پریا باقری کارشناس پیاده سازی و استقرار گروه فناوری پرند است. اولین یادداشت او با عنوان «پنج گام مهم برای مدیریت ریسک امنیت اطلاعات و مقابله با آن» در رسانه اینترنتی راه پرداخت منتشر شده است.
در فرآیند مدیریت ریسک امنیت اطلاعات، باید دقیقاً مشخص کنیم که میخواهیم چه راهبردی را در مواجهه با ریسکهای سازمان در پیش بگیریم. اما پیششرط ورود به این بحث، داشتن درک درستی از مفهوم ریسک و آگاهی از اهمیت شناخت و مدیریت آن است.
اینکه اساساً «ریسک» چیست و «مدیریت ریسک» بهطور عام، چه کمکی به بهبود مستمر هر سازمانی میکند، موضوع بحث دیگری است که میتوانید آن را در یادداشتی با عنوان «با مدیریت ریسک، سکان هر رخدادی در دستان شماست» پی بگیرید.
در این یادداشت، با این پیشفرض که خواننده درک درستی از مفاهیم موردنظر دارد، به بررسی فرآیندهای مدیریت ریسک میپردازیم. نقطه شروع فرآیند مدیریت ریسک در شناسایی درست ریسکهاست. این همان کاری است که در گام اول فرآیند مدیریت ریسک امنیت اطلاعات انجام میدهیم.
در گام اول، یعنی «ارزیابی ریسک»، با «تحلیل ریسک» و «سنجش ریسک» میتوانیم ریسکها را بهدرستی شناسایی و مشخص کنیم که کدامیک از آنها برای سازمان پذیرفته و کدامیک پذیرفته نیستند.
پرسش اینجاست که با ریسکهایی که برای سازمان پذیرفته نیستند چه باید کرد؟ آیا سازمان باید برای همه این ریسکها از طرحهای کاهش ریسک استفاده کند؟ گزینههای پیش رو چیست؟ پاسخ این پرسش را در گامهای بعدی فرآیند مدیریت ریسک امنیت اطلاعات خواهید یافت.
چنانکه در شکل زیر مشاهده میکنید، فرآیند مدیریت ریسک امنیت اطلاعات از پنج گام تشکیل شده که دو گام اصلی آن ارزیابی ریسک و مقابله با ریسک هستند. اما، سهگام بعدی یعنی ارتباط، پایش و بازنگری ریسک نیز از اجزای جداییناپذیر این فرآیند بهشمار میآیند.
نکته حائز اهمیت در گامهای فرآیند مدیریت ریسک امنیت اطلاعات، که در تصویر هم مشاهده میکنید، خاصیت چرخهای بودن آنها است. این نشاندهنده یکمرحلهای نبودن این فرآیند است. لذا، بهبود مستمر از ویژگیهای آن است. برای روشنتر شدن مطلب در ادامه، شرح مختصری از هر گام ارائه میشود.
گام اول: ارزیابی ریسک (Risk Assessment)
کلیه فعالیتهای مربوط به فرآیند مدیریت ریسک امنیت اطلاعات از این گام آغاز میشوند که خود شامل دو مرحله است:
۱- تحلیل ریسک (Risk Analysis)
عنوان «تحلیل ریسک» را میتوان در یک عبارت خلاصه کرد: استفاده نظاممند از اطلاعات برای شناسایی و تخمین ریسک (Risk Estimation). در واقع، تمام فعالیتهای مربوط به شناسایی، دستهبندی و ارزشگذاری داراییهای اطلاعاتی و نیز شناسایی سناریوهای ریسک، که معمولاً حاصل نگاشت آسیبپذیریها و تهدیدات هستند، را میتوان در این مرحله گنجاند.
اما بهجز شناسایی موارد فوق، باید با توجه به روششناسی مورد استفاده در فرآیند مدیریت ریسک، مقادیر مناسبی را به عوامل مختلف اختصاص داد تا بتوان «احتمال وقوع ریسک» و «اثرات و پیامدهای ریسک» را محاسبه کرد؛ به قولی، با استفاده از موارد فوق، باید بتوان ریسک را تخمین زد.
