مراحل مدیریت ریسک امنیت اطلاعات و استراتژیهای برخورد؛ قانون 4T

  • نویسنده: میلاد یداللهی
  • تاریخ انتشار: چهارشنبه ، ۲۰ دی ماه ۹۶
  • تعداد بازدید: 3248
  • تعداد نظرها: 0
  • دسته بندی: مدیریت ریسک

در فرآیند مدیریت ریسک امنیت اطلاعات، پس از اجرای مراحلی چون شناسایی، تحلیل و آنالیز ریسک که به طور کلی در یک دسته کلان‌تر با عنوان ارزیابی ریسک قرار می گیرند می بایست چگونگی و استراتژی برخورد با ریسک های کشف شده را معین نماییم. خروجی حاصل از مرحله ارزیابی ریسک شامل سناریوهای ریسکی هستند که در محدوده های متفاوتی نظیر قابل قبول و یا غیرقابل قبول برای سازمان دسته بندی می‌شوند. اما سوال اینجاست که با ریسک های غیرقابل قبول چه باید کرد؟ آیا سازمان باید برای تمامی آنها از طرح های کاهش ریسک استفاده نماید؟ گزینه های پیش رو چیست؟ در  مقالات پیشین سعی کردیم در مرحله اول چگونگی انتخاب یک رویکرد مناسب برای ارزیابی ریسک امنیت اطلاعات را بررسی نموده و در بخشی دیگر به بررسی الزامات مدیریت ریسک امنیت اطلاعات بر اساس استاندارد ISO/IEC 27005:2011 بپردازیم. حال در این مقاله سعی میکنیم ضمن معرفی و تشریح گام ها و مراحل عملیاتی فرآیند مدیریت ریسک، به بررسی روش ها و استراتژی های قابل اتخاذ برای سازمان در مواجهه با ریسک های امنیت اطلاعات در مرحله تدوین طرح مقابله با ریسک ها RTP یا Risk Treatment Plan و معرفی قانون 4T در این حوزه بپردازیم.

 معرفی مراحل و فرآیند مدیریت ریسک امنیت اطلاعات

در خصوص فرآیند مدیریت ریسک یا مخاطرات امنیت اطلاعات، روش ها و متدولوژی‌های بسیاری وجود دارد که هر یک با توجه به رویکرد مدنظر خود، گام هایی را برای انجام روند ارزیابی و مقابله با ریسک تعریف می نمایند. اما در عمده این روش ها برخی اصول و مفاهیم پایه یکسان درنظر گرفته می شود. شکل زیر مراحل مختلف این فرآیند که معمولا به صورت مشترک در متدهای معتبر مدیریت ریسک امنیت اطلاعات دیده می شوند را نشان می دهد.

 

 

همان طور که در شکل بالا مشاهده می شود این فرآیند از دو مرحله اصلی ارزیابی و مقابله با ریسک تشکیل شده است. از سوی دیگر مواردی چون ارتباطات ریسکی و همچنین پایش و بازنگری آن اجزای جدایی ناپذیر این روند محسوب می شوند. نکته ای که در این خصوص به چشم می خورد خاصیت چرخه ای این فرآیند است که نشان دهنده یک مرحله‌ای نبودن این روند و ماهیت بهبود مستمر درآن است. در ادامه به معرفی هر یک از این گام ها می پردازیم.

 

ارزیابی ریسک (Risk Assessment)

به طور کلی فعالیت های مربوط با مدیریت ریسک با شروع از این قسمت آغاز می گردد. در واقع این مرحله، خود شامل دو زیربخش با نام های آنالیز (تحلیل) ریسک و سنجش ریسک می باشد که در ادامه آنها را تعریف می نماییم.

