الهدف الرئيسي من عملية الحماية هو منع فقدان البيانات أو التلاعب بها أو الكشف عنها لجهات غير مصرح لها بالإطلاع عليها مع الحفاظ على الوصول المصرح به للجهات المسموح لها بذلك.
يمكن تعريف الخطر Risk على أنه احتمالية حدوث أمر ما سيؤثر على البيانات أو الموارد وممكن أن يؤدي إلى إتلافها أو تدميرها أو الكشف عنها. وتعتبر عملية إدارة المخاطر Risk Management أمر مهم جداً وضروري لفهم المواقف الأمنية وإدارتها بالشكل الأنسب. لذلك تعتبر عملية إدارة المخاطر أحد عناصر الحفاظ على بيئة آمنة. وهي عملية مفصلة ويمكن من خلالها تحديد العوامل التي تضر أو تؤثر أو تكشف البيانات و تقييم تلك العوامل على ضوء قيمة وأهمية البيانات وتكلفة الإجراءات المضادة وتنفيذ الحلول الفعالة من حيث التكلفة للتخفيف أو التقليل من المخاطر المحتملة.
في هذه السلسة من المقالات سيعرض لكم روبودين المصطلحات والأمور الأساسية في عملية إدارة المخاطر.
عملية إدارة المخاطر
يتم استخدام عملية إدارة المخاطر لتطوير وتنفيذ استراتيجيات أمن المعلومات. والهدف من هذه الاستراتيجيات هو التقليل من المخاطر المحتملة إلى مستوى مقبول بالنسبة للمؤسسة مع دعم استمرار العمليات الخاصة بالشركة.
يعتمد المستوى المقبول Risk tolerance على طبيعة المؤسسة وقيمة أصولها وحجم ميزانيتها والعديد من العوامل الأخرى. ممكن أن يتم اعتبار أو تقييم نفس الأمر على أنه ذو مستويات مختلفة بالنسبة لشركات مختلفة. فمن ممكن أن تعتبر إحدى الشركات أن هذا الأمر يمثل خطراً مقبولاً بينما تعتبر شركة أخرى نفس الأمر على أنه خطر ذو مستوى عالي وغير مقبول.
من المستحيل أن تكون بيئة أعمال خالية تماماً من المخاطر. ومع ذلك فإن الهدف الرئيسي في هذا الاتجاه هو الحد أو التقليل من المخاطر لتصل إلى المستوى المقبول كما أسلفنا.
لا تتعلق جميع المخاطر التي تتعرض لها البنية التحتية لتكنولوجيا المعلومات بأجهزة الحاسب فقط و لكن يوجد العديد من مصادر الخطر الأخرى. ومن المهم مراعاة جميع مصادر الخطر عند إجراء عملية تقييم للمخاطر لشركة ما.
تحليل المخاطر:
تعرف العملية التي يتم من خلالها تحقيق أهداف إدارة المخاطر باسم تحليل المخاطر risk analysis وتتضمن فحص كامل البيئة وتقييم كل حدث وتهديد والعمل على تحديد احتمالية حدوثه وتكلفة الضرر الذي قد يتسبب به في حال تم حدوثه. كما تتضمن تقييم تكلفة الإجراءات المضادة الخاصة بكل مصدر من مصادر الخطر وإنشاء تقرير يشمل على التكلفة والفائدة لتقديمه للإدارة العليا في الشركة.
بالإضافة لكل الأنشطة التي تركز على المخاطر تتطلب عملية إدارة المخاطر التقييم الصحيح و تحديد قيمة لجميع الأصول داخل الشركة. وبدون التقييمات الصحيحة للأصول لا يمكن تحديد أولويات المخاطر ومقارنتها مع الخسائر المحتملة.
