انتخاب یک رویکرد مناسب برای ارزیابی ریسک امنیت اطلاعات

هدف از هرگونه ارزیابی ریسک چه به صورت یک پروژه مستقل و یا در قالب استقرار استانداردهای GRC نظیر پیاده سازی سیستم مدیریت امنیت اطلاعات مطابق با استاندارد ISO 27001  این است که مدیران ارشد سازمان و مالکین دارایی ها بتوانند با استفاده از بهترین اطلاعات ممکن در خصوص احتمال از دست رفتن داده ها آگاه شوند. در نتیجه، دو نکته حائز اهمیت وجود دارد، نخست آن که تصمیم گیرندگان سازمان روش ارزیابی ریسک مورد استفاده را بپذیرند و دیگر اینکه نتایج حاصل از ارزیابی ریسک به شکلی مفید و قابل استفاده، ارائه گردد.

امروزه روش های ارزیابی ریسک متعددی وجود دارد و وظیفه اصلی سازمان تشخیص این است که کدام یک از روش ها استفاده شود. از آنجا که سازمان برای هر کدام از آن روش ها هزینه ای را صرف خواهد نمود لذا این امر ضروری است که روش انتخاب شده مطابق با الزامات سازمان و منطبق بر استاندارد مدیریت ریسک باشد. اگر معیارهای مورد استفاده برای همه روشهای ارزیابی ریسک قابل اجرا باشند، سازمانها می توانند تمامی معیارهای ممکن را برای مشاهده عینی، و تصمیم به استفاده از بهترین روش، ارزیابی کنند. در این مقاله رویکردهای متداول ارزیابی ریسک را مورد بررسی قرار می دهیم.

چندین نوع مختلف و متفاوت از رویکردهای ارزیابی ریسک وجود دارد که می توان آنها را به دو نوع اساسی تقسیم نمود: ارزیابی کمی و ارزیابی کیفی.

ارزیابی کمی ریسک:

این رویکرد از دو عنصر اساسی استفاده می کند: احتمال یک رویداد در حال وقوع و زیان یا ضرری که ممکن است متحمل شود.

در واقع روش ارزیابی کمی ریسک از یک عدد تولید شده از دو عنصر فوق استفاده می کند. این مقدار «نرخ سالیانه از دست دادن موردانتظار» یا «هزینه سالیانه برآورد شده» نامیده می شود. این عدد را برای یک رویداد می توان با استفاده از یک ضرب ساده و احتمال  بالقوه از دست دادن اطلاعات، محاسبه نمود. بنابراین در این رویکرد، می توان رویدادها را به ترتیب ریسک آنها(عدد نرخ سالیانه موردانتظار) رتبه بندی نموده و بر این اساس تصمیم گیری کرد.

مشکلی که در خصوص این نوع روش ارزیابی ریسک وجود دارد مربوط به عدم اطمینان و عدم صحت اطلاعات است. به این دلیل که احتمالات به ندرت می توانند دقیق باشند و در بعضی موارد ممکن است این احتمال  با دید مثبت(و نه بر اساس مقدار واقعی آن) در نظر گرفته شود. علاوه بر این، مراحل کنترل و اقدام برای یک رویداد بالقوه، اغلب با رویدادهای مرتبط دیگری همراه است. لذا برآورد تعداد و ترتیب رویدادها و احتمال وقوع آنها بسیار دشوار بوده و ممکن است عدم صحت اطلاعات را در پی داشته باشد.

ارزیابی کیفی ریسک:

روش کیفی  میزان توان بالقوه ی اثر تهدید را با سه عنوان  کم، متوسط و زیاد امتیازدهی می کند. در واقع روش های کیفی متداول ترین روش اندازه گیری اثر ریسک هستند. این روش اجازه می دهد که تمام اثرات ریسک، اعم از اثرات محسوس و نامحسوس ارزیابی شوند. روش کیفی از چندین عنصر مرتبط و به هم پیوسته مانند تهدیدات، آسیب پذیری ها و کنترل ها استفاده می کند.

چارچوب مناسب برای مقایسه روش های ارزیابی ریسک:

ارزیابی ریسک شامل فرایندهایی مانند شناسایی فعالیت ها و دارایی ها، ارزش گذاری دارایی ها، ارزیابی تهدیدها و ارزیابی آسیب پذیری ها و تضمین آنها است. روش های متعددی برای این ارزیابی وجود دارد که از میان آنها می توان به مقایسه همسان نمودارهای وابستگی، جداول تخصیص تابع-دارایی و فعالیت ها اشاره نمود. سایر روش های طراحی شده برای امنیت اطلاعات بر شناسایی و ارزیابی آسیب پذیری های سیستم و نیز تشخیص اقدام متقابل برای آن آسیب پذیری ها متمرکز هستند. یک چارچوب ریسک رسمی می تواند یک ابزار مفید برای مدیریت ریسک باشد. در چنین چارچوبی، ریسک ها با ترجیح برآوردها، تخمین عواقب رویدادهای نامطلوب، پیش بینی احتمال آن رویدادها، و با توجه به مزایای دوره های مختلف اقدامات ارزیابی می شوند.

در مقاله بعدی به معرفی روش های ارزیابی ریسک امنیت اطلاعات و مقایسه آنها با یکدیگر خواهیم پرداخت.