الأمن ++: عمليات ومفاهيم إدارة المخاطر

الأمن ++: عمليات ومفاهيم إدارة المخاطر
عملية إدارة المخاطر هي نهج منظم لإدارة المخاطر في المؤسسات. وبتطبيقها باستمرار، فإنها تسمح بتحديد المخاطر وتحليلها وتقييمها وإدارتها بطريقة موحدة وفعالة ومركزة. تعد إدارة المخاطر جزءًا أساسيًا من الأمن السيبراني، ولهذا السبب يتم تغطيتها في شهادة CompTIA Security+، وهي أكثر شهادات الأمن السيبراني شيوعًا للمبتدئين.
تتم تغطية إدارة المخاطر في عدة مجالات في اختبار +CompTIA Security+. وتوجد المفاهيم الرئيسية في مجال واحد فقط من مجالات اختبار +Security+ Security. وهو المجال 5: إدارة البرامج الأمنية والإشراف عليها. الهدفان الأساسيان هما
الهدف 5.2: شرح العمليات المرتبطة بتقييم المخاطر الخارجية وإدارتها.
الهدف 5.3: الهدف 5.3: تلخيص عناصر الامتثال الأمني الفعال.
تابع القراءة لمعرفة المزيد عن المفاهيم الرئيسية لإدارة المخاطر. للمزيد من المعلومات حول اختبار + Security+، قم بتنزيل كتابنا الإلكتروني المجاني Security+ أو استكشف المعسكر التدريبي على اختبار + Security+ من SPOTO.
كن محلل مركز العمليات الأمنية: احصل على شهادة +Security+!
ستكون هناك حاجة إلى أكثر من 47,000 محلل جديد لمركز العمليات الأمنية بحلول عام 2030. احصل على شهادة +ComTIA Security+ لتقفز إلى هذا المجال سريع النمو – مدعومًا بضمان النجاح في الاختبار.
كن محلل مركز العمليات الأمنية: احصل على شهادة +SOC: احصل على شهادة +Security!
ستكون هناك حاجة إلى أكثر من 47,000 محلل جديد في مركز العمليات الأمنية بحلول عام 2030. احصل على شهادة CompTIA Security+ لتقفز إلى هذا المجال سريع النمو – مدعومًا بضمان النجاح في الامتحان.
فهم سياق إدارة المخاطر
يُعد تقييم المخاطر واستراتيجيات التخفيف من حدتها جزءًا من إدارة المخاطر في العديد من المؤسسات في جميع أنحاء العالم. ويمثل هذا النهج جزءًا مهمًا من العمل في الأفق الأمني، حيث يتضمن تحديد وتقييم المخاطر المحتملة وتأثيرها. تتضمن عملية تقييم المخاطر جلسات عصف ذهني، حيث يُطلب من الفريق إعداد قائمة بكل ما يمكن أن يحدث من أخطاء.
هناك ثلاثة مفاهيم مهمة يجب أخذها في الاعتبار عند تقييم المخاطر:
السياق الخارجي هو البيئة التي يعمل فيها الكيان (نوع الشركات، مثل الشركات الثقافية والمالية والسياسية) والتأثير المحتمل الذي يمكن أن ينتج عن المخاطر.
السياق الداخلي يشمل العوامل داخل الكيان ذات الصلة بتقييم المخاطر، مثل الأهداف والاستراتيجية والقدرات التنظيمية والثقافة وغيرها.
أما سياق إدارة المخاطر فهو أهداف وغايات نشاط إدارة المخاطر، مثل تحديد الجهة المسؤولة عن كل عنصر وما هو في نطاقه.
مفاهيم إدارة المخاطر
يصف هذا القسم بعض المفاهيم الأكثر شهرة في إدارة المخاطر، والتي تتبناها شركات تكنولوجيا المعلومات والمتخصصين في أمن المعلومات.
تحديد المخاطر
الهدف الرئيسي من تحديد المخاطر هو التعرف على جميع المخاطر المحتملة، وليس استبعاد المخاطر من التحليل أو وضع حلول لتخفيف المخاطر (لأن هذه الوظائف يتم تنفيذها خلال خطوات معالجة المخاطر وتخفيفها). عادةً ما تتضمن العملية المنضبطة استخدام قوائم تدقيق للمخاطر المحتملة وتقييم احتمالية وقوع تلك الأحداث. على سبيل المثال، تقوم بعض الشركات بتطوير قوائم مراجعة للمخاطر بناءً على الخبرة المكتسبة من الحوادث والمشاريع السابقة.
