستوى المؤسسة ومستوى النظام بشكل منتظم. مع تحديث نتائج تقييم المخاطر بشكل مستمر.

التصنيف والاختيار

تصنيف النظام والمعلومات التي تتم معالجتها وتخزينها ونقلها، ومن ثم تحديد مجموعة أولية من عناصر التحكم أو الضمانات لحماية سرية وسلامة وتوافر الأشخاص والأنظمة والأصول في مؤسستك. والمهام الأساسية لتصنيف الخطوات وتحديدها هي:

• تحديد أهم الأصول والعمليات والأنظمة، وتصنيف كل نظام بناءاً على التأثير الذي قد يلحق بالمؤسسة في حالة تعرض السرية أو التوافر أو النزاهة للخطر.
  وضع عناصر التحكم المناسبة اللازمة للحماية. ومنها -مثلاً-: تقييد الوصول إلى أنواع معينة من المعلومات.
• تخصيص الضوابط لمعالجة متطلبات الأمان والخصوصية المحددة للمؤسسة.
• تطوير وتنفيذ استراتيجية على مستوى النظام لمراقبة فعالية عناصر التحكم.

التنفيذ والتقييم

تنفيذ الضوابط المحددة وتوثيقها، ثم تقييم ما إذا تم تنفيذها بشكل صحيح، وتشغيلها على النحو المقصود، وتقديمها النتيجة المرجوة فيما يتعلق بتلبية متطلبات الأمان والخصوصية للنظام والمؤسسة. ويتضمن ذلك المهام التالية:

• تنفيذ الضوابط.
• تحديث خطط الأمان والخصوصية لتوثيق التغييرات الضرورية.
• تحديد فرد أو فريق ليكون مسؤولاً عن إجراء تقييم الضوابط.علماً أنه يمكن للمنظمات إجراء تقييمات ذاتية للضوابط أو الحصول على خدمات تقييم من جهة مستقلة.
• تطوير ومراجعة واعتماد خطط لتقييم الضوابط المطبقة.
• بمجرد الموافقة على الخطط، يتم إجراء تقييمات الضوابط باستخدام خطط التقييم.
  إعداد تقرير تقييم يوثق النتائج والتوصيات، مثل خطط تصحيح أوجه القصور.
• وضع خطة العمل والمعالم (milestones)، التي توضح خطط الإصلاح بناءاً على النتائج والتوصيات الواردة في تقرير التقييم.

الترخيص والمراقبة

تحدد إدارة المؤسسة ما إذا كانت مخاطر الأمن والخصوصية لكل نظام مقبولة، وإذا كان الأمر كذلك يتم السماح (الترخيص) باستخدامه لتخزين، معالجة ونقل المعلومات. وكذلك يتم مراقبة وضع الأمن والخصوصية للنظام والمؤسسة عموماً، وفق ما يلي:

• تجميع المعطيات وتقديمها إلى المسؤول المخول لإصدار قرار الترخيص. أما إذا كان يتم تنفيذ ضوابط الأمان والخصوصية بواسطة مزود خارجي، فتأكد من أن المزود يوفر المعلومات اللازمة لمنظمتك لاتخاذ القرارات.
• يحلل المسؤول المخول المعلومات الموجودة لديه لتحديد المخاطر التي قد تتعرض لها المنظمة.
• يصدر المسؤول المخول قرار ترخيص لنظام المعلومات، مشيراً إلى ما إذا كان النظام مرخصاً له للعمل أم لا.
• مراقبة النظام وبيئة التشغيل بحثاً عن التغييرات التي تؤثر على الأمان والخصوصية. يمكن أن يشمل ذلك، تقييم الضوابط بشكل مستمر استناداً إلى استراتيجية المراقبة المستمرة.
• باستخدام نتائج أنشطة المراقبة المستمرة، وتقييمات المخاطر، والعناصر والمعالم، يتم تحديد وتنفيذ الاستجابة المناسبة للمخاطر .
• الحفاظ على التواصل المستمر مع إدارة المؤسسة لنقل موقف الأمن والخصوصية الحالي.

كلمة أخيرة

يوفر إطار إدارة المخاطر عملية شاملة ومرنة وقابلة للتكرار وقابلة للقياس يمكن للمؤسسات استخدامها لإدارة مخاطر أمن المعلومات والخصوصية الخاصة بها. يمكن تطبيق إطار إدارة المخاطر على الأنظمة الجديدة والموجودة، وأي نوع من الأنظمة أو التكنولوجي وداخل أي نوع من المؤسسات بغض النظر عن الحجم أو مجال العمل.