آنالیز ریسک چیست ؟

خاصیت چرخه‌ای بودن فرآیند مدیریت ریسک امنیت اطلاعات را در تصویر مشاهده می‌کنید

فرایند مدیریت ریسک چیست؟

ريسك عبارت است از انحراف در پيشامدهاي ممكن آينده. پس اگر تنها يك پيشامد در آينده ممكن باشد، در آن آينده ريسك صفر خواهد بود. تعريف استاندارد استراليايي، ريسک فرصت اتفاق افتادنِ چيزي که روي اهداف تاثير خواهد گذاشت.

در استاندارد مباني و واژگان سيستم‌هاي مديريت کيفيت ISO 9000:2015 ريسک را ”اثر عدم قطعيت بر اهداف” تعريف کرده است. لازم به توضيح است يک اثر، يک انحراف است از آنچه مورد انتظار بوده و مي تواند مثبت، منفي يا هردو باشد و مي تواند به فرصت ها و تهديدها بپردازد، آنها را ايجاد يا منجر به آنها شود.
مديريت ريسک: فعاليت هاي هماهنگ شده به منظور هدايت و کنترل يک سازمان با توجه به ريسک هاي آن سازمان را مديريت ريسک مي خوانيم .

برخي از مديران فرانگر در سازمان خود اقدام به برپائي مديريت ريسک سازماني(ERM) مي نمايند. آنها با ايجاد يک فرآيند ساختاريافته، سازمان را قادر مي سازد که در تمامي سطوح خود بصورت يکپارچه ريسک ها را شناسايي، ارزيابي، برنامه ريزي و کنترل ( مديريت ) نمايد. حتي بنا به شرايط مجبور مي شوند برخي از ريسک ها را بپذيرند.( Acceptable Risk )
مديريت ريسک امري تکرار شونده است و به سازمان ها در تعيين راهبرد دستيابي به اهداف و اتخاذ تصميمات آگاهانه کمک مي کند.
مديريت ريسک بخشي از حاکميت و رهبري سازمان است و اساس مديريت سازمان در همه سطوح مي باشد.

مديريت ريسک به زبان ساده:

بشر از اولين روزهاي زندگي خويش بر روي اين کره خاکي همواره با دو مفهوم " خوش شانسي " و " بدشانسي " مواجه بوده است. زمانيکه روال زندگي فرد بطور مطلوب و خوشايند پيش ميرفته ، تعبير خوش شانسي را براي آن بکار برده شده و زمانيکه شرايط زندگي نامطلوب و ناخوشايند بوده آنرا تحت عنوان بدشانسي تلقي کرده اند.با پيشرفت زمان و کسب تجربه و دانش ، انسانها موفق به شناخت پديده هاي پيرامون خويش شدند و مهارت غلبه بر وقايع ناخوشايند يا جذب پديدهاي مطلوب را پيدا نمودند. همواره بين دو مفهوم و باور در طول تاريخ بشر بحث و جدل وجود داشته و دارد.
هرگاه انسانها از شناخت علل و عوامل پديد آورنده وقايع نامطلوب يا ناخوشايند همچون حوادث طبيعي و همچنين وقايع مطلوب همچون از دست رفتن فرصت هاي مالي ، عاجز بوده براي توجيه خويش و ديگران از واژه " تقدير" استفاده نموده ، اما هرگاه انسان توانسته با کمک علم و تجربه و خرد فردي و جمعي از وقوع پيامدهاي منفي و مصيب بار و از دست رفتن فرصت هاي مطلوب در جوامع بشري و زندگي شخصي افراد بکاهد ، آنگاه واژه " تدبير " بهترين توصيف براي چنين شرايطي بوده و مي باشد .

معرفي يک استاندارد جهاني:

باتوجه به اهميت بالاي مديريت ريسک و مديريت ريسک سازماني، سازمان جهاني استانداردISO تصميم گرفت تا صرف نظر از موضوع و کاربرد، يک استاندارد براي مديريت همه ريسک ها تدوين نمايد.

بنابراين استاندارد ISO 31000:2018 توسط کميته فني TC 262 سازمان جهاني استاندارد ISO مورد بازنگري و تدوين قرار گرفت.
اين استاندارد سطح وسيعي از فعاليت هاي و فرآيندهاي يک سازمان اعم از فعاليت هاي استراتژيک وتصميم گيري، بهبود درفرآيندها، تعامل با ذينفعان، عملکردها، پروژه ها، عمليات، فرهنگ سازماني، مالي وخدمات داراي کاربرد مي باشد.
از اين استاندارد مي توان براي مديريت هر نوع ريسکي با انواع پيامدها اعم از مثبت ومنفي و با هدف ايجاد ارزش يا حفظ ارزش ها استفاده نمود.