يمكن أن تقوم الأنشطة التالية بتحديد المخاطر
تحديد الأصول: أي شيء له قيمة بالنسبة للمؤسسة وبالتالي يتطلب الحماية (برمجيات أو أجهزة) – الشبكة والموقع الإلكتروني والبنية التحتية للمؤسسة والعمليات التجارية وخوادم الويب وأجهزة الكمبيوتر والأجهزة المحمولة وغيرها
تحديد التهديدات: سرقة الوسائط أو المستندات، التلاعب بالأجهزة والبرمجيات، التنصت، عطل البرمجيات وغيرها
تحديد الضوابط الحالية: تكاليف العمل، خطة أمن البنية التحتية – بشكل عام، إنها فرصة للتحقق من أن الضوابط تعمل بشكل صحيح (مثل المعلومات التي تم الحصول عليها من عمليات التدقيق السابقة)
تحديد نقاط الضعف: من خلال عمليات التدقيق الخماسية ومراجعة التعليمات البرمجية وإجراءات الإدارة وما إلى ذلك
تحديد العواقب: يجب تحديد الأضرار أو العواقب التي يمكن أن يسببها سيناريو الحادث للمؤسسة
تحليل المخاطر
يقوم تحليل المخاطر بتحديد الاحتمالية الإحصائية لتأثير خطر معين وتكرار حدوثه بعد ذلك. وباستخدام الجمع بين هذين العاملين، يمكن للمرء أن يحدد شدة الخطر، والتي قد تكون إما إيجابية أو سلبية.
على الرغم من وجود العديد من الطرق لحساب المخاطر، إلا أن هناك شكل عام يستند إلى مصفوفة تسمى خريطة حرارة المخاطر. وهي طريقة مرئية لتمثيل المخاطر، وعادةً ما يركز أحد محوريها على الاحتمالية والآخر على التأثير. وهي توفر للمؤسسات طريقة لتحديد الأحداث الأكثر احتمالاً وتأثيراً مقابل الأحداث التي قد تكون شديدة ولكن ليس من المحتمل أو محتملة ولكن ليست شديدة.
تقييم المخاطر
يسمح تقييم المخاطر بتحديد مدى إمكانية تحمل كل خطر. وتجدر الإشارة إلى أن قابلية التحمل تختلف عن الشدة. تسمح القدرة على التحمل بتحديد المخاطر التي تحتاج إلى علاج والأولوية النسبية. يمكن تحقيق ذلك من خلال مقارنة شدة المخاطر المحددة في خطوة تحليل المخاطر مع معايير المخاطر الموجودة بشكل عام في معايير النتائج المحددة بالفعل في الجدول أعلاه.
معالجة المخاطر والحد من المخاطر
بمجرد تحديد المخاطر المحددة، ينبغي وضع خطة لتخفيف المخاطر. هذه خطة لتقليل واحتواء تأثير حدث غير متوقع.
يمكن تجميع المخاطر في فئات مختلفة:
ينطوي تجنب المخاطر على تطوير استراتيجيات بديلة ذات احتمالية نجاح أعلى ولكن بتكلفة أعلى.
تتضمن الشراكة في المخاطر العمل مع الآخرين للتخفيف من المخاطر.
تخفيف المخاطر هو استثمار الأموال للحد من المخاطر المحددة.
أما نقل المخاطر فهو طريقة للحد من المخاطر تقوم بتحويل المخاطر إلى طرف آخر.
التواصل والتشاور
التواصل بشأن المخاطر هو عملية تتفاعل بشكل ثنائي الاتجاه مع جميع العمليات الأخرى لإدارة المخاطر. ويعتبر التواصل والتشاور سمة أساسية للإدارة الجيدة للمخاطر. لا يمكن التحكم في إدارة المخاطر وإدارتها في بيئة معزولة – فهي في الأساس تواصلية واستشارية.
التواصل الجيد بشأن المخاطر
يشجع على مشاركة أصحاب المصلحة والمساءلة
يجب استخدامها بشكل كامل
يفي بمتطلبات جميع الأطراف الداخلية وأصحاب المصلحة المشاركين في العملية
يسمح بإشراك آراء الخبراء
يسمح بإبلاغ عمليات الكيانات الأخرى، مثل التخطيط المؤسسي وتخصيص الموارد
المراقبة والمراجعة
يمثل ذلك عملية مستمرة حيث تتم مراقبة الضوابط الأمنية بشكل مستمر. يمكن أن تتغير متطلبات العمل ونقاط الضعف والتهديدات باستمرار. يمكن أن تكون المراقبة والمراجعة دورية وتستند إلى الأحداث المحفزة أو الظروف المتغيرة.
وبهذا المعنى، يمكن أن تشمل الأهداف الرئيسية لرصد المخاطر ومراجعتها ما يلي:
التغييرات في مشهد التهديدات السيبرانية
القدرة على تحديد أنواع وأنواع جديدة من الهجمات والتهديدات السيبرانية
الحفاظ على موقف استباقي في بيئة المخاطر السيبرانية
تحليل وتعلم الدروس المستفادة من الأحداث، بما في ذلك الحوادث الوشيكة والنجاحات والإخفاقات
من المهم ملاحظة أنه يجب توثيق أي تحديثات أو مراجعات أو تعديلات يتم إجراؤها على عملية إدارة المخاطر والاحتفاظ بسجل إصدارات. عمليات إدارة المخاطر أمر بالغ الأهمية لأفق أمن الأعمال.
لمعرفة المزيد عن شهادة + Security+، راجع مركز شهادة + Security+.