۲- سنجش ریسک (Risk Evaluation)
سنجش ریسک فرآیندی است که کمک میکند میزان اهمیت ریسک مذکور را برای سازمان تعیین کنیم. اما چگونه؟ از مقایسه ریسک تخمین زدهشده، خروجی مرحله قبل، با معیارهای ریسک سازمان. در واقع، برای اینکه متوجه شویم سازمان چگونه به نتایج حاصل از محاسبات و تحلیل ریسک مینگرد، باید ابتدا مشخص کنیم که چه معیار یا معیارهایی برای پذیرفتن یا نپذیرفتن ریسک وجود دارند.
سازمان میتواند این معیارها را بر اساس روششناسی ارزیابی ریسک، بهصورت عددی، خطی یا ماتریسی تعیین کند؛ این کار با استفاده از ورودیهایی چون الزامات حقوقی و قانونی، تصمیمات مدیریتی، منابع در دسترس، نیازمندیها و انتظارات ذینفعان در حوزه امنیت اطلاعات و غیره، انجام میشود. بر این اساس، میتوان مشخص کرد که از دیدگاه سازمان، کدام ریسکها پذیرفتنیاند و کدامیک نیستند.
گام دوم: مقابله با ریسک (Risk Treatment)
در این گام، سازمان باید تعیین کند که چه راهبرد و برنامهای برای مواجهه یا مقابله با ریسکهای پذیرفتهنشده دارد. مهمترین خروجی این بخش، طرح مقابله با ریسک (RTP) است. در این طرح، سازمان ضمن اولویتبندی ریسکها، هر یک از اقدامات مدنظر خود را برای مقابله با ریسکها تشریح میکند.
در واقع، سازمان مجموعهای از اقدامات و پروژههای تقابلی را تعریف میکند و برای هریک از آنها منابع مورد نیاز، زمانبندی، مسئول پیگیری و غیره را، همچون هر پروژه استاندارد دیگری، معین میکند.
گام سوم: ارتباط ریسک (Risk Communication)
در همه مراحل فرآیند مدیریت ریسک امنیت اطلاعات، همواره باید ارتباطات را، در حکم عاملی مهم، درنظر داشت. یعنی، در هریک از مراحل این فرآیند، باید ارتباط موثری میان دستاندرکاران ریسک، مشاوران، مدیران ارشد، مالکان دارایی، مالکان ریسک و یا سایر ذینفعان برقرار شود.
برای مثال، در گام ارزیابی ریسک باید همه عوامل نامبرده که نقش پررنگی در تصمیمگیریهای سازمان دارند، مشارکت داشته باشند. از طرفی، مدیران ارشد در تصمیمگیری در مورد بازه و معیار ریسک پذیرفتهشده و همچنین، تایید و اختصاص منابع مکفی به طرحهای مقابله با ریسک، نقشی محوری دارند. این امر فقط از راه ارتباط و درگیری مناسب میان لایههای بالایی سازمان با لایه کارشناسی و عملیاتی در حوزه ریسک، میسر است.
گام چهارم: پایش و کنترل ریسک (Risk Control & Monitoring)
در این گام، بیشترین تمرکز بر روی کنترل و پیگیری طرحهای مقابله با ریسک است. پس در نگاه اول، باید مطمئن شد که اقدامات درنظر گرفتهشده با زمانبندی تعیینشده همخوانی دارند. نیز، باید میزان کاهش ریسک را بر مبنای انتظارات اولیه پایش کرد.
بدینترتیب، باید وضعیت پروژههای RTP را مکرراً از نظر زمانبندی، میزان تاثیر، کیفیت و بهینگی بررسی و پایش کرد و در صورت نیاز به اصلاح موارد، اقدامات اصلاحی لازم را به عمل آورد. این اقدامات میتوانند شامل تغییراتی در نحوه اعمال طرحها، بازبینی سناریوهای ریسک، اختصاص منابع جدید و مواردی از این دست باشند.
