في المقال السابق بدأنا التعرف عن عملية إدارة المخاطر. وكنا قد عرفنا الخطر Risk على أنه احتمالية حدوث أمر ما سيؤثر على البيانات أو الموارد وممكن أن يؤدي إلى إتلافها أو تدميرها أو الكشف عنها . وتعتبر عملية إدارة المخاطر Risk Management أمر مهم جداً وضروري لفهم الوضع الأمني للمؤسسة وإدارته بالشكل الأنسب. لذلك تعتبر هذه العملية أحد عناصر الحفاظ على بيئة آمنة. يمكننا عبر عملية إدارة المخاطر تحديد العوامل التي تضر أو تؤثر أو تكشف البيانات وتقييم تلك العوامل على ضوء قيمة وأهمية البيانات وتكلفة الإجراءات المضادة . و من ثم تنفيذ الحلول الفعالة من حيث التكلفة للتخفيف أو التقليل من المخاطر المحتملة.
الهدف الأساسي من عملية إدارة المخاطر هو تقليل المخاطر إلى مستوى مقبول Tolerance . ويعتمد هذا المستوى على طبيعة الشركة وقيمة أصولها وحجم ميزانيتها والعديد من العوامل الأخرى.
كما يتم استخدام عملية إدارة المخاطر لتطوير وتنفيذ استراتيجيات أمن المعلومات والهدف من هذه الاستراتيجيات هو التوازن بين التقليل من المخاطر المحتملة و بين دعم عملية استمرار العمليات الخاصة بالشركة، في هذا المقال سنتابع ما بدأناه في التعرف على المصطلحات والأمور الأساسية في عملية إدارة المخاطر.
الخطر Risk في عملية إدارة المخاطر:
يمكن تعريف المخاطر على أنها احتمال أن يستغل التهديد نقاط الضعف ويسبب الضرر للأصول. وكلما زاد احتمال وقوع حدث التهديد زادت المخاطر والقاعدة الأساسية لتعريف المخاطر هي:الخطر = التهديد * نقاط الضعف
وبالتالي فإن تقليل عوامل التهديد أو نقاط الضعف سيؤدي إلى التقليل من المخاطر. ويمكننا القول أن الخطر قد تحقق عندما يقوم عامل التهديد Threat actor أو الجهة الفاعلة باستغلال إحدى نقاط الضعف والتسبب في إلحاق الضرر بالأصول أو الكشف عن المعلومات. علماً أن الهدف الأساسي من عملية الحماية هو منع تحقق المخاطر وهذا الأمر يتم من خلال إزالة نقاط الضعف والحد أو الحظر من عوامل التهديد.
security controls – الضوابط الأمنية
الـ Controls هي عمليات التحكم الأمني أو الإجراءات المضادة. و بالتالي هي أي أمر يزيل أو يقلل من الثغرات الأمنية أو يحمي من واحد أو أكثر من التهديدات المحتملة.
ويمكن أن يتضمن ذلك الإجراءات الوقائية أو إجراءات الحماية الاستباقية كتثبيت التحديثات الأمنية وإصلاح نقاط الضعف أو تطبيق إعدادات الحماية بشكل مسبق. أو حتى تعديل وإعداد البنية التحتية للشبكة بشكل آمن وتعديل العمليات وتحسين السياسة الأمنية وتدريب الموظفين والعديد من الأمور الأخرى.
يمكن تعريف ضمانات الحماية أيضاً على أنها أي إجراء أو منتج يقلل من المخاطر من خلال العمل على إزالة أو التقليل من عوامل التهديد والثغرات الأمنية. كما أنه الوسيلة الوحيدة التي يتم من خلالها التخفيف من المخاطر أو إزالتها ومن المهم هنا أن نشير أن الإجراءات الوقائية أو الإجراءات المضادة قد لا تتطلب شراء منتج جديد وقد يقتضي الأمر إعادة اعداد الأجهزة والأنظمة الحالية أو إزالة بعض عناصر من البنية التحتية الحالية.
الهجوم Attack:
عندما يتم استغلال ثغرة او نقطة ضعف محددة فإننا نسمي ذلك هجوم. و بالتالي فإن الهجوم هو المحاولة المقصودة لاستغلال ثغرة أمنية في البنية التحتية للمؤسسة أو الشركة. هدف الهجوم عموماً هو إحداث الضرر أو الخسارة في الأصول أو الكشف عن المعلومات أو الحصول عليها او تخريبها أو تدميرها. ويمكن اعتبار الهجوم على فشلاً في تحقيق الالتزام بسياسة الحماية الخاصة بالشركة.
عملية إدارة المخاطر – الاختراق:
الاختراق هو تجاوز الحماية المطبقة من قبل عامل التهديد (الجهات المهاجمة). حيث تمكن المهاجم من الوصول إلى البنية التحتية للشركة وذلك من خلال التحايل على الضوابط الأمنية وهذا الأمر سيؤدي لتعرض الأصول للخطر بشكل مباشر.
تحديد التهديدات ونقاط الضعف:
إن تحديد وفحص التهديدات هو جزء أساسي من عملية إدارة المخاطر. ويتضمن ذلك إنشاء قائمة شاملة لجميع التهديدات المحتملة لكل الأصول المحددة. من المهم تضمين القائمة عوامل التهديد وطرق الاستغلال. و كذلك أن نضع بعين الاعتبار أن التهديدات يمكن أن تأتي من أي مكان. كما أنها لا تقتصر على التهديدات الخاصة بتكنولوجيا المعلومات.
يجب أن تحوي هذه القائمة على الأمور التالية، على سبيل المثال لا الحصر:
- البرمجيات الخبيثة
- الأنشطة الاجرامية من قبل المستخدمين المصرح لهم ( التجسس – انتحال العناوين – تسريب المعلومات ….)
- الهاكرز أو الجهات الشريرة
- الموظفين الحانقين
- إساءة استخدام الصلاحيات من قبل الموظفين
- فقدان البيانات
- هجمات الهندسة الاجتماعية
في معظم الحالات يجب أن يتم تنفيذ عملية إدارة المخاطر من قبل فريق وليس من قبل فرد واحد. ويجب أن يكون أعضاء الفريق من أقسام مختلفة داخل الشركة. وليس من الضروري أن يكون جميع أعضاء الفريق مختصين في مجال الحماية أو الشبكات أو الأنظمة. يساعد تنوع الفريق على تحديد ومعالجة جميع التهديدات والمخاطر المحتملة بشكل شامل.
تقييم المخاطر هي عملية معقدة للغاية ومفصلة وطويلة. وفي العديد من الحالات لا يمكن التعامل مع عملية تحليل المخاطر بشكل صحيح من قبل الموظفين بسبب حجم أو نطاق المخاطر و تعقيدها. وبالتالي فإن العديد من المنظمات تقوم بإسناد هذه الغملية لخبراء أو مستشارين متخصصين و على مستوى عالي من الخبرة.
لا يقوم خبراء أو مستشاري إدارة المخاطر بتقييم وتحليل المخاطر على الورق فقط بل يستخدمون برمجيات معقدة ومكلفة للقيام بهذه العملية. يساعدهم ذلك بالحصول على نتائج أكثر موثوقة ومقبولة من قبل مجالس الإدارة.