ساختار استاندارد ISO 31000:2018 در تصوير زير نشان داده شده است:

انواع آنالیز ریسک چیست ؟ ريسک ( تقسيم بندي ريسک ها ):

ريسك مستقيم: نوعي از ریسک است که با به شکل ملموس يا ناملموس مواجه می شویم و دقیقاً مختص کسب وکار ما و اهداف مربوط به آن است. برای مدیریت موثر ریسک باید برای سناریوهای داخلی و خارجی که می توانند مستقیماً روی کسب وکارمان اثر بگذارند، آماده باشيم. مانند ورشکستگي.

ريسك غيرمستقيم: نوعي از ریسک است که اغلب مختص کسب و کار ما نيست ولي ممکن است به طريقي ما را از اثرات آنالیز ریسک چیست ؟ خود بي بهره نگذارد. مانند : ورشکستگي براي تأمین کنندگان ما، مشتریان ما و .

ريسك واقعي: زماني است كه احتمال ضرر وجود دارد ولي احتمال سود وجود ندارد. ريسك واقعي هميشه ناخوشايند و توام با استرس است. مثل احتمال جريمه شدن در حين رانندگي.

ريسك سوداگرانه يا بُرد و باخت: در ريسك سوداگرانه هم احتمال بُرد و هم احتمال باخت وجود دارد. ريسك سوداگرانه بالقوه داراي جذابيت است. مثل راه اندازي يک کارگاه توليدي يا سرمايه گذاري در بورس.

فرآيند مديريت و کنترل ( قبول يا برخورد يا پاسخ به ) ريسک چهار فاز عمده دارد :

فاز اول: شناسائي ريسک ها (تهديدات و فرصتها)
فاز دوم: آناليز، ارزيابي ( ارزشيابي ) و الويت بندي ريسكها
فاز سوم: برخورد با ريسك ها (قبول ريسک يا پاسخ به ريسک يا کنترل ريسک )
فاز چهارم: پايش و بازنگري نتايج برخورد.

هريک از مراحل فوق الذکر داراي متدهاي شناخته شده و اجرا شده اي هستند که به اثربخشي مديريت ريسک در سازمان کمک شاياني مي نمايند.
لازم به ذکر است قالب هاي اجرائي مراحل و فازهاي چهارگانه مديريت ريسک بسته به توانمندي ارکان مديريتي يک سازمان ممکن است متفاوت و حتي کاملا نوين و تدوين شده توسط ارکان آن سازمان باشد.

ارزیابی ریسک

ارزیابی ریسک یک روش منطقی برای تعیین اندازه کمی و کیفی خطرات و بررسی پیامدهای بالقوه ناشی از حوادث احتمالی، بر روی سرمایه‌های بیمه شده، افراد و محیط است، این شرکت با بررسی وضعیت فرآیندها، چیدمان سرمایه‌ها، تراکم و تشخیص خطرات موجود بالقوه، و بررسی میزان کارآمدی روش‌های کنترلی و ایمنی و اقدامات بعد از تحقق خطرات در واحدها، داده‌های با ارزشی را در زمینه کاهش ریسک، بهسازی‌ها، و اطلاعات لازم جهت تصمیم گیری‌های بیمه گران در نوع صدور بیمه نامه و شرایط آن به کارفرمایان خود ارائه می‌نماید.

این شرکت از مطالعات HAZOP و HSE و تکنیک‌های مدلهای انفجاری و حریق و غیره با استفاده از نرم افزارهای فوق پیشرفته مهندسی در اندازه گیری موارد مورد نیاز استفاده می‌نماید. و به بیمه گران میزان EML و PML و تفکیک سرمایه و … را ارائه می‌نماید.

ارزیابی ریسک چیست؟

انواع تکنیک­ های تحلیل و ارزیابی

مدیریت ریسک پروژه طبق استاندارد PMBOK، مدیریت ریسک را به شش مرحله تقسیم می کند:

• برنامه ریزی مدیریت ریسک
• شناسایی ریسک
• تجزیه و تحلیل کیفی ریسک
• تجزیه و تحلیل کمی ریسک
• برنامه ریزی واکنش به ریسک
• پایش ریسک

به طور کلی منظور از آنالیز یا تجزیه و تحلیل ریسک، تجزیه و تحلیل کیفی ریسک و تجزیه و تحلیل کمی ریسک است. انتخاب تکنیک مناسب ارزیابی ریسک امر مهمی در مدیریت ریسک است.

