تقييم المخاطر – ستة طرق لحماية المعلومات من التهديدات السيبرانية

تتعرض المعلومات الحساسة الخاصة بالمنظمة لتهديد مستمر. لذلك فإن تحديد هذه التهديدات و المخاطر الأمنية هو أمر بالغ الأهمية لحماية تلك المعلومات. لكن بعض المخاطر أكبر من غيرها. و كذلك بعض خيارات تقليل المخاطر أكثر كلفة من غيرها. إذاً، كيف تتخذ القرار الصحيح لمعرفة تأثير مخاطر تكنولوجيا المعلومات على أهداف أو عمليات المؤسسة؟ تمنحك عملية تقييم المخاطر المعلومات التي تحتاجها لتحديد الأولويات.

يجب أن تحدد تقييمات المخاطر وتقيم التهديدات ونقاط الضعف ، ويجب تسجيلها في سجل مخاطر تكنولوجيا المعلومات. و يفضل أن يكون سجل مخاطر تكنولوجيا المعلومات مدمجاً في برنامج إدارة مخاطر المؤسسة ، إن وجد. يجب تقييم وجود وفعالية ضوابط تكنولوجيا المعلومات بشكل مستمر، و كذلك تحديد الحاجة إلى ضوابط جديدة على أساس تغير المخاطر. و من ثم، يجب أن تقدم هذه المعلومات المتعلقة بالمخاطر في تقارير إلى أصحاب المصلحة لتسهيل اتخاذ القرار بما يتماشى مع شهية المؤسسة للمخاطر. هناك العديد من الطرق لإجراء تقييم للمخاطر ، ولكل منها فوائدها وعيوبها. يشارك معكم روبودين هذا المقال لمساعدتك في اختيار الأفضل لمؤسستك.

ما هو تقييم المخاطر؟

تقييم المخاطر هو الطريقة التي تقرر بها منظمات الأعمال ما يجب القيام به لمواجهة المشهد الأمني المتغير باستمرار. نحن نرى التهديدات ونقاط الضعف في كل مكان. يمكن أن يكون هذا الضعف ناتجاً عن مصدر خارجي أو مستخدم داخلي عن قصد أو بسبب الإهمال. أحياناً تكون لنقاط الضعف جذور عميقة في البنية التحتية للشبكة. يحتاج صانعو القرار إلى فهم و ترتيب أولويات المخاطر في منظمة الأعمال بالإضافة إلى معرفة تكلفة جهود تقليل تلك المخاطر.

تساعد تقييمات المخاطر في تحديد هذه الأولويات وتقييم التأثير المحتمل والاحتمالية لكل خطر. يمكن لصانعي القرار بعد ذلك اختيار جهود تخفيف المخاطر وتحديد الأولويات بما يتسق مع استراتيجية المنظمة وميزانيتها وجداولها الزمنية. إذا لم يتم التحقق من المخاطر في الوقت المناسب، فقد تؤدي إلى اضطراب العمليات التجارية و تلقي أعباءاً مالية إضافية على المؤسسة و هو الأمر الذي لا يريد المدراء التنفيذيون حدوثه.

منهجيات تقييم المخاطر

يمكن أن تتخذ المنظمات عدة مناهج لتقييم المخاطر – الكمية أو النوعية أو شبه الكمية أو المستندة إلى الأصول أو المستندة إلى الضعف أو المستندة إلى التهديد. يمكن لكل منهجية تقييم موقف المخاطرة للمؤسسة ، لكنها تتطلب جميعها نوعاً بين المقايضة و التوازن بين المكاسب و الخسائر .

التقييم الكمي

يستخدم التحليل الكمي للمخاطر قيماً عددية ملموسة و كذلك التحليل الإحصائي لحساب احتمالية وتأثير المخاطر. تستخدم الأساليب الكمية القيم العددية مثل التكلفة والأرقام الإحصائية . تتبع تقييمات المخاطر الكمية منهجاً يتضمن جرد الأصول (إلى جانب تكاليف استبدالها وعوامل التعرض التي تتأثر بها) ، وحساب تأثير خسارة الأصل كلياً أو جزئياً ، وتحديد احتمالية وقوع الحدث الضار.

