ریسک فناوری اطلاعات (IT Risk)

نسخهٔ تاریخ ‏۲۴ سپتامبر ۲۰۲۱، ساعت ۲۰:۳۲ توسط Wikibadmin (بحث | مشارکت‌ها)
(تفاوت) → نسخهٔ قدیمی‌تر | نمایش نسخهٔ فعلی (تفاوت) | نسخهٔ جدیدتر ← (تفاوت)

مفهوم:

والد:

بعد:

فرزند:


لید

ریسک فن‌آوری اطلاعات هرگونه تهدیدی که برای داده‌های کسب‌وکار، سیستم‌های حیاتی و فرآیندهای کسب‌وکار وجود دارد را دربرمی‌گیرد. این ریسک مرتبط با استفاده، مالکیت، عملیات، مشارکت، اثرگذاری و اقتباس فن‌آوری اطلاعات در درون هر سازمان است. از سوی دیگر، ریسک فن‌آوری اطلاعات، هرگونه تهدید ناشی از نارسایی سخت‌افزاری و نرم‌افزاری، خطاهای انسانی، حملات به امنیت داده و اطلاعات و از این قبیل موارد است که فرآیندهای کسب‌وکار را با خط مواجهه می‌سازد. ریسک‌های فن‌آوری اطلاعات تهدیدات بیشتری را از سه ناحیه از جمله ریسک فنی و عملیاتی، ریسک امنیت داده و اطلاعات و در نهایت ریسک سازمان، پروژه و نیروی انسانی را به سازمان‌ها تحمیل می‌کنند. هدف مدیریت ریسک فن‌آوری اطلاعات، مدیریت ریسک‌های مربوط به ماموریت‌های فن‌آوری اطلاعات است. لذا، مديريت ريسک فن‌آوری اطلاعات در برگیرنده‌ فرآيند‌های شناسایی ريسک، كاهش آن تا سطحی قابل قبول و در نهايت ارزيابی نتايج روی سيستم است.

تعریف به حد

ریسک فن‌آوری اطلاعات یکی از انواع ریسک‌های عملیاتی است و به هرگونه تهدید ناشی از نارسایی سخت‌افزاری و نرم‌افزاری، خطاهای انسانی، حملات به امنیت داده و اطلاعات و از این قبیل موارد گفته می‌شود که داده‌های کسب‌وکار، سیستم‌های حیاتی و فرآیندهای کسب‌وکار را به خطر می‌اندازد. همسویی با کسب‌وکار، هماهنگی و پاسخگویی، گسترش تعاملات و همسویی با ERM از مهم‌ترین اصول مدیریت ریسک فن‌آوری اطلاعات به شمار می‌رود.

وجوه افتراق یا شقوق مختلف

ریسک فن‌آوری اطلاعات در کنار ریسک قوانین، ریسک امنیت، ریسک عدم انطباق و ریسک کنترل عملیات از انواع ریسک‌های عملیاتی تلقی می‌گردد که منجر به تهدید داده‌های کسب‌وکار، سیستم‌های حیاتی و فرآیندهای کسب‌وکار می‌گردد.  ریسک فن‌آوری اطلاعات از لحاظ روش‌های شناسایی، ارزیابی و مدیریت ریسک با سایر ریسک‌های عملیاتی متفاوت می‌باشند. برای اولویت‌بندی و مدیریت ریسک فناوری اطلاعات، مدیران عالی باید چارچوب مرجع و درک روشنی از کارکرد فناوری اطلاعات و ریسک‌های آن داشته باشند. شناسایی ریسک، تخفیف ریسک تا سطحی قابل قبول و در نهایت ارزیابی ریسک از مهم‌ترین گام‌های مدیریت ریسک فن‌آوری اطلاعات به شمار می‌رود.

فهرست مطالب

مقدمه

فن‌آوری اطلاعات بر پایه ریسک چارچوبی است که براساس مجموعه اصول هدایتگر برای مدیریت کارآمد ریسک فن‌آوری اطلاعات قرار دارد. این چارچوب تکمیل‌کننده کوبیت[۱] است که چارچوب جامعی برای حکمرانی و کنترل راه حل‌ها و خدمات کسب و کار محور و فن‌آوری اطلاعات‌بنیان است. درحالی که کوبیت مجموعه‌ای از کنترل‌ها ارائه می‌دهد تا ریسک فن‌آوری اطلاعات تخفیف یابد، فن‌آوری اطلاعات بر پایه ریسک، یک چارچوبی برای شناسایی، نظارت و مدیریت ریسک فن‌آوری اطلاعات فراهم می‌کند. به بیان ساده، COBIT  ابزارهایی برای مدیریت ریسک ارائه می‌دهد و فن‌آوری اطلاعات ریسک، ارائه‌دهنده اهداف است. بنگاه‌های اقتصادی که کوبیت را به عنوان چارچوب حکمرانی فن‌آوری اطلاعات به‌کارگرفته‌اند، می‌توانند از فن‌آوری اطلاعات ریسک برای ارتقای مدیریت ریسک استفاده کنند.

