فرایند مدیریت ریسک چیست؟
ريسك عبارت است از انحراف در پيشامدهاي ممكن آينده. پس اگر تنها يك پيشامد در آينده ممكن باشد، در آن آينده ريسك صفر خواهد بود. تعريف استاندارد استراليايي، ريسک فرصت اتفاق افتادنِ چيزي که روي اهداف تاثير خواهد گذاشت.
در استاندارد مباني و واژگان سيستمهاي مديريت کيفيت ISO 9000:2015 ريسک را ”اثر عدم قطعيت بر اهداف” تعريف کرده است. لازم به توضيح است يک اثر، يک انحراف است از آنچه مورد انتظار بوده و مي تواند مثبت، منفي يا هردو باشد و مي تواند به فرصت ها و تهديدها بپردازد، آنها را ايجاد يا منجر به آنها شود.
مديريت ريسک: فعاليت هاي هماهنگ شده به منظور هدايت و کنترل يک سازمان با توجه به ريسک هاي آن سازمان را مديريت ريسک مي خوانيم .
برخي از مديران فرانگر در سازمان خود اقدام به برپائي مديريت ريسک سازماني(ERM) مي نمايند. آنها با ايجاد يک فرآيند ساختاريافته، سازمان را قادر مي سازد که در تمامي سطوح خود بصورت يکپارچه ريسک ها را شناسايي، ارزيابي، برنامه ريزي و کنترل ( مديريت ) نمايد. حتي بنا به شرايط مجبور مي شوند برخي از ريسک ها را بپذيرند.( Acceptable Risk )
مديريت ريسک امري تکرار شونده است و به سازمان ها در تعيين راهبرد دستيابي به اهداف و اتخاذ تصميمات آگاهانه کمک مي کند.
مديريت ريسک بخشي از حاکميت و رهبري سازمان است و اساس مديريت سازمان در همه سطوح مي باشد.
مديريت ريسک به زبان ساده:
بشر از اولين روزهاي زندگي خويش بر روي اين کره خاکي همواره با دو مفهوم " خوش شانسي " و " بدشانسي " مواجه بوده است. زمانيکه روال زندگي فرد بطور مطلوب و خوشايند پيش ميرفته ، تعبير خوش شانسي را براي آن بکار برده شده و زمانيکه شرايط زندگي نامطلوب و ناخوشايند بوده آنرا تحت عنوان بدشانسي تلقي کرده اند.با پيشرفت زمان و کسب تجربه و دانش ، انسانها موفق به شناخت پديده هاي پيرامون خويش شدند و مهارت غلبه بر وقايع ناخوشايند يا جذب پديدهاي مطلوب را پيدا نمودند. همواره بين دو مفهوم و باور در طول تاريخ بشر بحث و جدل وجود داشته و دارد.
هرگاه انسانها از شناخت علل و عوامل پديد آورنده وقايع نامطلوب يا ناخوشايند همچون حوادث طبيعي و همچنين وقايع مطلوب همچون از دست رفتن فرصت هاي مالي ، عاجز بوده براي توجيه خويش و ديگران از واژه " تقدير" استفاده نموده ، اما هرگاه انسان توانسته با کمک علم و تجربه و خرد فردي و جمعي از وقوع پيامدهاي منفي و مصيب بار و از دست رفتن فرصت هاي مطلوب در جوامع بشري و زندگي شخصي افراد بکاهد ، آنگاه واژه " تدبير " بهترين توصيف براي چنين شرايطي بوده و مي باشد .
معرفي يک استاندارد جهاني:
باتوجه به اهميت بالاي مديريت ريسک و مديريت ريسک سازماني، سازمان جهاني استانداردISO تصميم گرفت تا صرف نظر از موضوع و کاربرد، يک استاندارد براي مديريت همه ريسک ها تدوين نمايد.
بنابراين استاندارد ISO 31000:2018 توسط کميته فني TC 262 سازمان جهاني استاندارد ISO مورد بازنگري و تدوين قرار گرفت.
اين استاندارد سطح وسيعي از فعاليت هاي و فرآيندهاي يک سازمان اعم از فعاليت هاي استراتژيک وتصميم گيري، بهبود درفرآيندها، تعامل با ذينفعان، عملکردها، پروژه ها، عمليات، فرهنگ سازماني، مالي وخدمات داراي کاربرد مي باشد.
از اين استاندارد مي توان براي مديريت هر نوع ريسکي با انواع پيامدها اعم از مثبت ومنفي و با هدف ايجاد ارزش يا حفظ ارزش ها استفاده نمود.