فرایند مدیریت ریسک چیست؟

ريسك عبارت است از انحراف در پيشامدهاي ممكن آينده. پس اگر تنها يك پيشامد در آينده ممكن باشد، در آن آينده ريسك صفر خواهد بود. تعريف استاندارد استراليايي، ريسک فرصت اتفاق افتادنِ چيزي که روي اهداف تاثير خواهد گذاشت.

در استاندارد مباني و واژگان سيستم‌هاي مديريت کيفيت ISO 9000:2015 ريسک را ”اثر عدم قطعيت بر اهداف” تعريف کرده است. لازم به توضيح است يک اثر، يک انحراف است از آنچه مورد انتظار بوده و مي تواند مثبت، منفي يا هردو باشد و مي تواند به فرصت ها و تهديدها بپردازد، آنها را ايجاد يا منجر به آنها شود.
مديريت ريسک: فعاليت هاي هماهنگ شده به منظور هدايت و کنترل يک سازمان با توجه به ريسک هاي آن سازمان را مديريت ريسک مي خوانيم .

برخي از مديران فرانگر در سازمان خود اقدام به برپائي مديريت ريسک سازماني(ERM) مي نمايند. آنها با ايجاد يک فرآيند ساختاريافته، سازمان را قادر مي سازد که در تمامي سطوح خود بصورت يکپارچه ريسک ها را شناسايي، ارزيابي، برنامه ريزي و کنترل ( مديريت ) نمايد. حتي بنا به شرايط مجبور مي شوند برخي از ريسک ها را بپذيرند.( Acceptable Risk )
مديريت ريسک امري تکرار شونده است و به سازمان ها در تعيين راهبرد دستيابي به اهداف و اتخاذ تصميمات آگاهانه کمک مي کند.
مديريت ريسک بخشي از حاکميت و رهبري سازمان است و اساس مديريت سازمان در همه سطوح مي باشد.

مديريت ريسک به زبان ساده:

بشر از اولين روزهاي زندگي خويش بر روي اين کره خاکي همواره با دو مفهوم " خوش شانسي " و " بدشانسي " مواجه بوده است. زمانيکه روال زندگي فرد بطور مطلوب و خوشايند پيش ميرفته ، تعبير خوش شانسي را براي آن بکار برده شده و زمانيکه شرايط زندگي نامطلوب و ناخوشايند بوده آنرا تحت عنوان بدشانسي تلقي کرده اند.با پيشرفت زمان و کسب تجربه و دانش ، انسانها موفق به شناخت پديده هاي پيرامون خويش شدند و مهارت غلبه بر وقايع ناخوشايند يا جذب پديدهاي مطلوب را پيدا نمودند. همواره بين دو مفهوم و باور در طول تاريخ بشر بحث و جدل وجود داشته و دارد.
هرگاه انسانها از شناخت علل و عوامل پديد آورنده وقايع نامطلوب يا ناخوشايند همچون حوادث طبيعي و همچنين وقايع مطلوب همچون از دست رفتن فرصت هاي مالي ، عاجز بوده براي توجيه خويش و ديگران از واژه " تقدير" استفاده نموده ، اما هرگاه انسان توانسته با کمک علم و تجربه و خرد فردي و جمعي از وقوع پيامدهاي منفي و مصيب بار و از دست رفتن فرصت هاي مطلوب در جوامع بشري و زندگي شخصي افراد بکاهد ، آنگاه واژه " تدبير " بهترين توصيف براي چنين شرايطي بوده و مي باشد .

معرفي يک استاندارد جهاني:

باتوجه به اهميت بالاي مديريت ريسک و مديريت ريسک سازماني، سازمان جهاني استانداردISO تصميم گرفت تا صرف نظر از موضوع و کاربرد، يک استاندارد براي مديريت همه ريسک ها تدوين نمايد.

بنابراين استاندارد ISO 31000:2018 توسط کميته فني TC 262 سازمان جهاني استاندارد ISO مورد بازنگري و تدوين قرار گرفت.
اين استاندارد سطح وسيعي از فعاليت هاي و فرآيندهاي يک سازمان اعم از فعاليت هاي استراتژيک وتصميم گيري، بهبود درفرآيندها، تعامل با ذينفعان، عملکردها، پروژه ها، عمليات، فرهنگ سازماني، مالي وخدمات داراي کاربرد مي باشد.
از اين استاندارد مي توان براي مديريت هر نوع ريسکي با انواع پيامدها اعم از مثبت ومنفي و با هدف ايجاد ارزش يا حفظ ارزش ها استفاده نمود.

ساختار استاندارد ISO 31000:2018 در تصوير زير نشان داده شده است:

انواع ريسک ( تقسيم بندي ريسک ها ):

ريسك مستقيم: نوعي از ریسک است که با به شکل ملموس يا ناملموس مواجه می شویم و دقیقاً مختص کسب وکار ما و اهداف مربوط به آن است. برای مدیریت موثر ریسک باید برای سناریوهای داخلی و خارجی که می توانند مستقیماً روی کسب وکارمان اثر بگذارند، آماده باشيم. مانند ورشکستگي.

