ارزیابی و مدیریت مخاطرات سایبری

آشنایی با روش های شناسایی، ارزیابی و مدیریت مخاطرات امنیتی

امروزه با گسترش شدید و قریب الوقوع تهدیدات پیشرفته امنیتی بر ضد سازمان‌ها، ارزیابی و مدیریت مخاطرات امنیت اطلاعات یکی از دغدغه‌های اصلی در عصر فناوری اطلاعات محسوب می‌شود. با رشد یکباره این تهدیدات، امروز بیش از هر زمان دیگری، بقا و دوام سازمان‌ها به حفاظت مناسب از دارایی‌ها و برطرف­ سازی آسیب‌پذیری‌ها بستگی دارد. از اینرو، امنیت دارایی‌های اطلاعاتی و حفظ سرمایه­ های سازمانی، برای تمام سازمان‌ها امری حیاتی بوده و مستلزم یک مدیریت اثربخش است.

در این کارگاه آموزشی، با نگاهی متفاوت به ارزیابی و مدیریت مخاطرات امنیت اطلاعات و با تمرکز اصلی بر فعالیت‌های عملی، فراگیران در یک تجربه مشترک که آمیخته با فعالیت‌های گروهی است ضمن بررسی سناریوهای مختلف و پیچیده مربوط به مخاطرات، با روش‌های شناسایی، طبقه­ بندی و ارزش­ گذاری دارایی­ ها آشنا شده و اصول ارزیابی و مدیریت مخاطرات سایبری را بر اساس استانداردها و بهترین تجریه­ های جهانی فرا می‌گیرند.

اهداف دوره:

  1. آشنایی با روش‌های شناسایی و مدیریت دارایی‌ها
  2. آشنایی با روش‌های ارزیابی مخاطرات امنیت اطلاعات
  3. آشنایی با آسیب‌پذیری‌ها و تهدیدات امنیتی دارایی‌ها
  4. آشنایی با روش‌های شناسایی و تعیین احتمال وقوع تهدیدات
  5. آشنایی با روش‌های تعیین میزان مخاطره دارایی‌ها
  6. آشنایی با روش‌های مدیریت مخاطره
  7. آشنایی با روش‌های اتخاذ کنترل‌های امنیتی

مخاطبان دوره:

  • مدیران، راهبران و کارشناسان فناوری اطلاعات، امنیت و حراست شرکت­ ها و سازمان­ ها
  • مشاوران امنیت اطلاعات
  • سایر علاقمندان به مباحث امنیت اطلاعات و مدیریت ریسک
  • مدت زمان دوره:

    16 ساعت (2 روز)

    محتویات دوره:

    1. آشنایی با مفاهیم اصلی امنیت اطلاعات
    2. بررسی متدولوژی مدیریت دارایی‌ها
      • نحوه شناسایی دارایی‌ها
      • چگونگی شناسایی وضعیت دارایی‌های اطلاعاتی
      • نحوه شناسایی فرایندها و حوزه‌های کسب و کار
      • نحوه شناسایی سرویس‌های ارایه شده در هر یک از حوزه‌های کسب و کار
      • نحوه طبقه‌بندی دارایی‌های شناسایی شده
      • چگونگی تعیین مسئول (مالک) برای هر دارایی
      • سازوکارهای تعیین سطح دسترسی افراد به دارایی‌ها بر اساس ماتریس‌های کنترل دسترسی
    3. بررسی متدلوژی ارزیابی مخاطرات امنیتی
      • معرفی استانداردهای مطرح در حوزه ارزیابی مخاطرات امنیت اطلاعات
      • نحوه انتخاب و تعیین متدلوژی مناسب ارزیابی مخاطرات امنیت اطلاعات
      • تبیین شیوه ارزش‌دهی به دارایی‌ها
      • تبیین شیوه ارزش گذاری دارایی های با روابط متقابل
      • توصیف ارزش دهی به هر یک از دارایی ها بر مبنای پارامترهای محرمانگی، صحت و دسترس پذیری
      • معرفی آسیب‌پذیری ها و نحوه بررسی و اولویت بندی آنها
      • تبیین شیوه آنالیز ضربه (Impact Analysis) و پیامدهای تهدیدات
      • تبیین شیوه دستیابی به احتمال وقوع تهدیدات
      • تبیین شیوه ارزیابی و تعیین مخاطره
      • تبیین اولویت بندی مخاطره و استراتژی های مدیریت مخاطرات
      • بررسی عوامل مهم در ارزش‌گذاری دارایی‌ها
      • نحوه محاسبه ارزش کل دارایی‌ها
    4. شناسایی و بررسی آسیب‌پذیری‌های دارایی‌ها
    5. شناسایی و بررسی تهدیدات دارایی‌ها
      • بررسی انواع تهدیدهای متعارف (مصادیق محیطی و انسانی)
      • نحوه تعیین لیست تهدیدات ذاتی
      • نحوه تعیین لیست تهدیدات واقعی
      • نحوه تهیه جدول تهدیدات به تفکیک دارایی‌ها
      • نحوه تهیه جدول تهدیدات به تفکیک رخدادها
      • تعیین احتمال وقوع تهدیدها بر اساس متدولوژی ارزیابی مخاطره
      • بررسی عوامل مورد توجه در تعیین احتمال وقوع تهدیدات
    6. شناسایی و تحلیل پیامد وقوع تهدیدها
    7. محاسبه و تعیین میزان مخاطره هر تهدید، برای هر یک از دارایی‌ها
    8. ‌راهبردهای مدیریت مخاطرات
      • آشنایی با گزینه‌های مناسب جهت برخورد با مخاطرات شناسایی شده
      • چگونگی تعیین استراتژی مناسب جهت مدیریت مخاطرات
      • بررسی انواع گزینه‌های برخورد با مخاطرات
      • عوامل مؤثر در انتخاب گزینه‌های برخورد با مخاطرات
      • نقش هزینه‌های پیشگیری از مخاطره، در تعیین استراتژی مناسب
    9. تعیین معیار و سطح قابل قبول مخاطرات
    10. تعیین شیوه مناسب برخورد با مخاطرات باقی مانده
    11. معرفی بهترین تجربه‌های جهانی در حوزه مدیریت مخاطرات سایبری
    12. اتخاذ کنترل‌های امنیتی
    13. معرفی نرم افزارها و ابزارهای مدیریت مخاطرات