ارزیابی و مدیریت مخاطرات امنیتی

شناسایی نادرست و عدم توجه به مخاطرات امنیتی علاوه بر اینکه می‌تواند مشکلات جدي را برای شرکت‌ها و سازمان‌ها در برداشته باشد، حتی ممکن است بقا و تداوم فعالیت‌های کسب و کاری آنها را نیز با چالش‌های جدی مواجه سازد. به همین منظور لازم است که تمامی سازمان‌ها راهبردهایی را برای کاهش مخاطرات امنیتی خود برگزینند.
شناسایی، ارزیابی و مدیریت مخاطرات امنیت اطلاعات، یکی از گام‌های اساسی در کاهش تهدیدات سایبری به سازمان‌ها و همچنین جلوگیری از پیامدهای ناگوار حوادث امنیتی است که سازمان‌ها را در رویارویی با مخاطرات سایبری، با آمادگی بیشتری مواجه می‌کند. فرایند ارزیابی مخاطره که اولین فاز از مجموعه فعالیت‌های مدیریت مخاطره است کمک شایان توجهی را به سازمان‌ها برای تصمیم‌گیری صحیح جهت انتخاب راه حل‌های امنیتی می‌کند.
ارزیابی مخاطره در واقع برای پاسخ به سؤالات زیر انجام می‌شود:

 • * اگر یک مخاطره خاص در سازمان اتفاق بیافتد چقدر آسیب در پی خواهد داشت؟
 • * احتمال وقوع هر مخاطره چقدر است؟
 • * کنترل هر مخاطره چقدر هزینه دارد. آیا مقرون به صرفه است یا خیر؟

نتایج ارزیابی مخاطره می‌توانند به جهت‌گیری صحیح در انتخاب راه حل‌ها (که همانا دفع تهدیدهای اصلی است) کمک کرده و همچنین در تدوین و اصلاح خط‌مشی‌های امنیتی سازمان هم استفاده شوند.
مدیریت مخاطره، یک فرایند جامع است که به منظور تعیین، شناسایی، کنترل و حداقل ساختن تأثیرات و پیامدهای رویدادهای احتمالی مورد استفاده قرار می‌گیرد. این فرایند، به مدیران امکان می‌دهد میان هزینه‌های عملیاتی و هزینه‌های مالی اقدام‌های حفاظتی، تعادل و توازن مناسبی برقرار کرده و از طریق حفاظت از فرایندهای کسب و کار که پشتیبان اهداف سازمان هستند، به منافع مربوطه دست یابند. فرایند مدیریت مخاطرات می‌تواند تعداد و شدت حوادث امنیتی به وقوع پيوسته در سازمان را به شدت کاهش دهد.
مدیریت مخاطره، دارای 5 مرحله است که عبارتند از:

 • 1. برنامه‌ریزی: در این مرحله‌، نحوه مدیریت خطرهای احتمالی در سازمان مشخص شده و با توسعه طرح مدیریت مخاطره، تکمیل مي‌شود.‌ اين طرح، تیم مدیریت مخاطره را مشخص کرده، نقش‌ها و مسئولیت‌های افراد را تعریف و معیار ارزیابی مخاطرات شناسایی شده را مستند مي‌کند.
 • 2. شناسایی: در ‌اين مرحله، افراد تیم دور یکدیگر جمع شده‌، مخاطره‌های احتمالی را شناسایی کرده و آنها را در لیست ‌مخاطرات سازمان، ثبت مي‌کنند. ترتیب دادن جلسات توفان فکری گروهی، روش خوبی برای شناسایی مخاطرات است.‌
 • 3. ارزیابی: در این مرحله، ارزیابی مخاطره‌های شناسایی شده با استفاده از معیار تعریف شده در طرح مدیریت مخاطره انجام می‌شود. مخاطرات بر اساس احتمال وقوع و پیامدهای احتمالی‌شان مورد ارزیابی قرار می‌گیرند.
 • 4. اداره کردن: مرحله چهارم در فرایند مدیریت مخاطره، اداره کردن آن است. چهار روشی که برای اداره کردن مخاطرات وجود دارد، عبارتند از:

1-4. کاهش: که به معنای‌ ايجاد طرح‌هایی عملیاتی برای کاهش احتمال مخاطره و پیامدهای آن است.
2-4. اجتناب: که به معنای ‌ايجاد تغییر در چیزی برای اجتناب کامل از مخاطره است.
3-4. انتقال: که به معنای واگذاری مخاطره به گروهی دیگر است (برای مثال بیمه گذاران).
4-4. پذیرش: ‌اين روش بدون ‌ايجاد طرح‌های کاهشی، احتمال وجود مخاطره را مي‌پذیرد. ‌اين امر ممکن است به ‌اين دلیل باشد که هزینه طرح‌های کاهشی، بیشتر از آن است که هزینه‌های ناشی از مخاطره احتمالی را پوشش دهد.

 • 5. نظارت و گزارش‌دهی: مرحله پنجم شامل نظارت و گزارش‌دهی است که توسط آن مي‌توان از کارکرد مؤثر برنامه‌های مربوط به اداره کردن اطمینان حاصل کرد. ‌اين گزارش باید حاوی فهرستی از مخاطرات شناسایی شده، طرح‌های اداره کردن جهت کاهش مخاطره و ماتریسی از مخاطره برای طبقه‌بندی آن به سه دسته بالا، متوسط و پایین باشد.

از جمله خدمات اینجانب در خصوص شناسایی، ارزیابی و مدیریت مخاطرات امنیت سایبری در سازمان‌ها می‌توان به موارد زیر اشاره کرد:

 • * انتخاب متدولوژی ارزیابی و برآورد مخاطرات امنیتی در سازمان‌ها، بر اساس استانداردها و بهترین روش‌های اجرایی
 • * تدوین دستورالعمل‌های کاری بر اساس مدل ارزیابی مخاطره مورد نظر
 • * تشکیل گروه‌های سازمانی و تیم‌های کاری جهت شناسایی و ارزیابی مخاطرات امنیتی
 • * شناسایی، ارزیابی، تحلیل و مدیریت مخاطرات امنیتی در سازمان‌ها و شرکت‌ها
 • * آموزش فعالیت‌های مربوطه به کاربران، کارشناسان و مدیران

لازم به ذکر است که رویکرد در نظر گرفته شده توسط اینجانب برای ارزیابی و مدیریت مخاطرات امنیتی در سازمان‌ها و شرکت‌های متقاضی، رویکردی جامع، یکپارچه و مستقل است که بر اساس بهترین درس آموزه‌ها و استانداردهای جهانی، می‌تواند يك روش علمي و مورد تأیيد را جهت تصميم‌گيري در خصوص به کارگیری کنترل‌های امنیتی برای سازمان‌ها فراهم کند. اين رویکرد به مديران و کارشناسان تیم ارزیابی مخاطرات امنیتی سازمان‌ها كمك مي‌كند كه با اولويت‌بندي برنامه‌هاي كنترل خطرات و حوادث و همچنین تعيين فوريت و برنامه‌ريزي‌هاي كنترلي به منظور تسريع در رسيدن به اهداف مشخص، به صورت كاملاً شفاف تصمیم گرفته و گام بردارند.

Style Switcher

Predefined Colors

Menu Style

Background Image

Reset