 

  • آنالیز یا تحلیل ریسک (Risk Analysis)

یک تعریف ساده برای این عنوان به صورت "استفاده نظام‌مند از اطلاعات برای شناسایی و تخمین ریسک (Risk Estimation)" قابل ارائه می باشد. در واقع تمامی فعالیت های مربوط به شناسایی، دسته بندی و ارزش گذاری دارایی های اطلاعاتی از یک سو و همچنین شناسایی سناریوهای ریسکی که معمولا از نگاشت میان آسیب پذیری ها و تهدیدات حاصل می شوند از سوی دیگر را می توان در این مرحله درنظر گرفت. اما علاوه بر شناسایی موارد فوق می بایست مقادیر مناسب با توجه به متدولوژی مورد استفاده به المان های مختلف مذکور اختصاص پیدا نمایند تا بتوان دو مفهوم اساسی یعنی احتمال وقوع و اثرات و تبعات ریسک را محاسبه نمود. (یا به اصطلاح ریسک را تخمین زد)

 

  • سنجش ریسک (Risk Evaluation)

 فرآیند مقایسه ریسک تخمین زده شده به عنوان خروجی مرحله قبل با معیارهای ریسک سازمان، به‌منظور تعیین میزان اهمیت ریسک را سنجش ریسک می نامند. در واقع برای اینکه متوجه شویم سازمان چگونه به نتایج حاصل از محاسبات و تحلیل ریسک می نگرد، باید ابتدا معیارهایی را برای پذیرش یا عدم پذیرش ریسک تعیین نماییم. این معیار که ممکن است برحسب متدولوژی ارزیابی ریسک به صورت عددی، خطی و یا ماتریسی تعریف شود، با استفاده از ورودی هایی چون الزامات حقوقی و قانونی، تصمیمات مدیریتی، منابع دردسترس، نیازمندی ها و انتظارات ذی‌نفعان در حوزه امنیت اطلاعات و غیره، توسط سازمان تعیین می گردد. بر این اساس می توان ریسک های قابل قبول (پذیرش) و غیرقابل قبول  (عدم پذیرش)از منظر سازمان را از یکدیگر جدا نمود.

 

مقابله با ریسک (Risk Treatment)

در این مرحله سازمان می بایست استراتژی و برنامه خود برای برخورد و مقابله با ریسک های پذیرش نشده را تعیین نماید. مهمترین خروجی این بخش طرح مقابله با ریسک (RTP) می باشد که در آن سازمان ضمن اولویت بندی ریسک ها، هر یک از اقدامات مدنظر خود را به منظور مقابله با آنها تشریح می کند. در واقع در این طرح سازمان مجموعه ای از اقدامات و پروژه های تقابلی را تعریف نموده و مواردی همچون منابع مورد نیاز، زمان بندی، مسئول پیگیری و غیره را همچون هر پروژه استاندارد به آنها اختصاص می دهد.

 

ارتباط ریسک (Risk Comunication)

مسئله ارتباطات در تمامی مراحل فرآیند مدیریت ریسک به عنوان یک المان مهم می بایست مدنظر قرار گیرد. در واقع در هر یک از مراحل این فرآیند باید ارتباط موثر میان دست اندرکاران ریسک، مشاوران، مدیریت ارشد، مالکین دارایی، مالکین ریسک و یا سایر ذی نفعان برقرار گردد. به عنوان مثال در مراحل شناسایی ریسک می بایست از پنل های تصمیم گیری متشکل از ماهیت های ذکرشده استفاده نمود. از طرفی نقش مدیریت ارشد در تصمیم گیری در خصوص بازه و معیار ریسک قابل پذیرش و همچنین تایید و اختصاص منابع مکفی به طرح های مقابله با ریسک محوری است که تنها از طریق ارتباط و درگیری مناسب میان لایه های بالایی سازمان با سطوح کارشناسی و عملیاتی در حوزه ریسک میسر است.

 

پایش و کنترل ریسک (Risk Control & Monitoring)

تمرکز اصلی در این بخش بیشتر بر روی کنترل و پیگیری طرح های مقابله با ریسک می باشد. در واقع در این قسمت سعی می کنیم در نگاه اول از انجام فعالیت های درنظر گرفته شده مطابق با زمان بندی تعیین شده اطمینان حاصل نماییم و از طرفی میزان کاهش ریسک را مطابق با انتظارات اولیه پایش کنیم. بدین ترتیب باید به صورت مستمر وضعیت پروژه های RTP را از منظر زمان بندی، میزان تاثیر، کیفیت و بهینگی مورد بررسی و پایش قرار داده و اقدامات مقتضی را مبنی بر اصلاح موارد و یا در نظر گرفتن اقدامات اصلاحی اعمال نماییم. این اقدامات می توانند شامل تغییراتی در نحوه انجام طرح ها، بازبینی سناریوهای ریسک، اختصاص منابع جدید و غیره شوند.