ساختار استاندارد ISO 31000:2018 در تصوير زير نشان داده شده است:
انواع آنالیز ریسک چیست ؟ ريسک ( تقسيم بندي ريسک ها ):
ريسك مستقيم: نوعي از ریسک است که با به شکل ملموس يا ناملموس مواجه می شویم و دقیقاً مختص کسب وکار ما و اهداف مربوط به آن است. برای مدیریت موثر ریسک باید برای سناریوهای داخلی و خارجی که می توانند مستقیماً روی کسب وکارمان اثر بگذارند، آماده باشيم. مانند ورشکستگي.
ريسك غيرمستقيم: نوعي از ریسک است که اغلب مختص کسب و کار ما نيست ولي ممکن است به طريقي ما را از اثرات آنالیز ریسک چیست ؟ خود بي بهره نگذارد. مانند : ورشکستگي براي تأمین کنندگان ما، مشتریان ما و .
ريسك واقعي: زماني است كه احتمال ضرر وجود دارد ولي احتمال سود وجود ندارد. ريسك واقعي هميشه ناخوشايند و توام با استرس است. مثل احتمال جريمه شدن در حين رانندگي.
ريسك سوداگرانه يا بُرد و باخت: در ريسك سوداگرانه هم احتمال بُرد و هم احتمال باخت وجود دارد. ريسك سوداگرانه بالقوه داراي جذابيت است. مثل راه اندازي يک کارگاه توليدي يا سرمايه گذاري در بورس.
فرآيند مديريت و کنترل ( قبول يا برخورد يا پاسخ به ) ريسک چهار فاز عمده دارد :
فاز اول: شناسائي ريسک ها (تهديدات و فرصتها)
فاز دوم: آناليز، ارزيابي ( ارزشيابي ) و الويت بندي ريسكها
فاز سوم: برخورد با ريسك ها (قبول ريسک يا پاسخ به ريسک يا کنترل ريسک )
فاز چهارم: پايش و بازنگري نتايج برخورد.
هريک از مراحل فوق الذکر داراي متدهاي شناخته شده و اجرا شده اي هستند که به اثربخشي مديريت ريسک در سازمان کمک شاياني مي نمايند.
لازم به ذکر است قالب هاي اجرائي مراحل و فازهاي چهارگانه مديريت ريسک بسته به توانمندي ارکان مديريتي يک سازمان ممکن است متفاوت و حتي کاملا نوين و تدوين شده توسط ارکان آن سازمان باشد.
ارزیابی ریسک
ارزیابی ریسک یک روش منطقی برای تعیین اندازه کمی و کیفی خطرات و بررسی پیامدهای بالقوه ناشی از حوادث احتمالی، بر روی سرمایههای بیمه شده، افراد و محیط است، این شرکت با بررسی وضعیت فرآیندها، چیدمان سرمایهها، تراکم و تشخیص خطرات موجود بالقوه، و بررسی میزان کارآمدی روشهای کنترلی و ایمنی و اقدامات بعد از تحقق خطرات در واحدها، دادههای با ارزشی را در زمینه کاهش ریسک، بهسازیها، و اطلاعات لازم جهت تصمیم گیریهای بیمه گران در نوع صدور بیمه نامه و شرایط آن به کارفرمایان خود ارائه مینماید.
این شرکت از مطالعات HAZOP و HSE و تکنیکهای مدلهای انفجاری و حریق و غیره با استفاده از نرم افزارهای فوق پیشرفته مهندسی در اندازه گیری موارد مورد نیاز استفاده مینماید. و به بیمه گران میزان EML و PML و تفکیک سرمایه و … را ارائه مینماید.
ارزیابی ریسک چیست؟
انواع تکنیک های تحلیل و ارزیابی
مدیریت ریسک پروژه طبق استاندارد PMBOK، مدیریت ریسک را به شش مرحله تقسیم می کند:
- برنامه ریزی مدیریت ریسک
- شناسایی ریسک
- تجزیه و تحلیل کیفی ریسک
- تجزیه و تحلیل کمی ریسک
- برنامه ریزی واکنش به ریسک
- پایش ریسک
به طور کلی منظور از آنالیز یا تجزیه و تحلیل ریسک، تجزیه و تحلیل کیفی ریسک و تجزیه و تحلیل کمی ریسک است. انتخاب تکنیک مناسب ارزیابی ریسک امر مهمی در مدیریت ریسک است.