ريسك غيرمستقيم: نوعي از ریسک است که اغلب مختص کسب و کار ما نيست ولي ممکن است به طريقي ما را از اثرات خود بي بهره نگذارد. مانند : ورشکستگي براي تأمین کنندگان ما، مشتریان ما و .

ريسك واقعي: زماني است كه احتمال ضرر وجود دارد ولي احتمال سود وجود ندارد. ريسك واقعي هميشه ناخوشايند و توام با استرس است. مثل احتمال جريمه شدن در حين رانندگي.

ريسك سوداگرانه يا بُرد و باخت: در ريسك سوداگرانه هم احتمال بُرد و هم احتمال باخت وجود دارد. ريسك سوداگرانه بالقوه داراي جذابيت است. مثل راه اندازي يک کارگاه توليدي يا سرمايه گذاري در بورس.

فرآيند مديريت و کنترل ( قبول يا برخورد يا پاسخ به ) ريسک چهار فاز عمده دارد :

فاز اول: شناسائي ريسک ها (تهديدات و فرصتها)
فاز دوم: آناليز، ارزيابي ( ارزشيابي ) و الويت بندي ريسكها
فاز سوم: برخورد با ريسك ها (قبول ريسک يا پاسخ به ريسک يا کنترل ريسک )
فاز چهارم: پايش و بازنگري نتايج برخورد.

هريک از مراحل فوق الذکر داراي متدهاي شناخته شده و اجرا شده اي هستند که به اثربخشي مديريت ريسک در سازمان کمک شاياني مي نمايند.
لازم به ذکر است قالب هاي اجرائي مراحل و فازهاي چهارگانه مديريت ريسک بسته به توانمندي ارکان مديريتي يک سازمان ممکن است متفاوت و حتي کاملا نوين و تدوين شده توسط ارکان آن سازمان باشد.

تعریف مدیریت ریسک

مدیریت ریسک پروژه شامل فرآیندهای برنامه‌ریزی ، شناسایی ، تحلیل ، برنامه‌ریزی پاسخ و کنترل ریسک پروژه می‌باشد. هدف از مدیریت ریسک ، افرایش احتمال و اثر وقایع مثبت و کاهش احتمال و اثر وقایع منفی در پروژه می‌باشد.

ریسک پروژه یک وضعیت یا رویداد غیرقطعی است ، که اگر اتفاق بیافتد ، حداقل بر یکی از اهداف پروژه اثر می‌گذارد. اهداف می‌تواند آنالیز ریسک چیست ؟ محدوده ، زمان ، هزینه و کیفیت باشد. یک ریسک ممکن است یک یا چند علت داشته باشد و اگر اتفاق بیفتد ، ممکن است یک یا چند اثر را به دنبال داشته باشد. مثلا ریسک عدم تأمین مالی توسط کارفرما می‌تواند به دلایل مختلفی مانند تخصیص بودجه به پروژه‌های دیگر سازمان ، عدم دریافت بودجه کارفرما از دولت و … اتفاق بیافتد. این ریسک می‌تواند اهداف هزینه و زمان پروژه را تحت تاثیر قرار دهد.

فرآیندهای ریسک

برنامه‌ریزی مدیریت ریسک : فرآیند تعریف چگونگی هدایت فعالیت‌های مدیریت ریسک پروژه.

شناسایی ریسک : فرآیند تعیین و ثبت مشخصات ریسک‌های اثرگذار بر پروژه.

تحلیل کیفی ریسک : فرآیند اولویت‌بندی ریسک‌ها جهت تحلیل بیشتر یا ارزیابی و ترکیب احتمال وقوع و اثر.

تحلیل کمی ریسک : فرآیند تحلیل عددی ریسک‌های شناسایی شده.

برنامه‌ربزی پاسخ به ریسک‌ها : فرآیند بررسی گزینه‌ها ، جهت افزایش فرصت‌ها کاهش تهدیدها بر اهداف پروژه.

کنترل ریسک‌ها : فرآیند پیاده‌سازی برنامه‌های پاسخ ریسک ، پیگیری ریسک‌های شناسایی شده ، پایش بر ریسک‌های باقی‌مانده ، شناسایی ریسک‌های جدید و ارزیابی اثربخشی فرآیند ریسک در طول اجرای پروژه.