 

بازنگری ریسک (Risk Review)

همان طور که قبلا اشاره شد نگاه پروژه ای به مدیریت ریسک (به عنوان فرآیندی دارای  زمان شروع و پایان) صحیح نیست و خاصیت چرخه ای این فرآیند نشان دهنده یک مرحله نبودن این روند و ماهیت بهبود مستمر درآن است. در واقع فعالیت های معرفی شده باید در بازه های زمانی تعیین شده تکرار شده و نتایج و تجارب حاصله از هر مرحله تکرار، به عنوان ورودی و بازخورد در مرحله جدید مورد استفاده قرار گیرد. بازه های مورد نظر برای بازنگری ریسک نیز باید با توجه به شرایط سازمان و در بازه های حداکثر یک ساله انجام گردد. 

 

استراتژی های مواجهه با ریسک امنیت اطلاعات (قانون 4T)

انتخاب یک استراتژی و رویکرد مناسب برای مواجهه با ریسک های شناسایی شده به عنوان اولین فعالیت محوری در طرح مقابله با ریسک (RTP) محسوب می گردد. اما به طور کلی فارغ از نوع ریسک که می تواند در حوزه های مختلف نظیر امنیت اطلاعات، شناسایی و محاسبه شده باشد، 4 رویکرد اصلی که در ادامه به تشریح آنها می پردازیم، در پیش روی سازمان وجود دارد. برای درک بهتر هر یک از رویکردهای مواحهه با ریسک در قانون 4T از یک مثال و سناریوی ریسک فرضی استفاده می کنیم که نحوه برخورد با آن را از منظر هر یک از رویکردها در هر بخش توضیح خواهیم داد. مثال به این ترتیب است که فرض نمایید یک سازمان دارای یک شبکه بیسیم است که دائما مورد هجوم و حمله از سوی مهاجمین و هکرها قرار می گیرد و می خواهیم استراتژی برخورد با ریسک را برای آن در خصوص این سناریوی خاص تعیین نماییم.

 

  • انتقال ریسک (Transfer)

یکی از روش های برخورد با ریسک های شناسایی شده، انتقال اثرات و عواقب آنها به شخص ثالث یا سازمانی است که آمادگی یا قابلیت رویارویی با ریسک را در زمان وقوع دارد. استفاده از سازوکارهای انتقال ریسک از طریق عقد قرارداد با شرکت های بیمه از جمله بارزترین روش های این رویکرد محسوب می شود. در خصوص مثال فرضی، سازمان می تواند با استفاده از رویکرد انتقال ریسک، تعهداتی را مبنی بر پرداخت غرامت در زمان وقوع حادثه از پیمانکاران مربوطه دریافت نماید و یا شبکه خود را در این رابطه بیمه کند.

 

  • تحمل ریسک (Tolerate)

یکی دیگر از رویکردهای قابل اتخاذ، عدم انجام فعالیتی برای برخورد با ریسک و یا در واقع تحمل ریسک می باشد. معمولا به آن دسته از ریسک هایی که اجرای اقدامات تقابلی برای آنها مقرون به صرفه نمی باشد و یا ممکن است اثرات آنها در سطوح پایین باشد، از دریچه این رویکرد نگاه می شود. در واقع این ریسک ها آن دسته از مواردی هستند که با عنوان "قابل قبول" برچسب گذاری می شوند. مشخص است که در مثال فرضی مطرح شده، این رویکرد، استراتژی "عدم اجرای هر گونه فعالیتی" را پیشنهاد می دهد.

