شناسایی نادرست و عدم توجه به مخاطرات امنیتی علاوه بر اینکه میتواند مشکلات جدي را برای شرکتها و سازمانها در برداشته باشد، حتی ممکن است بقا و تداوم فعالیتهای کسب و کاری آنها را نیز با چالشهای جدی مواجه سازد. به همین منظور لازم است که تمامی سازمانها راهبردهایی را برای کاهش مخاطرات امنیتی خود برگزینند.
شناسایی، ارزیابی و مدیریت مخاطرات امنیت اطلاعات، یکی از گامهای اساسی در کاهش تهدیدات سایبری به سازمانها و همچنین جلوگیری از پیامدهای ناگوار حوادث امنیتی است که سازمانها را در رویارویی با مخاطرات سایبری، با آمادگی بیشتری مواجه میکند. فرایند ارزیابی مخاطره که اولین فاز از مجموعه فعالیتهای مدیریت مخاطره است کمک شایان توجهی را به سازمانها برای تصمیمگیری صحیح جهت انتخاب راه حلهای امنیتی میکند.
ارزیابی مخاطره در واقع برای پاسخ به سؤالات زیر انجام میشود:
- * اگر یک مخاطره خاص در سازمان اتفاق بیافتد چقدر آسیب در پی خواهد داشت؟
- * احتمال وقوع هر مخاطره چقدر است؟
- * کنترل هر مخاطره چقدر هزینه دارد. آیا مقرون به صرفه است یا خیر؟
نتایج ارزیابی مخاطره میتوانند به جهتگیری صحیح در انتخاب راه حلها (که همانا دفع تهدیدهای اصلی است) کمک کرده و همچنین در تدوین و اصلاح خطمشیهای امنیتی سازمان هم استفاده شوند.
مدیریت مخاطره، یک فرایند جامع است که به منظور تعیین، شناسایی، کنترل و حداقل ساختن تأثیرات و پیامدهای رویدادهای احتمالی مورد استفاده قرار میگیرد. این فرایند، به مدیران امکان میدهد میان هزینههای عملیاتی و هزینههای مالی اقدامهای حفاظتی، تعادل و توازن مناسبی برقرار کرده و از طریق حفاظت از فرایندهای کسب و کار که پشتیبان اهداف سازمان هستند، به منافع مربوطه دست یابند. فرایند مدیریت مخاطرات میتواند تعداد و شدت حوادث امنیتی به وقوع پيوسته در سازمان را به شدت کاهش دهد.
مدیریت مخاطره، دارای 5 مرحله است که عبارتند از:
- 1. برنامهریزی: در این مرحله، نحوه مدیریت خطرهای احتمالی در سازمان مشخص شده و با توسعه طرح مدیریت مخاطره، تکمیل ميشود. اين طرح، تیم مدیریت مخاطره را مشخص کرده، نقشها و مسئولیتهای افراد را تعریف و معیار ارزیابی مخاطرات شناسایی شده را مستند ميکند.
- 2. شناسایی: در اين مرحله، افراد تیم دور یکدیگر جمع شده، مخاطرههای احتمالی را شناسایی کرده و آنها را در لیست مخاطرات سازمان، ثبت ميکنند. ترتیب دادن جلسات توفان فکری گروهی، روش خوبی برای شناسایی مخاطرات است.
- 3. ارزیابی: در این مرحله، ارزیابی مخاطرههای شناسایی شده با استفاده از معیار تعریف شده در طرح مدیریت مخاطره انجام میشود. مخاطرات بر اساس احتمال وقوع و پیامدهای احتمالیشان مورد ارزیابی قرار میگیرند.
- 4. اداره کردن: مرحله چهارم در فرایند مدیریت مخاطره، اداره کردن آن است. چهار روشی که برای اداره کردن مخاطرات وجود دارد، عبارتند از:
1-4. کاهش: که به معنای ايجاد طرحهایی عملیاتی برای کاهش احتمال مخاطره و پیامدهای آن است.
2-4. اجتناب: که به معنای ايجاد تغییر در چیزی برای اجتناب کامل از مخاطره است.
3-4. انتقال: که به معنای واگذاری مخاطره به گروهی دیگر است (برای مثال بیمه گذاران).
4-4. پذیرش: اين روش بدون ايجاد طرحهای کاهشی، احتمال وجود مخاطره را ميپذیرد. اين امر ممکن است به اين دلیل باشد که هزینه طرحهای کاهشی، بیشتر از آن است که هزینههای ناشی از مخاطره احتمالی را پوشش دهد.
- 5. نظارت و گزارشدهی: مرحله پنجم شامل نظارت و گزارشدهی است که توسط آن ميتوان از کارکرد مؤثر برنامههای مربوط به اداره کردن اطمینان حاصل کرد. اين گزارش باید حاوی فهرستی از مخاطرات شناسایی شده، طرحهای اداره کردن جهت کاهش مخاطره و ماتریسی از مخاطره برای طبقهبندی آن به سه دسته بالا، متوسط و پایین باشد.
از جمله خدمات اینجانب در خصوص شناسایی، ارزیابی و مدیریت مخاطرات امنیت سایبری در سازمانها میتوان به موارد زیر اشاره کرد:
- * انتخاب متدولوژی ارزیابی و برآورد مخاطرات امنیتی در سازمانها، بر اساس استانداردها و بهترین روشهای اجرایی
- * تدوین دستورالعملهای کاری بر اساس مدل ارزیابی مخاطره مورد نظر
- * تشکیل گروههای سازمانی و تیمهای کاری جهت شناسایی و ارزیابی مخاطرات امنیتی
- * شناسایی، ارزیابی، تحلیل و مدیریت مخاطرات امنیتی در سازمانها و شرکتها
- * آموزش فعالیتهای مربوطه به کاربران، کارشناسان و مدیران
لازم به ذکر است که رویکرد در نظر گرفته شده توسط اینجانب برای ارزیابی و مدیریت مخاطرات امنیتی در سازمانها و شرکتهای متقاضی، رویکردی جامع، یکپارچه و مستقل است که بر اساس بهترین درس آموزهها و استانداردهای جهانی، میتواند يك روش علمي و مورد تأیيد را جهت تصميمگيري در خصوص به کارگیری کنترلهای امنیتی برای سازمانها فراهم کند. اين رویکرد به مديران و کارشناسان تیم ارزیابی مخاطرات امنیتی سازمانها كمك ميكند كه با اولويتبندي برنامههاي كنترل خطرات و حوادث و همچنین تعيين فوريت و برنامهريزيهاي كنترلي به منظور تسريع در رسيدن به اهداف مشخص، به صورت كاملاً شفاف تصمیم گرفته و گام بردارند.