ریسک‌های شناخته شده و ناشناخته

ریسک‌های شناخته شده : آن‌هایی هستند که شناسایی و تحلیل شده‌اند و امکان برنامه‌ریزی پاسخ به آن‌ها وجود دارد. به ریسک‌های شناخته شده‌ای که نمی‌توانند فعالانه مدیریت شوند باید یک ذخیره احتیاطی تخصیص داد.

ریسک‌های ناشناخته : تمی‌توان به صورت فعالانه، مدیریت نمود و به همن دلیل ممکن است به آن ذخیره مدیریتی تخصیص داد.

اگر یک ریسک منفی اتفاق بیافتد، به‌عنوان مشکل در نظر گرفته می شود. در صورت بزرگ بودن ابعاد ریسک تبدیل بحران می‌شود.

ریسک کلی پروژه

ریسک منفرد با ریسک کلی پروژه متفاوت است. ریسک کلی پروژه تاثیر عدم قطعیت را بر کل پروژه نشان می‌دهد. ریسک کلی پروژه بیشتر از مجموع ریسک‌های منفرد درون پروژه است، زیرا شامل تمامی منابع عدم قطعیت پروژه می‌باشد. ریسک کلی در معرض قرارگرفتن ذی‌نفعان در خصوص تبعات احتمالی انحرافات در نتیحه پروژه، هم مثبت و هم منفی، را نشان می‌دهد.

پنج گام مهم برای مدیریت ریسک امنیت اطلاعات و مقابله با آن

پریا باقری، کارشناس پیاده‌سازی و استقرار گروه فناوری پرند / در فرآیند مدیریت ریسک امنیت اطلاعات، باید دقیقاً مشخص کنیم که می‌خواهیم چه راهبردی را در مواجهه با ریسک‌های سازمان در پیش بگیریم. اما پیش‌شرط ورود به آنالیز ریسک چیست ؟ این بحث، داشتن درک درستی از مفهوم ریسک و آگاهی از اهمیت شناخت و مدیریت آن است.

اینکه اساساً «ریسک» چیست و «مدیریت ریسک» به‌طور عام، چه کمکی به بهبود مستمر هر سازمانی می‌کند، موضوع بحث دیگری است که می‌توانید آن را در یادداشتی با عنوان «با مدیریت ریسک، سکان هر رخدادی در دستان شماست» پی بگیرید.

در این یادداشت، با این پیش‌فرض که خواننده درک درستی از مفاهیم موردنظر دارد، به بررسی فرآیندهای مدیریت ریسک می‌پردازیم. نقطه شروع فرآیند مدیریت ریسک در شناسایی درست ریسک‌هاست. این همان کاری است که در گام اول فرآیند مدیریت ریسک امنیت اطلاعات انجام می‌دهیم.

در گام اول، یعنی «ارزیابی ریسک»، با «تحلیل ریسک» و «سنجش ریسک» می‌توانیم ریسک‌ها را به‌درستی شناسایی و مشخص کنیم که کدام‌یک از آن‌ها برای سازمان پذیرفته و کدام‌یک پذیرفته نیستند.

پرسش اینجاست که با ریسک‌هایی که برای سازمان پذیرفته نیستند چه باید کرد؟ آیا سازمان باید برای همه این ریسک‌ها از طرح‌های کاهش ریسک استفاده کند؟ گزینه‌های پیش رو چیست؟ پاسخ این پرسش را در گام‌های بعدی فرآیند مدیریت ریسک امنیت اطلاعات خواهید یافت.

چنان‌که در شکل زیر مشاهده می‌کنید، فرآیند مدیریت ریسک امنیت اطلاعات از پنج گام تشکیل شده که دو گام اصلی آن ارزیابی ریسک و مقابله با ریسک هستند. اما، سه‌گام بعدی یعنی ارتباط، پایش و بازنگری ریسک نیز از اجزای جدایی‌ناپذیر این فرآیند به‌شمار می‌آیند.

خاصیت چرخه‌ای بودن فرآیند مدیریت ریسک امنیت اطلاعات را در تصویر مشاهده می‌کنید

نکته حائز اهمیت در گام‌های فرآیند مدیریت ریسک امنیت اطلاعات، که در تصویر هم مشاهده می‌کنید، خاصیت چرخه‌ای بودن آنها است. این نشان‌دهنده یک‌مرحله‌ای نبودن این فرآیند است. لذا، بهبود مستمر از ویژگی‌های آن است. برای روشن‌تر شدن مطلب در ادامه، شرح مختصری از هر گام ارائه می‌شود.