فرایند مدیریت ریسک چیست؟
ريسك عبارت است از انحراف در پيشامدهاي ممكن آينده. پس اگر تنها يك پيشامد در آينده ممكن باشد، در آن آينده ريسك صفر خواهد بود. تعريف استاندارد استراليايي، ريسک فرصت اتفاق افتادنِ چيزي که روي اهداف تاثير خواهد گذاشت.
در استاندارد مباني و واژگان سيستمهاي مديريت کيفيت ISO 9000:2015 ريسک را ”اثر عدم قطعيت بر اهداف” تعريف کرده است. لازم به توضيح است يک اثر، يک انحراف است از آنچه مورد انتظار بوده و مي تواند مثبت، منفي يا هردو باشد و مي تواند به فرصت ها و تهديدها بپردازد، آنها را ايجاد يا منجر به آنها شود.
مديريت ريسک: فعاليت هاي هماهنگ شده به منظور هدايت و کنترل يک سازمان با توجه به ريسک هاي آن سازمان را مديريت ريسک مي خوانيم .
برخي از مديران فرانگر در سازمان خود اقدام به برپائي مديريت ريسک سازماني(ERM) مي نمايند. آنها با ايجاد يک فرآيند ساختاريافته، سازمان را قادر مي سازد که در تمامي سطوح خود بصورت يکپارچه ريسک ها را شناسايي، ارزيابي، برنامه ريزي و کنترل ( مديريت ) نمايد. حتي بنا به شرايط مجبور مي شوند برخي از ريسک ها را بپذيرند.( Acceptable Risk )
مديريت ريسک امري تکرار شونده است و به سازمان ها در تعيين راهبرد دستيابي به اهداف و اتخاذ تصميمات آگاهانه کمک مي کند.
مديريت ريسک بخشي از حاکميت و رهبري سازمان است و اساس مديريت سازمان در همه سطوح مي باشد.
مديريت ريسک به زبان ساده:
بشر از اولين روزهاي زندگي خويش بر روي اين کره خاکي همواره با دو مفهوم " خوش شانسي " و " بدشانسي " مواجه بوده است. زمانيکه روال زندگي فرد بطور مطلوب و خوشايند پيش ميرفته ، تعبير خوش شانسي را براي آن بکار برده شده و زمانيکه شرايط زندگي نامطلوب و ناخوشايند بوده آنرا تحت عنوان بدشانسي تلقي کرده اند.با پيشرفت زمان و کسب تجربه و دانش ، انسانها موفق به شناخت پديده هاي پيرامون خويش شدند و مهارت غلبه بر وقايع ناخوشايند يا جذب پديدهاي مطلوب را پيدا نمودند. همواره بين دو مفهوم و باور در طول تاريخ بشر بحث و جدل وجود داشته و دارد.
هرگاه انسانها از شناخت علل و عوامل پديد آورنده وقايع نامطلوب يا ناخوشايند همچون حوادث طبيعي و همچنين وقايع مطلوب همچون از دست رفتن فرصت هاي مالي ، عاجز بوده براي توجيه خويش و ديگران از واژه " تقدير" استفاده نموده ، اما هرگاه انسان توانسته با کمک علم و تجربه و خرد فردي و جمعي از وقوع پيامدهاي منفي و مصيب بار و از دست رفتن فرصت هاي مطلوب در جوامع بشري و زندگي شخصي افراد بکاهد ، آنگاه واژه " تدبير " بهترين توصيف براي چنين شرايطي بوده و مي باشد .
معرفي يک استاندارد جهاني:
باتوجه به اهميت بالاي مديريت ريسک و مديريت ريسک سازماني، سازمان جهاني استانداردISO تصميم گرفت تا صرف نظر از موضوع و کاربرد، يک استاندارد براي مديريت همه ريسک ها تدوين نمايد.
بنابراين استاندارد ISO 31000:2018 توسط کميته فني TC 262 سازمان جهاني استاندارد ISO مورد بازنگري و تدوين قرار گرفت.
اين استاندارد سطح وسيعي از فعاليت هاي و فرآيندهاي يک سازمان اعم از فعاليت هاي استراتژيک وتصميم گيري، بهبود درفرآيندها، تعامل با ذينفعان، عملکردها، پروژه ها، عمليات، فرهنگ سازماني، مالي وخدمات داراي کاربرد مي باشد.
از اين استاندارد مي توان براي مديريت هر نوع ريسکي با انواع پيامدها اعم از مثبت ومنفي و با هدف ايجاد ارزش يا حفظ ارزش ها استفاده نمود.