تضفي الأساليب الكمية صرامة تحليلية على العملية. الأصول والمخاطر يتم عكسها بقيم مالية. يمكن بعد ذلك تقديم تقييم المخاطر الناتج من الناحية المالية بطريقة يفهمها التنفيذيون وأعضاء مجلس الإدارة بسهولة مما يسمح لهم بتحديد أولويات و خيارات تقليل المخاطر. ومع ذلك ، قد لا يكون التقييم الكمي مناسباً دائماً. بعض الأصول أو المخاطر لا يمكن قياسها بسهولة. كما أن التكميم يعتبر أمراً معقداً بشكل عام لدرجة أن بعض المنظمات لا تمتلك الخبرة الداخلية التي تتطلبها تقييمات المخاطر الكمية.

التقييم النوعي للمخاطر

عندما تتخذ الأساليب الكمية نهجاً علمياً لتقييم المخاطر ، فإن الأساليب النوعية تعتمد أكثر على التواصل مع المعنيين. يلتقي فريق التقييم مع الموظفين في المنظمة ليفهم منهم كيف ، أو ما إذا كانوا سينجزون وظائفهم في حالة انقطاع النظام عن الاتصال بالانترنت مثلاً. يستخدم الفريق هذه المدخلات لتصنيف المخاطر على مستويات تقريبية مثل عالية أو متوسطة أو منخفضة. يوفر التقييم النوعي للمخاطر صورة عامة لكيفية تأثير المخاطر على عمليات المنظمة. من المرجح أن يفهم الموظفون بكل أدوارهم المهنية تقييمات المخاطر النوعية. من ناحية أخرى ، هذه الأساليب ذاتية بطبيعتها. يجب أن يطور فريق التقييم سيناريوهات يسهل شرحها ، ويطور أسئلة ومنهجيات مقابلة تتجنب التحيز ، ثم يفسر النتائج. لكن، دون أساس مالي متين لتحليل التكلفة والعائد ، قد يكون من الصعب تحديد أولويات خيارات التخفيف.

يعد التحليل النوعي للمخاطر مناسباً عندما يتطلب الأمر تقييم المخاطر بناءاً على عوامل يصعب تحديدها كمياً. مثال ذلك، كيف يمكن تكميم التأثير المحتمل لفقدان ثقة المستهلك أو الإضرار بالسمعة؟ قد نحاول تأطيرها من حيث الإيرادات المفقودة أو خسارة العمل. على سبيل المثال ، أو يمكن إجراء مسح لعينة من السكان لتحديد عدد الأشخاص الذين سيتعاملون أو لا يتعاملون مع المؤسسة بعد خرق البيانات. ومع ذلك ، لن يمثل ذلك سوى نتائج عينة إحصائية صغيرة و لن يعطي رأياً حاسماً كما هو الحال في المعايير الكمية.

تقييم شبه كمي

تجمع بعض المنظمات بين المنهجيات السابقة لإنشاء تقييمات شبه كمية للمخاطر. باستخدام هذا النهج ، تستخدم المؤسسات مقياساً رقمياً ، مثل 1-10 أو 1-100 ، لتعيين قيمة رقيمة للمخاطر . يتم تصنيف عناصر المخاطر التي تم تسجيلها في الثلث الأدنى على أنها منخفضة المخاطر ، والثلث الأوسط على أنها متوسطة المخاطر ، والثلث الأعلى على أنها عالية المخاطر.

يؤدي المزج بين المنهجيات الكمية والنوعية إلى تفادي التعقيدات الإحصائية والحسابات المرتبطة بالتكميم، مع الوصول لنتائج أكثر دقة من التقييمات النوعية. يمكن أن توفرالمنهجيات شبه الكمية أساساً سليماً لتحديد أولويات عناصر المخاطر.

تقييم المخاطر على أساس الأصول

تقليدياً ، تتخذ المنظمات نهجاً قائماً على الأصول لتقييم مخاطر تكنولوجيا المعلومات. تتكون الأصول من الأجهزة والبرامج والشبكات التي تتعامل مع معلومات المؤسسة – بالإضافة إلى المعلومات نفسها. يتبع التقييم المستند إلى الأصول عموماً عملية من أربع خطوات:

• جرد جميع الأصول.
• تقييم فعالية الضوابط الحالية.
• تحديد التهديدات ونقاط الضعف لكل أصل.
• تقييم التأثير المحتمل لكل خطر.