گام اول: ارزیابی ریسک (Risk Assessment)

کلیه فعالیت‌های مربوط به فرآیند مدیریت ریسک امنیت اطلاعات از این گام آغاز می‌شوند که خود شامل دو مرحله است:

۱- تحلیل ریسک (Risk Analysis)

عنوان «تحلیل ریسک» را می‌توان در یک عبارت خلاصه کرد: استفاده نظام‌مند از اطلاعات برای شناسایی و تخمین ریسک (Risk Estimation). در واقع، تمام فعالیت‌های مربوط به شناسایی، دسته‌بندی و ارزش‌گذاری دارایی‌های اطلاعاتی و نیز شناسایی سناریوهای ریسک، که معمولاً حاصل نگاشت آسیب‌پذیری‌ها و تهدیدات هستند، را می‌توان در این مرحله گنجاند.

اما به‌جز شناسایی موارد فوق، باید با توجه به روش‌شناسی مورد استفاده در فرآیند مدیریت ریسک، مقادیر مناسبی را به عوامل مختلف اختصاص داد تا بتوان «احتمال وقوع ریسک» و «اثرات و پیامدهای ریسک» را محاسبه کرد؛ به قولی، با استفاده از موارد فوق، باید بتوان ریسک را تخمین زد.

۲- سنجش ریسک (Risk Evaluation)

سنجش ریسک فرآیندی است که کمک می‌کند میزان اهمیت ریسک مذکور را برای سازمان تعیین کنیم. اما چگونه؟ از مقایسه ریسک تخمین زده‌شده، خروجی مرحله قبل، با معیارهای ریسک سازمان. در واقع، برای اینکه متوجه شویم سازمان چگونه به نتایج حاصل از محاسبات و تحلیل ریسک می‌نگرد، باید ابتدا مشخص کنیم که چه معیار یا معیارهایی برای پذیرفتن یا نپذیرفتن ریسک وجود دارند.

سازمان می‌تواند این معیارها را بر اساس آنالیز ریسک چیست ؟ روش‌شناسی ارزیابی ریسک، به‌صورت عددی، خطی یا ماتریسی تعیین کند؛ این کار با استفاده از ورودی‌هایی چون الزامات حقوقی و قانونی، تصمیمات مدیریتی، منابع در دسترس، نیازمندی‌ها و انتظارات ذی‌نفعان در حوزه امنیت اطلاعات و غیره، انجام می‌شود. بر این اساس، می‌توان مشخص کرد که از دیدگاه سازمان، کدام ریسک‌ها پذیرفتنی‌اند و کدام‌یک نیستند.

گام دوم: مقابله با ریسک (Risk Treatment)

در این گام، سازمان باید تعیین کند که چه راهبرد و برنامه‌ای برای مواجهه یا مقابله با ریسک‌های پذیرفته‌نشده دارد. مهم‌ترین خروجی این بخش، طرح مقابله با ریسک (RTP) است. در این طرح، سازمان ضمن اولویت‌بندی ریسک‌ها، هر یک از اقدامات مدنظر خود را برای مقابله با ریسک‌ها تشریح می‌کند.

در واقع، سازمان مجموعه‌ای از اقدامات و پروژه‌های تقابلی را تعریف می‌کند و برای هریک از آنها منابع مورد نیاز، زمان‌بندی، مسئول پیگیری و غیره را، همچون هر پروژه استاندارد دیگری، معین می‌کند.

گام سوم: ارتباط ریسک (Risk Communication)

در همه مراحل فرآیند مدیریت ریسک امنیت اطلاعات، همواره باید ارتباطات را، در حکم عاملی مهم، درنظر داشت. یعنی، در هریک از مراحل این فرآیند، باید ارتباط موثری میان دست‌اندرکاران ریسک، مشاوران، مدیران ارشد، مالکان دارایی، مالکان ریسک و یا سایر ذی‌نفعان برقرار شود.

برای مثال، در گام ارزیابی ریسک باید همه عوامل نام‌برده که نقش پررنگی در تصمیم‌گیری‌های سازمان دارند، مشارکت داشته باشند. از طرفی، مدیران ارشد در تصمیم‌گیری در مورد بازه و معیار ریسک پذیرفته‌شده و همچنین، تایید و اختصاص منابع مکفی به طرح‌های مقابله با ریسک، نقشی محوری دارند. این امر فقط از راه ارتباط و درگیری مناسب میان لایه‌های بالایی سازمان با لایه کارشناسی و عملیاتی در حوزه ریسک، میسر است.

گام چهارم: پایش و کنترل ریسک (Risk Control & Monitoring)

در این گام، بیش‌ترین تمرکز بر روی کنترل و پیگیری طرح‌های مقابله با ریسک است. پس در نگاه اول، باید مطمئن شد که اقدامات درنظر گرفته‌شده با زمان‌بندی تعیین‌شده هم‌خوانی دارند. نیز، باید میزان کاهش ریسک را بر مبنای انتظارات اولیه پایش کرد.