المصطلحات الخاصة في عملية إدارة المخاطر:
تستخدم عملية إدارة المخاطر مصطلحات عديدة يجب أن تكون مفهومة بالنسبة لنا بشكل جيد. لذا لنقم بالتعرف على هذه المصطلحات:
الأصل Asset:
وهو أي شيء داخل بيئة الشركة يجب العمل على حمايته. وممكن أن يكون أي شيء مستخدم في عملية أو مهمة تجارية. أو أن يكون ملفاً موجوداً على الحاسب أو خدمة عبر الشبكة أو أحد موارد النظام. كما يمكن أن يكون الأصل ملكية فكرية أو موظفين أو عملية أو برنامج أو منتج أو البنية التحتية لتكنولوجيا المعلومات أو قاعدة بيانات أو جهاز أو أثاث أو مثلاً.
يتم تحديد الأصول ذات القيمة والتي تحتاج للحماية إذا كانت هذه الأصول مهمة لدرجة كافية أو من الممكن أن يؤدي فقدانها أو الكشف عنها إلى التأثير السلبي على الشركة كفقدان الإنتاجية أو انخفاض الأرباح أو التسبب بنفقات إضافية أو العديد من العواقب الغير ملموسة.
تقييم الأصول Asset Valuation:
تقييم الأصول هو القيمة المادية التي يتم تعيينها للأصل بناء على التكلفة الفعلية والمصروفات النقدية الخاصة والتي من الممكن أن تشمل تكاليف التطوير والصيانة والإدارة والإعلان والدعم والإصلاح والاستبدال والعديد من الأمور الأخرى.
التهديدات Threats في مفهوم إدارة المخاطر:
هي أي حدث محتمل قد يتسبب بنتيجة غير مرغوب بها للشركة أو لأصل محدد. ويمكن تعريفها أيضاً على أنها إجراء أو تقاعس قد يؤدي إلى تلف الأصول أو تدميرها أو تغييرها أو فقدانها أو الكشف عنها أو حتى منع الوصول لها أو منع صيانتها.
يمكن أن تكون التهديدات كبيرة أو صغيرة وينتج عنها عواقب كبيرة أو صغيرة. ويمكن أن تكون مقصودة أو غير مقصودة. ويمكن ان تنشأ من الأشخاص أو المنظمات أو الأجهزة او الشبكات أو العوامل الطبيعية.
عادةً ما يكون عملاء أو وكلاء التهديد هم أشخاص. ولكن من الممكن أن يكونوا أيضاً برامج أو أجهزة أو قد تكون عوامل طبيعية كالكوارث الطبيعية كالزلازل أو الفيضانات. أو قد تكون من صنع بشري كالحرائق أو التدمير المتعمد وقطع التيار الكهربائي أو الأخطاء البشرية بسبب نقص التدريب أو الجهل.
نقاط الضعف أو الثغرات Vulnerability:
ممكن أن تكون عيب أو ضعف في العمليات أو التصميم. او أمر أخر له تأثير على البنية التحتية لتكنولوجيا المعلومات في الشركة أو على أي جانب آخر بحيث إذا تم استغلالها قد يؤدي الأمر لحدوث خسارة أو تلف بالأصول.
التعرض للتهديد أو للكشف Exposure:
التعرض لفقدان الأصول بسبب التهديدات كوجود احتمال أن يتم استغلال الثغرات الأمنية من قبل الجهات الفاعلة. هذا الأمر لا يعني أن التهديد محقق. أي إذا كان هناك ثغرة أمنية والتهديد هو إمكانية استغلالها فإن التعرض للتهديد يمثل احتمال تنفيذ هذا التهديد. هناك طريقة أخرى للتفكير في هذا الأمر وهي الإجابة على السؤال “ما هو أسوأ أمر ممكن أن يحدث”. وهنا نحن لا نقول أن الضرر قد حدث أو أنه سيحدث بل نتحدث عن احتمالية هذا الضرر ومدى خطورته.
تحدثنا بشكل سريع عن مفهوم إدارة المخاطر و بعض المصطلحات الهامة في هذا المجال. سنتابع معكم في مقالات قادمة الحديث عن هذا الموضوع الهام لكل معني بأمن المعلومات.