ساختار استاندارد ISO 31000:2018 در تصوير زير نشان داده شده است:
انواع ريسک ( تقسيم بندي ريسک ها ):
ريسك مستقيم: نوعي از ریسک است که با به شکل ملموس يا ناملموس مواجه می شویم و دقیقاً مختص کسب وکار ما و اهداف مربوط به آن است. برای مدیریت موثر ریسک باید برای سناریوهای داخلی و خارجی که می توانند مستقیماً روی کسب وکارمان اثر بگذارند، آماده باشيم. مانند ورشکستگي.
ريسك غيرمستقيم: نوعي از ریسک است که اغلب مختص کسب و کار ما نيست ولي ممکن است به طريقي ما را از اثرات خود بي بهره نگذارد. مانند : ورشکستگي براي تأمین کنندگان ما، مشتریان ما و .
ريسك واقعي: زماني است كه احتمال ضرر وجود دارد ولي احتمال سود وجود ندارد. ريسك واقعي هميشه ناخوشايند و توام با استرس است. مثل احتمال جريمه شدن در حين رانندگي.
ريسك سوداگرانه يا بُرد و باخت: در ريسك سوداگرانه هم احتمال بُرد و هم احتمال باخت وجود دارد. ريسك سوداگرانه بالقوه داراي جذابيت است. مثل راه اندازي يک کارگاه توليدي يا سرمايه گذاري در بورس.
فرآيند مديريت و کنترل ( قبول يا برخورد يا پاسخ به ) ريسک چهار فاز عمده دارد :
فاز اول: شناسائي ريسک ها (تهديدات و فرصتها)
فاز دوم: آناليز، ارزيابي ( ارزشيابي ) و الويت بندي ريسكها
فاز سوم: برخورد با ريسك ها (قبول ريسک يا پاسخ به ريسک يا کنترل ريسک )
فاز چهارم: پايش و بازنگري نتايج برخورد.
هريک از مراحل فوق الذکر داراي متدهاي شناخته شده و اجرا شده اي هستند که به اثربخشي مديريت ريسک در سازمان کمک شاياني مي نمايند.
لازم به ذکر است قالب هاي اجرائي مراحل و فازهاي چهارگانه مديريت ريسک بسته به توانمندي ارکان مديريتي يک سازمان ممکن است متفاوت و حتي کاملا نوين و تدوين شده توسط ارکان آن سازمان باشد.
تعریف مدیریت ریسک
مدیریت ریسک پروژه شامل فرآیندهای برنامهریزی ، شناسایی ، تحلیل ، برنامهریزی پاسخ و کنترل ریسک پروژه میباشد. هدف از مدیریت ریسک ، افرایش احتمال و اثر وقایع مثبت و کاهش احتمال و اثر وقایع منفی در پروژه میباشد.
ریسک پروژه یک وضعیت یا رویداد غیرقطعی است ، که اگر اتفاق بیافتد ، حداقل بر یکی از اهداف پروژه اثر میگذارد. اهداف میتواند آنالیز ریسک چیست ؟ محدوده ، زمان ، هزینه و کیفیت باشد. یک ریسک ممکن است یک یا چند علت داشته باشد و اگر اتفاق بیفتد ، ممکن است یک یا چند اثر را به دنبال داشته باشد. مثلا ریسک عدم تأمین مالی توسط کارفرما میتواند به دلایل مختلفی مانند تخصیص بودجه به پروژههای دیگر سازمان ، عدم دریافت بودجه کارفرما از دولت و … اتفاق بیافتد. این ریسک میتواند اهداف هزینه و زمان پروژه را تحت تاثیر قرار دهد.
فرآیندهای ریسک
برنامهریزی مدیریت ریسک : فرآیند تعریف چگونگی هدایت فعالیتهای مدیریت ریسک پروژه.
شناسایی ریسک : فرآیند تعیین و ثبت مشخصات ریسکهای اثرگذار بر پروژه.
تحلیل کیفی ریسک : فرآیند اولویتبندی ریسکها جهت تحلیل بیشتر یا ارزیابی و ترکیب احتمال وقوع و اثر.
تحلیل کمی ریسک : فرآیند تحلیل عددی ریسکهای شناسایی شده.
برنامهربزی پاسخ به ریسکها : فرآیند بررسی گزینهها ، جهت افزایش فرصتها کاهش تهدیدها بر اهداف پروژه.