بدین‌ترتیب، باید وضعیت پروژه‌های RTP را مکرراً از نظر زمان‌بندی، میزان تاثیر، کیفیت و بهینگی بررسی و پایش کرد و در صورت نیاز به اصلاح موارد، اقدامات اصلاحی لازم را به عمل آورد. این اقدامات می‌توانند شامل تغییراتی در نحوه اعمال طرح‌ها، بازبینی سناریوهای ریسک، اختصاص منابع جدید و مواردی از این دست باشند.

گام پنجم: بازنگری ریسک (Risk Review)

چنان‌که پیش‌تر اشاره شد، نگاه پروژه‌ای به مدیریت ریسک، در حکم فرآیندی که یک نقطه شروع و یک نقطه پایان دارد، درست نیست؛ خاصیت چرخه‌ای این فرآیند نشان‌دهنده یک‌مرحله‌ای نبودن آن و بهبود مستمر از ویژگی‌های آن است.

به بیان دیگر، اقدامات لازم در فرآیند مدیریت ریسک باید در بازه‌های زمانی معینی تکرار شوند و از نتایج و تجاربی که در هر مرحله به‌دست می‌آید، در نقش ورودی و بازخورد، در مرحله جدید استفاده شود. نیز، باید بازه‌های مورد نظر برای بازنگری ریسک، با توجه به شرایط سازمان درنظر گرفته شوند و حداکثر یک‌ساله باشند.

برنامه‌ریزی برای مقابله با ریسک امنیت اطلاعات

برنامه‌ریزی برای مدیریت ریسک امنیت اطلاعات شامل فرآیند توسعه برنامه‌ها برای کم کردن تهدیدها و مقابله با ریسک‌هایی است که در مرحله ارزیابی ریسک، اولویت بالاتری از سایر ریسک‌ها داشته‌اند. در این مرحله از برنامه‌ریزی مدیریت ریسک، توجه حداکثری باید از آن ریسک‌هایی باشد که مهم‌تر و تاثیرگذارترند.

برای مقابله با ریسک پروژه معمولاً از روش‌های زیر استفاده می‌شود:

1. پیشگیری: برنامه‌ریزی برای اقدامات پیشگیرانه لازم، برای کم کردن احتمال و پیشگیری از وقوع ریسک‌ها.
2. کم کردن اثرات مخرب ریسک: چنانچه اقدامات پیشگیرانه اثربخش نباشند، باید به منظور مقابله با اثرات منفی وقوع ریسک و همچنین کنترل تاثیرات آن، برای اجرای کارهای اصلاحی برنامه‌ریزی شود. این برنامه شامل استفاده از طرح‌های جایگزین نیز است.
3. جذب تاثیرات منفی: برای ریسک‌هایی که اولویت کمتری دارند و نیز، در مواردی که اقدامات اصلاحی تاثیرات مورد نظر را نداشته باشند، جذب تاثیرات منفی و مقابله با آن‌ها باید در برنامه پیش‌بینی شده باشد.

برنامه و طرح مدیریت ریسک باید به شکلی تنظیم شود که اولویت و فوریت ریسک‌ها در آن درنظر گرفته شده باشد. همچنین، برای تخصیص منابع و اجرای اقدامات لازم برای مواجهه با ریسک‌ها، باید به بودجه، زمان‌بندی و برنامه‌ریزی‌های دیگر پروژه برای مدیریت ریسک امنیت اطلاعات توجه شود.

اجرای طرح مقابله با ریسک امنیت اطلاعات

طرح مقابله با ریسک باید بسیار دقیق و برنامه‌ریزی‌شده باشد آنالیز ریسک چیست ؟ و عوامل مهمی که در ادامه برمی‌شماریم، در اجرای آن، مدنظر قرار گیرند.

۱- متناسب بودن با ریسک‌ها

منطقی نیست که منابع و زمان زیادی را به مقابله با ریسک‌هایی اختصاص داد که در اولویت پایین‌تری هستند و یا درجه احتمال وقوعشان کم است. چون این موضوع سبب غفلت از ریسک‌های مهم‌تر می‌شود و نداشتن توجه کافی به ریسک‌های مهم و تاثیرگذار می‌تواند بسیار خطرآفرین باشد. درنتیجه، برنامه‌ریزی و اختصاص منابع به ریسک‌ها باید با اولویت‌بندی ریسک‌های پروژه و اندازه و اهمیت پروژه آنالیز ریسک چیست ؟ آنالیز ریسک چیست ؟ متناسب باشد.

۲- هزینه‌محور بودن

زیاده‌ازحد هزینه کردن برای مقابله با ریسک‌ها، می‌تواند برای کل پروژه چالش‌زا باشد. پس در طرح مقابله با ریسک پروژه، باید به مسئله مدیریت هزینه توجهی ویژه کرد.