گام پنجم: بازنگری ریسک (Risk Review)
چنانکه پیشتر اشاره شد، نگاه پروژهای به مدیریت ریسک، در حکم فرآیندی که یک نقطه شروع و یک نقطه پایان دارد، درست نیست؛ خاصیت چرخهای این فرآیند نشاندهنده یکمرحلهای نبودن آن و بهبود مستمر از ویژگیهای آن است.
به بیان دیگر، اقدامات لازم در فرآیند مدیریت ریسک باید در بازههای زمانی معینی تکرار شوند و از نتایج و تجاربی که در هر مرحله بهدست میآید، در نقش ورودی و بازخورد، در مرحله جدید استفاده شود. نیز، باید بازههای مورد نظر برای بازنگری ریسک، با توجه به شرایط سازمان درنظر گرفته شوند و حداکثر یکساله باشند.
برنامهریزی برای مقابله با ریسک امنیت اطلاعات
برنامهریزی برای مدیریت ریسک امنیت اطلاعات شامل فرآیند توسعه برنامهها برای کم کردن تهدیدها و مقابله با ریسکهایی است که در مرحله ارزیابی ریسک، اولویت بالاتری از سایر ریسکها داشتهاند. در این مرحله از برنامهریزی مدیریت ریسک، توجه حداکثری باید از آن ریسکهایی باشد که مهمتر و تاثیرگذارترند.
برای مقابله با ریسک پروژه معمولاً از روشهای زیر استفاده میشود:
- پیشگیری: برنامهریزی برای اقدامات پیشگیرانه لازم، برای کم کردن احتمال و پیشگیری از وقوع ریسکها.
- کم کردن اثرات مخرب ریسک: چنانچه اقدامات پیشگیرانه اثربخش نباشند، باید به منظور مقابله با اثرات منفی وقوع ریسک و همچنین کنترل تاثیرات آن، برای اجرای کارهای اصلاحی برنامهریزی شود. این برنامه شامل استفاده از طرحهای جایگزین نیز است.
- جذب تاثیرات منفی: برای ریسکهایی که اولویت کمتری دارند و نیز، در مواردی که اقدامات اصلاحی تاثیرات مورد نظر را نداشته باشند، جذب تاثیرات منفی و مقابله با آنها باید در برنامه پیشبینی شده باشد.
برنامه و طرح مدیریت ریسک باید به شکلی تنظیم شود که اولویت و فوریت ریسکها در آن درنظر گرفته شده باشد. همچنین، برای تخصیص منابع و اجرای اقدامات لازم برای مواجهه با ریسکها، باید به بودجه، زمانبندی و برنامهریزیهای دیگر پروژه برای مدیریت ریسک امنیت اطلاعات توجه شود.
اجرای طرح مقابله با ریسک امنیت اطلاعات
طرح مقابله با ریسک باید بسیار دقیق و برنامهریزیشده باشد و عوامل مهمی که در ادامه برمیشماریم، در اجرای آن، مدنظر قرار گیرند.
۱- متناسب بودن با ریسکها
منطقی نیست که منابع و زمان زیادی را به مقابله با ریسکهایی اختصاص داد که در اولویت پایینتری هستند و یا درجه احتمال وقوعشان کم است. چون این موضوع سبب غفلت از ریسکهای مهمتر میشود و نداشتن توجه کافی به ریسکهای مهم و تاثیرگذار میتواند بسیار خطرآفرین باشد. درنتیجه، برنامهریزی و اختصاص منابع به ریسکها باید با اولویتبندی ریسکهای پروژه و اندازه و اهمیت پروژه متناسب باشد.
۲- هزینهمحور بودن
زیادهازحد هزینه کردن برای مقابله با ریسکها، میتواند برای کل پروژه چالشزا باشد. پس در طرح مقابله با ریسک پروژه، باید به مسئله مدیریت هزینه توجهی ویژه کرد.
