مدیریت و ارزیابی ریسک

چکیده

بررسی عوامل و تشخیص نقاط حادثه خیز و خطرآفرین در واحدهای اطلاعاتی سازمانها به منظور پیشگیری از بروز حوادث از اهمیت ویژه ای برخوردار است.ریسک در پروژه رویدادها یا وضعیتهای ممکن الوقوع نامعلومی هستند که در صورت وقوع، بصورت پیامدهای منفی یا مثبت بر اهداف پروژه موثر می باشد. هر یک از این رویدادها یا وضعیتها، دارای علل مشخص و نتایج و پیامدهای قابل تشخیص هستند. پیامدهای این رویدادها مستقیماً در زمان، هزینه و کیفیت پروژه موثر می باشد. بنابراین شناسایی ریسک و تعیین میزان پیامدهای مثبت و منفی آن بر اهداف پروژه از اهمیت خاصی برخوردار است.

مقدمه

امروزه شرکتها مواجه با افزایش پیچیدگی و عدم قطعیتی هستند که مدیریت ریسکهای تخصصی و کسب و کار را مشکل تر می نماید. تلورانسهای شکست در مدیریت ریسک از سوی جامعه و سهامداران کاهش یافته اند. قوانین و مقررات نیز به نوبه خود الزامات سخت گیرانه تری را مطرح می نمایند. شکست در مدیریت این ریسکها می تواند مهلک باشد؛ حفظ یکپارچگی و کنترل روز به روز بحرانی تر می گردد. پس چرامی بایست به ریسک توجه کنیم .همه برنامه ها کاملا مساوی نیستند دو برنامه باROI مشابه ،هزینه های مشابه و مباحث مشابه ممکن است از نظر ویژگی ریسک با هم متفاوت باشند ارزیابی مدیریت ریسک این اجازه را به شما می دهد که تفاوت بین برنامه ها را مد نظر بگیرید.

فرآیند Risk Assessment یا ارزیابی ریسک اولین فاز از مجموعه فعالیتهای مدیریت ریسک است. این فرآیند حیاتی جایگاه ویژه ای در سیستم مدیریت امنیت اطلاعات (ISMS) دارد. در واقع تست نفوذ پذیری(Penetration Testing) که از فعالیتهای مهم نفوذ گران است، جزیی از فرآیند ارزیابی ریسک به شمار می¬آید.

ارزیابی ریسک برای پاسخ به سوالات زیر انجام می¬شود: -اگر یک ریسک خاص اتفاق بیافتد چقدر آسیب در پی خواهد داشت؟ - احتمال وقوع هر ریسک چقدر است؟ - کنترل هر ریسک چقدر هزینه دارد، آیا مقرون به صرفه است یا نه؟

مهمترین فایده ارزیابی ریسک، کمک به تصمیم گیری صحیح برای انتخاب راه حلهای امنیتی است. طبعا مدیران وقت و حوصله ورود به جزئیات فوق را ندارند، لذا خروجی ارائه شده به آنها توسط ما که معمولا مسئول انجام ارزیابی هستیم اعداد و ارقام و نمودارهاییست که به تصمیم گیری آنها کمک می¬کند. ارزیابی ریسک می¬تواند لزوم هزینه کردن برای امنیت را به تصمیم گیران سازمان اثبات ¬کند. نتایج ارزیابی ریسک به جهت گیری صحیح در انتخاب راه حلها (که همانا دفع تهدیدهای اصلی است) کمک می¬کند، همچنین می¬تواند در تولید و اصلاح خط مشی های امنیت سازمان (Security Policy) استفاده شود.

تعریف مدیریت ریسک :

مدیریت ریسک، فرآیندی است که به مدیران امکان می دهد میان هزینه های عملیاتی و هزینه های مالی اقدامات حفاظتی تعادل برقرار کرده و از طریق حفاظت از فرآیندهای کسب و کار که پشتیبان اهداف سازمان هستند، به منافع مربوطه دست یابند. مدیریت ریسک، یک فرآیند جامع است که بمنظور تعیین، شناسایی، کنترل و حداقل نمودن تاثیرات و عواقب رویدادهای احتمالی مورد استفاده قرار می گیرد. هدف مدیریت ریسک، کاهش ریسک اجرایی برخی فعالیتها و فرآیندها به سطح قابل قبول و کسب تائید مدیریت ارشد است.

مدیریت ریسک از چهار فرآیند مجزا تشکیل شده است: تجزیه و تحلیل ریسک، ارزیابیی ریسک، کاهش ریسک،ارزیابی اسیب ژذیری و ارزیابی کنترلها

اصطلاحات مدیریت ریسک

مدیریت ریسک(Risk Management):

هزینه کلی جهت تعیین، کنترل و حداقل نمودن تاثیر رویدادهای احتمالی. هدف مدیریت ریسک، کاهش ریسک به یک سطح قابل قبول است. حمایت از این فرآیند توسط مدیریت ارشد عامل تداوم آن خواهد بود.