کنترل ریسکها : فرآیند پیادهسازی برنامههای پاسخ ریسک ، پیگیری ریسکهای شناسایی شده ، پایش بر ریسکهای باقیمانده ، شناسایی ریسکهای جدید و ارزیابی اثربخشی فرآیند ریسک در طول اجرای پروژه.
ریسکهای شناخته شده و ناشناخته
ریسکهای شناخته شده : آنهایی هستند که شناسایی و تحلیل شدهاند و امکان برنامهریزی پاسخ به آنها وجود دارد. به ریسکهای شناخته شدهای که نمیتوانند فعالانه مدیریت شوند باید یک ذخیره احتیاطی تخصیص داد.
ریسکهای ناشناخته : تمیتوان به صورت فعالانه، مدیریت نمود و به همن دلیل ممکن است به آن ذخیره مدیریتی تخصیص داد.
اگر یک ریسک منفی اتفاق بیافتد، بهعنوان مشکل در نظر گرفته می شود. در صورت بزرگ بودن ابعاد ریسک تبدیل بحران میشود.
ریسک کلی پروژه
ریسک منفرد با ریسک کلی پروژه متفاوت است. ریسک کلی پروژه تاثیر عدم قطعیت را بر کل پروژه نشان میدهد. ریسک کلی پروژه بیشتر از مجموع ریسکهای منفرد درون پروژه است، زیرا شامل تمامی منابع عدم قطعیت پروژه میباشد. ریسک کلی در معرض قرارگرفتن ذینفعان در خصوص تبعات احتمالی انحرافات در نتیحه پروژه، هم مثبت و هم منفی، را نشان میدهد.
پنج گام مهم برای مدیریت ریسک امنیت اطلاعات و مقابله با آن
پریا باقری، کارشناس پیادهسازی و استقرار گروه فناوری پرند / در فرآیند مدیریت ریسک امنیت اطلاعات، باید دقیقاً مشخص کنیم که میخواهیم چه راهبردی را در مواجهه با ریسکهای سازمان در پیش بگیریم. اما پیششرط ورود به آنالیز ریسک چیست ؟ این بحث، داشتن درک درستی از مفهوم ریسک و آگاهی از اهمیت شناخت و مدیریت آن است.
اینکه اساساً «ریسک» چیست و «مدیریت ریسک» بهطور عام، چه کمکی به بهبود مستمر هر سازمانی میکند، موضوع بحث دیگری است که میتوانید آن را در یادداشتی با عنوان «با مدیریت ریسک، سکان هر رخدادی در دستان شماست» پی بگیرید.
در این یادداشت، با این پیشفرض که خواننده درک درستی از مفاهیم موردنظر دارد، به بررسی فرآیندهای مدیریت ریسک میپردازیم. نقطه شروع فرآیند مدیریت ریسک در شناسایی درست ریسکهاست. این همان کاری است که در گام اول فرآیند مدیریت ریسک امنیت اطلاعات انجام میدهیم.
در گام اول، یعنی «ارزیابی ریسک»، با «تحلیل ریسک» و «سنجش ریسک» میتوانیم ریسکها را بهدرستی شناسایی و مشخص کنیم که کدامیک از آنها برای سازمان پذیرفته و کدامیک پذیرفته نیستند.
پرسش اینجاست که با ریسکهایی که برای سازمان پذیرفته نیستند چه باید کرد؟ آیا سازمان باید برای همه این ریسکها از طرحهای کاهش ریسک استفاده کند؟ گزینههای پیش رو چیست؟ پاسخ این پرسش را در گامهای بعدی فرآیند مدیریت ریسک امنیت اطلاعات خواهید یافت.
چنانکه در شکل زیر مشاهده میکنید، فرآیند مدیریت ریسک امنیت اطلاعات از پنج گام تشکیل شده که دو گام اصلی آن ارزیابی ریسک و مقابله با ریسک هستند. اما، سهگام بعدی یعنی ارتباط، پایش و بازنگری ریسک نیز از اجزای جداییناپذیر این فرآیند بهشمار میآیند.
خاصیت چرخهای بودن فرآیند مدیریت ریسک امنیت اطلاعات را در تصویر مشاهده میکنید
نکته حائز اهمیت در گامهای فرآیند مدیریت ریسک امنیت اطلاعات، که در تصویر هم مشاهده میکنید، خاصیت چرخهای بودن آنها است. این نشاندهنده یکمرحلهای نبودن این فرآیند است. لذا، بهبود مستمر از ویژگیهای آن است. برای روشنتر شدن مطلب در ادامه، شرح مختصری از هر گام ارائه میشود.