۳- واقعبینانه بودن
توسعه دادن طرحهای نظری و غیر اجرایی نهتنها سبب اتلاف وقت و منابع میشود، بلکه ممکن است طرح را از مسیر اصلی خود منحرف کند و مشکلات بیشتری را، حتی در مقایسه با نداشتن برنامهریزی، ایجاد کند. در برنامهریزی برای مدیریت ریسک امنیت اطلاعات، لازمه دستیابی به طرحی واقعبینانه، داشتن توجهی ویژه به محدودیتها و پیشفرضها است.
۳- زمانبندی
واضح است که در هر طرحی باید با زمانبندی مشخصی داشت و در اجرای آن باید به زمانبندی موردنظر متعهد ماند.
۴- بانی و مسئول برنامه
در پروژههای بزرگ، طرح مقابله با ریسک امنیت اطلاعات باید دارای بانی و مسئول مشخصی باشد تا بتواند روند طرح را پیگیری و از اجرای درست آن اطمینان حاصل کند. همچنین، ریسکهای مهم باید مسئول معینی داشته باشند تا مسئولیت کلی مدیریت ریسک، تشخیص ریسک پروژه و مقابله با آن، را برعهده بگیرد.
ورودیها و خروجیهای طرح مقابله با ریسک امنیت اطلاعات
- ورودیهای طرح مقابله با ریسکهای پروژه عبارتاند از:
- برنامه کلی مدیریت ریسک؛ بهویژه تعیین کسانی که قرار است مسئولیت توسعه طرح را برعهده داشته باشند؛
- ریسکهایی که احتیاج به برنامه مقابله با ریسک دارند؛ چنانکه پیشتر گفته شد، فقط باید برای ریسکهایی برنامهریزی کرد که در اولویت بالاتری هستند؛
- وابستگی ریسکها؛ منظور همان شاخصههای ریسکها هستند؛ شاخصههایی مانند ریشه و منبع ریسک، علائم و نشانههای وقوع ریسک، تاثیرات و میزان تهدید، احتمال وقوع، زمان احتمال وقوع و حوزه تاثیر؛
- تعیین اولویت و فوریت ریسک؛ به منظور تعیین میزان کاری که باید برای هر ریسک انجام شود و منابع مورد نیاز آن؛
- محدودیتها؛ تعیین محدودیتها در آمادهسازی طرح مقابله با ریسک و اثرات این محدودیتها بر سایر موارد بسیار مهم است. مهمترین محدودیتها در طرح مقابله با ریسک پروژه عبارتاند از:
- بودجه؛
- منابع؛
- زمان (محدودیت زمانی در اجرای طرح مقابله با ریسک)؛
- تغییرات (تغییراتی که بنا به علل گوناگون امکانپذیر نیستند).
خروجیهای طرح مقابله با ریسکهای پروژه عبارتاند از:
در این خروجی، باید برای تمام ریسکهایی که اولویت بالایی دارند، طرح مقابله تهیه شود. ضمناً باید برای هر ریسک، موارد زیر مشخص شده باشند:
- حوزههای پروژه که ریسک بر روی آنها تاثیر میگذارد؛
- مالک ریسک که میتواند شخص، تیم یا گروه باشد؛
- نشانه و علائم وقوع ریسک؛
- استراتژی مقابله با ریسک (برای مثال، جلوگیری، استفاده از برنامه جایگزین، کم کردن تاثیرات مخرب و …)؛
- طرح مقابله، برای طرحهایی که میتوان در آنها از روشهای مختلف استفاده کرد؛
- بودجه و منابع تخصیص دادهشده به ریسک؛
- زمانبندی برای اجرای برنامه مقابله؛
- برنامههای اضطراری و جایگزین، بهویژه برای ریسکهای با درجه اهمیت بالا.
برای مطالعه سایر یادداشت های گروه فناوری پرند در رسانه اینترنتی راه پرداخت، اینجا کلیک کنید.