تعتبر الأساليب القائمة على الأصول شائعة لأنها تتوافق مع طريقة عمل قسم تكنولوجيا المعلومات. من السهل -مثلاً- فهم مخاطر وضوابط جدار الحماية. ومع ذلك ، لا يمكن للنهج القائمة على الأصول أن ينتج تقييمات كاملة للمخاطر. بعض المخاطر ليست جزءاً تقنياً من البنية التحتية لتكنولوجيا المعلومات. ضعف السياسات و الإجراءات يمكن أن يعرض المؤسسة لخطر كبير مثل جدار حماية ضعيف unpatched firewall بسبب التأخر بتطبيق التصحيحات .

تقييم المخاطر على أساس نقاط الضعف

تعمل المنهجيات القائمة على نقاط الضعف Vulnerability-Based على توسيع نطاق تقييمات المخاطر بما يتجاوز أصول المؤسسة. تبدأ هذه العملية بفحص نقاط الضعف والقصور المعروفة داخل البنية التنظيمية أو البيئات التي تعمل فيها تلك الأنظمة. من هناك ، يحدد فريق التقييم التهديدات المحتملة التي يمكن أن تستغل هذه الثغرات ، إلى جانب العواقب المحتملة لبرمجيات الاستغلال.

إن ربط تقييمات المخاطر على أساس نقاط الضعف بعملية إدارة نقاط الضعف في المؤسسة ينتج عنه إدارة فعالة للمخاطر وعمليات إدارة نقاط الضعف. على الرغم من أن هذا النهج يغطي نطاقاً من المخاطر أكثر من التقييم القائم على الأصول ، إلا أن من أوجه قصوره أنه يعتمد على نقاط الضعف المعروفة وبالتالي قد لا يشمل النطاق الكامل للتهديدات التي تواجهها المؤسسة.

تقييم على أساس التهديد

يمكن أن توفر الأساليب القائمة على التهديد تقييماً أكثر اكتمالاً لوضع المخاطر العام للمؤسسة. هذا النهج يقيم الظروف التي تخلق المخاطر. ستكون مراجعة الأصول جزءاً من التقييم لأن الأصول وضوابطها تساهم في هذه الظروف. تنظر المقاربات القائمة على التهديدات إلى ما هو أبعد من البنية التحتية المادية.

من خلال تقييم التقنيات التي تستخدمها الجهات الفاعلة في التهديد ، على سبيل المثال ، قد تعيد التقييمات تحديد أولويات خيارات تقليل المخاطر. فالتدريب على الأمن السيبراني يخفف من هجمات الهندسة الاجتماعية مثلاً. قد يركز التقييم القائم على الأصول على الضوابط المنهجية أكثر من تركيزه على تدريب الموظفين. من ناحية أخرى ، أو قد يجد التقييم القائم على التهديد أن زيادة تواتر التدريب على الأمن السيبراني يقلل من المخاطر بتكلفة أقل.

اختيار المنهجية الصحيحة

كل من هذه المنهجيات مثالية. لكل منها نقاط القوة والضعف. تقوم المنظمات غالباً بإجراء تقييمات للمخاطر تجمع بين هذه الأساليب ، سواء عن قصد أو بحكم الظروف. عند تصميم عملية تقييم المخاطر الخاصة بك ، ستعتمد المنهجيات التي تستخدمها على ما تحتاج إلى تحقيقه وطبيعة مؤسستك.

إذا كانت الموافقات على مستوى مجلس الإدارة والموافقات التنفيذية هي أهم المعايير ، فحينئذٍ سيميل نهجك نحو الأساليب الكمية. قد يكون المزيد من الأساليب النوعية أفضل إذا كنت بحاجة إلى دعم من الموظفين وأصحاب المصلحة الآخرين. تتوافق التقييمات القائمة على الأصول بشكل طبيعي مع مؤسسة تكنولوجيا المعلومات الخاصة بك بينما تتناول التقييمات القائمة على التهديدات مشهد الأمن السيبراني المعقد اليوم. مهما كان النهج الذي ستختاره، فإن التقييم المستمر لمخاطر مؤسستك هو الطريقة الوحيدة لحماية المعلومات الحساسة من التهديدات السيبرانية.