گام اول: ارزیابی ریسک (Risk Assessment)
کلیه فعالیتهای مربوط به فرآیند مدیریت ریسک امنیت اطلاعات از این گام آغاز میشوند که خود شامل دو مرحله است:
۱- تحلیل ریسک (Risk Analysis)
عنوان «تحلیل ریسک» را میتوان در یک عبارت خلاصه کرد: استفاده نظاممند از اطلاعات برای شناسایی و تخمین ریسک (Risk Estimation). در واقع، تمام فعالیتهای مربوط به شناسایی، دستهبندی و ارزشگذاری داراییهای اطلاعاتی و نیز شناسایی سناریوهای ریسک، که معمولاً حاصل نگاشت آسیبپذیریها و تهدیدات هستند، را میتوان در این مرحله گنجاند.
اما بهجز شناسایی موارد فوق، باید با توجه به روششناسی مورد استفاده در فرآیند مدیریت ریسک، مقادیر مناسبی را به عوامل مختلف اختصاص داد تا بتوان «احتمال وقوع ریسک» و «اثرات و پیامدهای ریسک» را محاسبه کرد؛ به قولی، با استفاده از موارد فوق، باید بتوان ریسک را تخمین زد.
۲- سنجش ریسک (Risk Evaluation)
سنجش ریسک فرآیندی است که کمک میکند میزان اهمیت ریسک مذکور را برای سازمان تعیین کنیم. اما چگونه؟ از مقایسه ریسک تخمین زدهشده، خروجی مرحله قبل، با معیارهای ریسک سازمان. در واقع، برای اینکه متوجه شویم سازمان چگونه به نتایج حاصل از محاسبات و تحلیل ریسک مینگرد، باید ابتدا مشخص کنیم که چه معیار یا معیارهایی برای پذیرفتن یا نپذیرفتن ریسک وجود دارند.
سازمان میتواند این معیارها را بر اساس آنالیز ریسک چیست ؟ روششناسی ارزیابی ریسک، بهصورت عددی، خطی یا ماتریسی تعیین کند؛ این کار با استفاده از ورودیهایی چون الزامات حقوقی و قانونی، تصمیمات مدیریتی، منابع در دسترس، نیازمندیها و انتظارات ذینفعان در حوزه امنیت اطلاعات و غیره، انجام میشود. بر این اساس، میتوان مشخص کرد که از دیدگاه سازمان، کدام ریسکها پذیرفتنیاند و کدامیک نیستند.
گام دوم: مقابله با ریسک (Risk Treatment)
در این گام، سازمان باید تعیین کند که چه راهبرد و برنامهای برای مواجهه یا مقابله با ریسکهای پذیرفتهنشده دارد. مهمترین خروجی این بخش، طرح مقابله با ریسک (RTP) است. در این طرح، سازمان ضمن اولویتبندی ریسکها، هر یک از اقدامات مدنظر خود را برای مقابله با ریسکها تشریح میکند.
در واقع، سازمان مجموعهای از اقدامات و پروژههای تقابلی را تعریف میکند و برای هریک از آنها منابع مورد نیاز، زمانبندی، مسئول پیگیری و غیره را، همچون هر پروژه استاندارد دیگری، معین میکند.
گام سوم: ارتباط ریسک (Risk Communication)
در همه مراحل فرآیند مدیریت ریسک امنیت اطلاعات، همواره باید ارتباطات را، در حکم عاملی مهم، درنظر داشت. یعنی، در هریک از مراحل این فرآیند، باید ارتباط موثری میان دستاندرکاران ریسک، مشاوران، مدیران ارشد، مالکان دارایی، مالکان ریسک و یا سایر ذینفعان برقرار شود.
برای مثال، در گام ارزیابی ریسک باید همه عوامل نامبرده که نقش پررنگی در تصمیمگیریهای سازمان دارند، مشارکت داشته باشند. از طرفی، مدیران ارشد در تصمیمگیری در مورد بازه و معیار ریسک پذیرفتهشده و همچنین، تایید و اختصاص منابع مکفی به طرحهای مقابله با ریسک، نقشی محوری دارند. این امر فقط از راه ارتباط و درگیری مناسب میان لایههای بالایی سازمان با لایه کارشناسی و عملیاتی در حوزه ریسک، میسر است.