اصول فن‌آوری اطلاعات ریسک

چارچوب فن‌آوری اطلاعات ریسک مرتبط با ریسک فن‌آوری اطلاعات و ریسک کسب و کاری است که در نتیجه استفاده از فن‌آوری اطلاعات حاصل می‌گردد. اصول مربوط به حکمرانی کارآمد شرکتی و مدیریت ریسک فن‌آوری اطلاعات عبارتند از:

  • همیشه به اهداف کسب و کار ارتباط پیدا می‌کند.
  • مدیریت ریسک کسب و کار مرتبط با فن‌آوری اطلاعات را با مدیریت ریسک شرکتی همسو می‌کند (اگر قابل کاربرد باشد)، این در شرایطی است که مدیریت ریسک شرکتی در آن شرکت پیاده می‌شود.
  • هزینه‌ها و منافع مدیریت ریسک فن‌آوری اطلاعات را متوازن می‌سازد.
  • ارتباط منصفانه و علنی ریسک فن‌آوری اطلاعات را ارتقا می‌بخشد.
  • فضای مناسبی را در راستای پاسخگویی و اجرای مسئولیت‌پذیری شخصی برای فعالیت در سطوح تحمل‌پذیر قابل قبول و کاملا مشخص شده، فراهم می‌نماید.
  • فرآیندی پیوسته و بخشی از فعالیت‌های روزانه است.

مدیریت و شناخت ریسک فن‌آوری اطلاعات

مدیریت ریسک فن‌آوری اطلاعات فرایندی است که مدیران فن‌آوری اطلاعات انجام می‌دهند و به آنها اجازه می‌دهد هزینه‌های اقتصادی و عملیاتی مرتبط را با استفاده از تمهیدات حمایتی متوازن کنند. به این ترتیب منافع اسمی در توانایی حاصل از حمایت کردن داده‌ها و سامانه‌های اطلاعاتی که از عملیات سازمان پشتیبانی می‌کند، عاید می‌شود.

در قاعده کلی، ریسک را حاصل احتمال وقوع و یا تاثیری که می تواند داشته باشد تعریف می‌کنیم. اما در فناوری اطلاعات، ریسک را حاصل‌ضرب ارزش دارایی، میزان آسیب‌پذیری سامانه در مقابل آن ریسک و تهدیدی که به سازمان وارد می‌شود، تعریف می‌کنیم. گام‌های مهم جهت مدیریت ریسک‌های فناوری اطلاعات به شرح زیر است:

  • ارزیابی ریسک: ریسک‌های شناسایی‌شده، از نظر شدت ریسک ارزیابی می‌گردد.
  • تخفیف ریسک: تمهیدات متقابلی به اجرا در می‌آید تا تاثیر ریسک‌های خاص را کاهش دهد.
  • ارزشیابی و ارزیابی ریسک: در انتهای یک پروژه، کارآمدی تمهیدات متقابل (همراه با اثربخشی هزینه‌ای آنها) ارزشیابی می‌شود. براساس نتایج، اقداماتی برای بهبود، تغییر یا همراهی با برنامه‌های جاری انجام خواهد شد.

برای اولویت‌بندی و مدیریت ریسک فناوری اطلاعات، مدیران عالی باید چارچوب مرجع و درک روشنی از کارکرد فناوری اطلاعات و ریسک فناوری اطلاعات داشته باشند. اما ذی‌نفعان اصلی بنگاه، شامل اعضای هیات مدیره و مدیریت اجرایی، یعنی کسانی که باید برای مدیریت ریسک درون بنگاه پاسخگو باشند اغلب درک و شناخت کاملی ندارند. ریسک فناوری اطلاعات صرفا یک موضوع فنی نیست و کارشناسان حوزه فناوری اطلاعات به درک و مدیریت جنبه‌هایی از ریسک فناوری اطلاعات کمک می کنند. مدیران کسب و کار تعیین می‌کنند که فناوری اطلاعات باید چه کارهایی انجام دهد تا از کسب و کار آنها پشتیبانی کند؛ آنها اهدافی برای فناوری اطلاعات تعیین می‌کنند و در برابر مدیریت ریسک‌های مربوطه پاسخگو هستند. چارچوب فناوری اطلاعات ریسک، ریسک فناوری اطلاعات را تبیین می‌کند، به بنگاه اجازه می‌دهد تا با آگاهی از ریسک، تصمیمات مناسبی بگیرد و کاربران را قادر خواهد کرد تا عملیات زیر را انجام دهند:

  • مدیریت ریسک فناوری اطلاعات را در مدیریت ریسک بنگاه[۲] (ERM) مربوط به سازمان ادغام کنند.
  • تصمیمات کاملا آگاهانه درباره دامنه ریسک، اشتهای ریسک و تحمل ریسک بنگاه بگیرند.
  • چگونگی واکنش نشان‌دادن به ریسک را درک کنند.