۳- واقع‌بینانه بودن

توسعه دادن طرح‌های نظری و غیر اجرایی نه‌تنها سبب اتلاف وقت و منابع می‌شود، بلکه ممکن است طرح را از مسیر اصلی خود منحرف کند و مشکلات بیش‌تری را، حتی در مقایسه با نداشتن برنامه‌ریزی، ایجاد کند. در برنامه‌ریزی برای مدیریت ریسک امنیت اطلاعات، لازمه دستیابی به طرحی واقع‌بینانه، داشتن توجهی ویژه به محدودیت‌ها و پیش‌فرض‌ها است.

۳- زمان‌بندی

واضح است که در هر طرحی باید با زمان‌بندی مشخصی داشت و در اجرای آن باید به زمان‌بندی موردنظر متعهد ماند.

۴- بانی و مسئول برنامه

در پروژه‌های بزرگ، طرح مقابله با ریسک امنیت اطلاعات باید دارای بانی و مسئول مشخصی باشد تا بتواند روند طرح را پیگیری و از اجرای درست آن اطمینان حاصل کند. همچنین، ریسک‌های مهم باید مسئول معینی داشته باشند تا مسئولیت کلی مدیریت ریسک، تشخیص ریسک پروژه و مقابله با آن، را برعهده بگیرد.

ورودی‌ها و خروجی‌های طرح مقابله با ریسک امنیت اطلاعات

• ورودی‌های طرح مقابله با ریسک‌های پروژه عبارت‌اند از:
• برنامه کلی مدیریت ریسک؛ به‌ویژه تعیین کسانی که قرار است مسئولیت توسعه طرح را برعهده داشته باشند؛
• ریسک‌هایی که احتیاج به برنامه مقابله با ریسک دارند؛ چنان‌که پیش‌تر گفته شد، فقط باید برای ریسک‌هایی برنامه‌ریزی کرد که در اولویت بالاتری هستند؛
• وابستگی ریسک‌ها؛ منظور همان شاخصه‌های ریسک‌ها هستند؛ شاخصه‌هایی مانند ریشه و منبع ریسک، علائم و نشانه‌های وقوع ریسک، تاثیرات و میزان تهدید، احتمال وقوع، زمان احتمال وقوع و حوزه تاثیر؛
• تعیین اولویت و فوریت ریسک؛ به منظور تعیین میزان کاری که باید برای هر ریسک انجام شود و منابع مورد نیاز آن؛
• محدودیت‌ها؛ تعیین محدودیت‌ها در آماده‌سازی طرح مقابله با ریسک و اثرات این محدودیت‌ها بر سایر موارد بسیار مهم است. مهم‌ترین محدودیت‌ها در طرح مقابله با ریسک پروژه عبارت‌اند از:
  1. بودجه؛
  2. منابع؛
  3. زمان (محدودیت زمانی در اجرای طرح مقابله با ریسک)؛
  4. تغییرات (تغییراتی که بنا به علل گوناگون امکان‌پذیر نیستند).

خروجی‌های طرح مقابله با ریسک‌های پروژه عبارت‌اند از:

در این خروجی، باید برای تمام ریسک‌هایی که اولویت بالایی دارند، طرح مقابله تهیه شود. ضمناً باید برای هر ریسک، موارد زیر مشخص شده باشند:

• حوزه‌های پروژه که آنالیز ریسک چیست ؟ ریسک بر روی آنها تاثیر می‌گذارد؛

• مالک ریسک که می‌تواند شخص، تیم یا گروه باشد؛

• نشانه و علائم وقوع ریسک؛

• استراتژی مقابله با ریسک (برای مثال، جلوگیری، استفاده از برنامه جایگزین، کم کردن تاثیرات مخرب و …)؛

• طرح مقابله، برای طرح‌هایی که می‌توان در آن‌ها از روش‌های مختلف استفاده کرد؛

• بودجه و منابع تخصیص داده‌شده به ریسک؛

• زمان‌بندی برای اجرای برنامه مقابله؛

• برنامه‌های اضطراری و جایگزین، به‌ویژه برای ریسک‌های با درجه اهمیت بالا.

راه پرداخت بهترین منبع شما برای دانستن هر آنالیز ریسک چیست ؟ چیزی درزمینه فناوری‌های مالی (فین‌تک) است. راه پرداخت به شما کمک می‌کند در جریان رویدادها و روندهای فین‌تک ایران و جهان قرار بگیرید. شما در راه پرداخت می‌توانید آخرین خبرها و تحلیل‌های نویسندگان و تحلیلگران ایرانی و خارجی را مطالعه کنید.