گام چهارم: پایش و کنترل ریسک (Risk Control & Monitoring)
در این گام، بیشترین تمرکز بر روی کنترل و پیگیری طرحهای مقابله با ریسک است. پس در نگاه اول، باید مطمئن شد که اقدامات درنظر گرفتهشده با زمانبندی تعیینشده همخوانی دارند. نیز، باید میزان کاهش ریسک را بر مبنای انتظارات اولیه پایش کرد.
بدینترتیب، باید وضعیت پروژههای RTP را مکرراً از نظر زمانبندی، میزان تاثیر، کیفیت و بهینگی بررسی و پایش کرد و در صورت نیاز به اصلاح موارد، اقدامات اصلاحی لازم را به عمل آورد. این اقدامات میتوانند شامل تغییراتی در نحوه اعمال طرحها، بازبینی سناریوهای ریسک، اختصاص منابع جدید و مواردی از این دست باشند.
گام پنجم: بازنگری ریسک (Risk Review)
چنانکه پیشتر اشاره شد، نگاه پروژهای به مدیریت ریسک، در حکم فرآیندی که یک نقطه شروع و یک نقطه پایان دارد، درست نیست؛ خاصیت چرخهای این فرآیند نشاندهنده یکمرحلهای نبودن آن و بهبود مستمر از ویژگیهای آن است.
به بیان دیگر، اقدامات لازم در فرآیند مدیریت ریسک باید در بازههای زمانی معینی تکرار شوند و از نتایج و تجاربی که در هر مرحله بهدست میآید، در نقش ورودی و بازخورد، در مرحله جدید استفاده شود. نیز، باید بازههای مورد نظر برای بازنگری ریسک، با توجه به شرایط سازمان درنظر گرفته شوند و حداکثر یکساله باشند.
برنامهریزی برای مقابله با ریسک امنیت اطلاعات
برنامهریزی برای مدیریت ریسک امنیت اطلاعات شامل فرآیند توسعه برنامهها برای کم کردن تهدیدها و مقابله با ریسکهایی است که در مرحله ارزیابی ریسک، اولویت بالاتری از سایر ریسکها داشتهاند. در این مرحله از برنامهریزی مدیریت ریسک، توجه حداکثری باید از آن ریسکهایی باشد که مهمتر و تاثیرگذارترند.
برای مقابله با ریسک پروژه معمولاً از روشهای زیر استفاده میشود:
- پیشگیری: برنامهریزی برای اقدامات پیشگیرانه لازم، برای کم کردن احتمال و پیشگیری از وقوع ریسکها.
- کم کردن اثرات مخرب ریسک: چنانچه اقدامات پیشگیرانه اثربخش نباشند، باید به منظور مقابله با اثرات منفی وقوع ریسک و همچنین کنترل تاثیرات آن، برای اجرای کارهای اصلاحی برنامهریزی شود. این برنامه شامل استفاده از طرحهای جایگزین نیز است.
- جذب تاثیرات منفی: برای ریسکهایی که اولویت کمتری دارند و نیز، در مواردی که اقدامات اصلاحی تاثیرات مورد نظر را نداشته باشند، جذب تاثیرات منفی و مقابله با آنها باید در برنامه پیشبینی شده باشد.
برنامه و طرح مدیریت ریسک باید به شکلی تنظیم شود که اولویت و فوریت ریسکها در آن درنظر گرفته شده باشد. همچنین، برای تخصیص منابع و اجرای اقدامات لازم برای مواجهه با ریسکها، باید به بودجه، زمانبندی و برنامهریزیهای دیگر پروژه برای مدیریت ریسک امنیت اطلاعات توجه شود.
اجرای طرح مقابله با ریسک امنیت اطلاعات
طرح مقابله با ریسک باید بسیار دقیق و برنامهریزیشده باشد آنالیز ریسک چیست ؟ و عوامل مهمی که در ادامه برمیشماریم، در اجرای آن، مدنظر قرار گیرند.
۱- متناسب بودن با ریسکها
منطقی نیست که منابع و زمان زیادی را به مقابله با ریسکهایی اختصاص داد که در اولویت پایینتری هستند و یا درجه احتمال وقوعشان کم است. چون این موضوع سبب غفلت از ریسکهای مهمتر میشود و نداشتن توجه کافی به ریسکهای مهم و تاثیرگذار میتواند بسیار خطرآفرین باشد. درنتیجه، برنامهریزی و اختصاص منابع به ریسکها باید با اولویتبندی ریسکهای پروژه و اندازه و اهمیت پروژه آنالیز ریسک چیست ؟ آنالیز ریسک چیست ؟ متناسب باشد.