به طور خلاصه، این چارچوب، بنگاه‌ها را قادر خواهد کرد انواع ریسک معنادار فناوری اطلاعات را درک و مدیریت کنند. چارچوب فناوری اطلاعات ریسک یک نگاه جامع سراسری از همه ریسک‌های مرتبط با استفاده از فناوری اطلاعات، همچنین نگاه مشابه مدیریت ریسک ارائه می‌دهد. این چارچوب شکاف بین چارچوب‌های مدیریت ریسک عمومی مانند چارچوب کوزو[۳] و چارچوب‌های مدیریت ریسک فناوری اطلاعات مرتبط (عمدتا مرتبط با امنیت) را پر می‌کند.

روش‌شناسی مدیریت ریسک فناوری اطلاعات

اصطلاح روش‌شناسی به معنای مجموع اصول و قواعد سازمان یافته‌ای است که عملیات مورد نیاز را در یک حوزه خاصی از دانش پیش می‌برد. روش‌شناسی روش‌های معینی را توصیف نمی‌کند؛ اما چندین فرایند را تصریح می‌کند که باید از آنها پیروی نمود. این فرایندها می‌تواند به زیربخش‌های مختلف تقسیم شوند، ممکن است ترکیب شوند یا توالی آنها تغییر کند. یک مدیریت ریسک باید این فرایندها را به هر شکل ممکن انجام دهد. جدول زیر راهنمای کاربردی فناوری اطلاعات ریسک و فرایندهای دیده شده توسط سه استاندارد مشهور را مقایسه می‌کند.

فرایند تشکیل‌دهنده مدیریت ریسک
فناوری اطلاعات ریسک ISO/IEC 27005:2008 BS 7799-3:2006 NIST SP 800-39
دامنه‌های RG و RE
  • RG1.2 پیشنهاد تحمل ریسک IT ،
  • RG2.1 ایجاد مسئولیت برای مدیریت ریسک فناوری اطلاعات
  • RG2.3 سازگاری روش‌های ریسک فناوری اطلاعات با روش‌های ریسک سازمانی،
  • RG2.4 منابع کافی برای مدیریت ریسک فناوری اطلاعات فراهم می‌کند
  • RE2.1 دامنه تجزیه و تحلیل خطر IT را تعریف می‌کند
برقراری بستر بستر سازمانی چارچوب
یند RE2 شامل موارد زیر است:
  • RE2.1 دامنه تجزیه و تحلیل ریسک IT را تعریف می‌کند.
  • RE2.2 ریسک IT را تخمین می‌زند.
  • RE2.3 گزینه‌های پاسخ به ریسک را شناسایی می‌کند.
  • RE2.4 یک بررسی همکار از تجزیه و تحلیل ریسک IT انجام می‌دهد.

به طور کلی، عناصری که در فرآیند ISO 27005 شرح داده شده‌اند ، همه در ریسک IT گنجانده شده‌اند. با این حال ، برخی از آنها متفاوت ایجاد و نامگذاری شده‌اند.

ارزیابی ارزیابی ریسک ارزیابی
  • RE 2.3 گزینه‌های پاسخ به ریسک را شناسایی می‌کند
  • RR2.3 به ریسک و فرصت کشف شده پاسخ می‌دهد
برخورد با ریسک برخورد با ریسک و تصمیم گیری مدیریت واکنش نشان دادن
RG3.4 ریسک IT را می‌پذیرد پذیرش ریسک
  • RG1.5 فرهنگ آگاهی از ریسک IT را ارتقا می‌دهد
  • RG1.6 ارتباط موثر در مورد ریسک IT را تقویت می‌کند
  • RE3.6 توسعه شاخص‌های ریسک IT.
ارتباطات ریسک فعالیت‌های مدیریت ریسک در جریان
  • RG2 با ERM ادغام می‌شود.
  • RE2.4 یک بررسی همکار از تجزیه و تحلیل ریسک IT را انجام می‌دهد.
  • RG2.5 اطمینان مدیریت مستقیمی نسبت به مدیریت ریسک فناوری اطلاعات ارائه می‌دهد
پایش و مرور ریسک پایش

مدیریت ریسک کارآمد باید با  چرخه زندگی توسعه سامانه‌ها ادغام شود و تحلیل ریسک اطلاعات که در درخواست‌ها، نصب رایانه، شبکه‌ها و سامانه‌های تحت توسعه انجام می‌شود بایستی با استفاده از روش‌شناسی‌های ساختارمند به اجرا درآید.