تجزیه و تحلیل ریسک (Risk Analysis):

تکنیکی است جهت تعیین و ارزیابی مولفه هایی که ممکن است موفقیت یک پروژه یا دستیابی به یک هدف را به مخاطره بیاندازند. این تکنیک همچنین به تعیین راهکارهای پیشگیرانه برای کاهش احتمال وقوع مولفه های مربوط و تعیین اقدامات متقابل در زمان وقوع آنها کمک می کند.

ارزیابی ریسک(Risk Assessment):

محاسبه ریسک است. ریسک در واقع تهدیدی است که نقاط آسیب پذیر را مورد بهره برداری قرار داده و می تواند موجب واردشدن آسیب و خسارت به یک دارایی شود. الگوریتم ریسک، ریسک را بعنوان تابعی از دارایی ها، تهدیدات و آسیب پذیری ها محاسبه می کند. نمونه ای از یک تابع ریسک در یک سیستم بدین صورت است: (آسیب پذیری x تهدیدx دارایی) ریسک کلی برای یک شبکه برابر با مجموع ریسک اجزاء آن است.

کاهش ریسک(Risk Mitigation):

فرآیندی که در آن، یک سازمان کنترلها و اقدامات حفاظتی را بعمل می آورد تا از وقوع ریسکهای شناسایی شده ممانعت بعمل آورد، در حالیکه بطور همزمان ابزاری را برای بازیابی مجدد مورد استفاده قرار می دهد. چرا که در شرایط واقعی ممکن است تمامی تلاشها برای پیشگیری از وقوع ریسک با شکست مواجه شوند.

ارزیابی آسیب پذیری و ارزیابی کنترل ها:

آزمون سیستماتیک یک زیر ساخت کلیدی، سیستمهای بهم مرتبط که زیر ساخت به آن متکی است، اطلاعات یا محصول بمنظور تعیین کفایت و تناسب راهکارهای امنیتی، تعیین نواقص امنیتی، ارزیابی و سنجش آلترناتیوهای امنیتی و تصدیق کفایت و تناسب راهکارهای امنیتی پس از اجرای آنها.

فرآیند تجزیه و تحلیل ریسک

آنالیز ریسک تکنیکی است که برای شناسایی و ارزیابی مولفه ها و عواملی که ممکن است موفقیت یک پروژه یا دستیابی به یک هدف را به مخاطره بیاندازند، مورد استفاده قرار می گیرد. نام دیگر این فرآیند، « آنالیز حوادث پروژه » است. این فرآیند نیازمند انجام یک تجزیه و تحلیل هزینه- سود است. فرآیند هزینه- سود می بایست در بازنگری ویژگیها و مزایای یک داریی یا فرآیند دخیل باشد.

بخشی از بازنگری یک پروژه، تعیین هزینه های آن است. این هزینه ها عبارتند از هزینه های تامین و توسعه؛ یعنی هزینه های عملیاتی و نگهداری و ...، هزینه های مستندسازی، هزینه های آموزشی نیروی انسانی، هزینه زیرساختها، هزینه بروزآوری، هزینه های جابجایی و مانند آن. تمامی این هزینه ها مستلزم جنبه های مادی و معنوی است.

اگرچه توجه به تمامی مولفه های هزینه ای برای تصمیم گیری در زمینه اجرای یک پروژه بسیار مهم است، ولی این هزینه های اجرایی تنها یک متغیر است. هزینه عدم اجرای یک پروژه نیز متغیر دیگری است که می بایست در فرآیند تجزیه و تحلیل مورد توجه قرار گیرد. چنانچه اجرای پروژه با تاخیر مواجه شده یا مورد تصویب قرار نگیرد، چه اثراتی بر سازمان خواهد داشت؟ عدم پیشرفت پروژه چه تاثیراتی برمزیتهای رقابتی سازمان دارد؟ چگونه می تواند توانایی شرکت در دستیابی به اهداف و ماموریتها را تحت تاثیر قرار دهد؟

در حالت کلی، هر جا که پول یا منابعی صرف می شود می بایست ارزیابی ریسک انجام شود. این امر سبب می شود که اجرا یا عدم اجرای پروژه با دلایل موجه همراه بوده و مدیر تلاش خود را جهت اتخاذ تصمیم درست انجام داده است. خروجی فرآیند تحلیل ریسک دو بار مورد استفاده قرار می گیرد. بار نخست در زمان اتخاذ تصمیم است. مورد دوم در زمان ارائه نتایج تصمیم به شخص ثالث یا شریک بیرونی است و مدیر ناچار است تا فرآیند تصمیم گیری خود را به وی ارائه دهد. در مجموع باید گفت که اجرای فرآیندهای تحلیل و ارزیابی ریسک ، درک و تجسم مناسبی از کسب و کاربدست می دهد.

منابع

[1] TECHNICAL REPORT: ISO/IEC TR 13335-3:1998(E) Information technology — Guidelines for the management of IT Security -Part 3:Techniques for the management of IT Security

[2] TECHNICAL REPORT : ISO/IEC TR 13335-2: Dec 15, 1997, Information technology - Guidelines for the management of IT Security - Part 2: Managing and planning IT Security

[3] NIST Computer Security Documents :

a. Draft 800-30

b. Draft 800-50

c. Draft 800-60

d. Draft 800-61

e. Draft 800-65

[4] THE ISO 27000 SERIES :

f. ISO 27000

g. ISO 27002