۲- هزینهمحور بودن
زیادهازحد هزینه کردن برای مقابله با ریسکها، میتواند برای کل پروژه چالشزا باشد. پس در طرح مقابله با ریسک پروژه، باید به مسئله مدیریت هزینه توجهی ویژه کرد.
۳- واقعبینانه بودن
توسعه دادن طرحهای نظری و غیر اجرایی نهتنها سبب اتلاف وقت و منابع میشود، بلکه ممکن است طرح را از مسیر اصلی خود منحرف کند و مشکلات بیشتری را، حتی در مقایسه با نداشتن برنامهریزی، ایجاد کند. در برنامهریزی برای مدیریت ریسک امنیت اطلاعات، لازمه دستیابی به طرحی واقعبینانه، داشتن توجهی ویژه به محدودیتها و پیشفرضها است.
۳- زمانبندی
واضح است که در هر طرحی باید با زمانبندی مشخصی داشت و در اجرای آن باید به زمانبندی موردنظر متعهد ماند.
۴- بانی و مسئول برنامه
در پروژههای بزرگ، طرح مقابله با ریسک امنیت اطلاعات باید دارای بانی و مسئول مشخصی باشد تا بتواند روند طرح را پیگیری و از اجرای درست آن اطمینان حاصل کند. همچنین، ریسکهای مهم باید مسئول معینی داشته باشند تا مسئولیت کلی مدیریت ریسک، تشخیص ریسک پروژه و مقابله با آن، را برعهده بگیرد.
ورودیها و خروجیهای طرح مقابله با ریسک امنیت اطلاعات
- ورودیهای طرح مقابله با ریسکهای پروژه عبارتاند از:
- برنامه کلی مدیریت ریسک؛ بهویژه تعیین کسانی که قرار است مسئولیت توسعه طرح را برعهده داشته باشند؛
- ریسکهایی که احتیاج به برنامه مقابله با ریسک دارند؛ چنانکه پیشتر گفته شد، فقط باید برای ریسکهایی برنامهریزی کرد که در اولویت بالاتری هستند؛
- وابستگی ریسکها؛ منظور همان شاخصههای ریسکها هستند؛ شاخصههایی مانند ریشه و منبع ریسک، علائم و نشانههای وقوع ریسک، تاثیرات و میزان تهدید، احتمال وقوع، زمان احتمال وقوع و حوزه تاثیر؛
- تعیین اولویت و فوریت ریسک؛ به منظور تعیین میزان کاری که باید برای هر ریسک انجام شود و منابع مورد نیاز آن؛
- محدودیتها؛ تعیین محدودیتها در آمادهسازی طرح مقابله با ریسک و اثرات این محدودیتها بر سایر موارد بسیار مهم است. مهمترین محدودیتها در طرح مقابله با ریسک پروژه عبارتاند از:
- بودجه؛
- منابع؛
- زمان (محدودیت زمانی در اجرای طرح مقابله با ریسک)؛
- تغییرات (تغییراتی که بنا به علل گوناگون امکانپذیر نیستند).
خروجیهای طرح مقابله با ریسکهای پروژه عبارتاند از:
در این خروجی، باید برای تمام ریسکهایی که اولویت بالایی دارند، طرح مقابله تهیه شود. ضمناً باید برای هر ریسک، موارد زیر مشخص شده باشند:
- حوزههای پروژه که آنالیز ریسک چیست ؟ ریسک بر روی آنها تاثیر میگذارد؛
- مالک ریسک که میتواند شخص، تیم یا گروه باشد؛
- نشانه و علائم وقوع ریسک؛
- استراتژی مقابله با ریسک (برای مثال، جلوگیری، استفاده از برنامه جایگزین، کم کردن تاثیرات مخرب و …)؛
- طرح مقابله، برای طرحهایی که میتوان در آنها از روشهای مختلف استفاده کرد؛
- بودجه و منابع تخصیص دادهشده به ریسک؛
- زمانبندی برای اجرای برنامه مقابله؛
- برنامههای اضطراری و جایگزین، بهویژه برای ریسکهای با درجه اهمیت بالا.
راه پرداخت بهترین منبع شما برای دانستن هر آنالیز ریسک چیست ؟ چیزی درزمینه فناوریهای مالی (فینتک) است. راه پرداخت به شما کمک میکند در جریان رویدادها و روندهای فینتک ایران و جهان قرار بگیرید. شما در راه پرداخت میتوانید آخرین خبرها و تحلیلهای نویسندگان و تحلیلگران ایرانی و خارجی را مطالعه کنید.
دیدگاه شما