تخفیف ریسک

تخفیف ریسک، دومین فرایند مطابق با NIST SP 800-30  و سومین فرآیند مطابق با ایزو 27005 مدیریت ریسک، مستلزم اولویت‌بندی، ارزشیابی و اجرای کنترل‌های مناسب کاهش ریسک است که از فرایند ارزیابی ریسک توصیه می‌شود. چون حذف همه ریسک‌ها معمولا غیرعملی یا نزدیک به ناممکن است، این مسئولیت مدیریت عالی و مدیران کارکردی و تجاری است که از رویکرد کمترین هزینه استفاده کنند و مناسب‌ترین کنترل‌ها را برای کاهش ریسک به سطح قابل قبول با کمترین اثر مغایر بر منابع و ماموریت سامان اجرا کنند.

چارچوب ISO 27005  

هدف از فرایند برخورد با ریسک، انتخاب اقدامات امنیتی است تا ریسک را کاهش دهد، حفظ کند، ممانعت نماید و یا انتقال دهد. فهرست‌های مختلفی برای انتخاب اقدامات امنیتی مناسب وجود دارد اما این مسأله به سازمان مربوط است تا مناسب‌ترین مورد را مطابق با راهبرد کسب و کار، محدودیت‌های محیط و شرایط خود انتخاب کند. این انتخاب باید عقلایی و مستند باشد. اهمیت پذیرش یک ریسک که کاهش دادن آن خیلی پرهزینه است بسیار زیاد است و به این واقعیت منجر می‌شود که پذیرش ریسک یک فرایند جداگانه تلقی گردد.

انتقال ریسک در جایی بکار می‌رود که ریسک اثر خیلی بالایی دارد و کاهش قابل توجه آن با استفاده از کنترل های امنیتی آسان نیست. پاداش یا حق بیمه‌ باید در برابر هزینه‌های تخفیف ریسک مقایسه شود. در نهایت برخی از استراتژی‌های ترکیبی را ارزیابی می‌کنیم تا بخشی از ریسک را درمان کنیم. گزینه دیگر برون‌سپاری ریسک به کسی است که ریسک را به نحو کاراتر مدیریت می‌کند.

اجتناب از ریسک به هر اقدامی گفته می‌شود که روش‌های انجام کسب و کار تغییر می‌دهد تا از وقوع هر گونه ریسک جلوگیری شود. برای مثال، انتخاب ذخیره نکردن اطلاعات حساس درباره مشتریان می‌تواند یک خودداری از این ریسک باشد که امکان به سرقت رفتن داده‌های مشتریان وجود دارد.

ریسک‌های باقی‌مانده[۴] یعنی ریسک‌هایی که پس از تصمیم‌گیری برای درمان ریسک باقی‌ می‌ماند. لذا باید اطمینان حاصل شود که حمایت کافی حاصل شده است. اگر ریسک پسماند قابل قبول نباشد فرایند برخورد با ریسک باید تکرار شود.

جستارهای وابسته

  • ریسک عملیاتی
  • ریسک قوانین
  • ریسک امنیت
  • ریسک عدم انطباق
  • ریسک کنترل عملیات

پانویس/ پاورقی

  1. Control Objectives for Information & related Technology (COBIT)
  2. enterprise risk management (ERM)
  3. COSO ERM  
  4. The residual risks

منابع

  • Feringa, Alexis; Goguen, Alice; Stoneburner, Gary (1 July 2002). "Risk Management Guide for Information Technology Systems" – via csrc.nist.gov.
  • ISO/IEC, "Information technology -- Security techniques-Information security risk management" ISO/IEC FIDIS 27005:2008
  • Katsicas, Sokratis K. (2009). "35". In Vacca, John (ed.). Computer and Information Security Handbook. Morgan Kaufmann Publications. Elsevier Inc. p. 605. ISBN 978-0-12-374354-1.
  • The Risk IT Practitioner Guide, Appendix 3 ISACA ISBN 978-1-60420-116-1(registration required)
  • w w w . i s a c a . o r g / r i s k i t

پیوند به بیرون

الگوهای ناوبری

رده