 

  • تسکین/کاهش ریسک (Treat)

مشخص است که باید برای بخش عمده ای از ریسک های شناسایی شده برنامه و طرح هایی مناسب به منظور کاهش ریسک تا سطوح قابل قبول تدوین گردد. بنابراین استراتژی سوم قابل اتخاذ، کاهش یا تسکین ریسک است. گزینه های قابل اجرا در این قسمت در سه دسته آموزش و آگاهی رسانی (برای آن دسته از ریسک هایی که به دلیل عدم آگاهی عمومی و یا تخصصی اقراد شناسایی شده اند)، تدوین و استقرار خط مشی ها و روش های اجرایی(برای آن دسته از ریسک هایی که به دلیل عدم وجود قانون، روال و یا رویه مناسب جهت انجام فعالیت ها، شناسایی شده اند) و همچنین تدوین و اجرای طرح های فنی و تکنولوژیک (برای آن دسته از ریسک هایی که ماهیت تکنولوژیک دارند و یا باید برای رفع آنها از نرم افزارها، سخت افزارها، روش ها، پروتکل ها، طراحی ها و اقدامات فنی استفاده نمود) دسته بندی می شوند. شکل زیر RTP تعیین شده برای 2 سناریوی ریسکی را در نرم افزار ایمن یار به صورت نمونه نشان می دهد.

 

 

پروژه هایی که با این رویکرد معرفی می شوند عمدتا از طریق کاهش اثرات ریسک و یا احتمال وقوع آن سعی در تسکین ریسک را دارند. در مثال فرضی از منظر این استراتژی می توانیم از مکانیزم های رمزنگاری قوی مخصوص شبکه های بیسیم برای اتصال کاربران استفاده کنیم و یا پروتکل های قوی تر امنیتی را بکار بگیریم. همچنین می توانیم یک خط مشی مناسب برای انتخاب کلمه عبور مناسب برای کاربران تدوین نموده و در یک سمینار فرهنگ سازی موارد را به آنها آموزش دهیم.

 

  • خاتمه ریسک (Terminate)

اما آخرین رویکرد قابل اتخاذ در این حوزه، اختتام ریسک است. ساده ترین عبارت برای توضیح این رویکرد، "پاک کردن صورت مسئله" است. شاید بهتر باشد برای تببین بهتر این استراتژی از مثال فرضی مطرح شده استفاده کنیم. در خصوص سناریوی ریسک مربوط به شبکه بیسیم، این رویکرد، اتخاذ تصمیماتی نظیر حذف کردن شبکه بیسیم و استفاده از شبکه کابلی را می تواند پیشنهاد دهد. همان طور که مشاهده می شود این استراتژی ممکن است موجب از بین رفتن برخی از امکانات و تسهیلات مورد استفاده در سازمان شود که شاید خود مغایر با موضوعات مرتبط با دردسترس بودن اطلاعات و یا سهولت استفاده از سرویس های سازمانی باشد.

 

انتخاب هر یک از استراتژی های معرفی شده وابسته به المان های مختلفی است که پیش از این در بخش مقابله با ریسک به آنها اشاره گردید. با این وجود می توان به صورت کلان و شماتیک و با بهره گیری از دو المان اصلی "اثر" و "احتمال وقوع" که سازنده مفهوم ریسک می باشند، نوع استراتژی اتخاذی را در شکل زیر مشاهده نمود.

  

 با توجه به شکل فوق، می توان نتیجه گرفت که معمولا برای آن دسته از ریسک هایی که دارای اثرات و زیان های زیاد بوده و احتمال وقوع آنها بالا است، می توان از استراتژی تحمل کردن استفاده نمود، برای آن دسته از ریسک هایی که دارای اثرات و زیان های زیاد بوده ولی احتمال وقوع آنها پایین است، می توان از استراتژی انتقال ریسک و مکانیزم های بیمه ای استفاده نمود، از سوی دیگر برای آن دسته از ریسک هایی که دارای اثرات و زیان های کم بوده و احتمال وقوع آنها بالا است، می توان از استراتژی خاتمه دادن استفاده نمود، همچنین برای آن دسته از ریسک هایی که دارای اثرات و زیان های پایین بوده و احتمال وقوع آنها کم است، می توان از استراتژی تسکین ریسک استفاده نمود. باید تاکید شود که شکل فوق تنها برداشتی کلان و منطقی از استراتژی های برخود با ریسک قابل اتخاذ در شرایط مختلف را نشان می دهد، در حالیکه ممکن در شرایط واقعی هر کدام از روش های در وضعیت های گوناگونی بکار گرفته شوند.

  استراتژی های معرفی شده در قانون 4T ممکن است در استانداردهای مختلف حوزه تخصصی ریسک و امنیت اطلاعات با اسامی گوناگون و با اندک تفاوتی دیده شوند، به عنوان مثال در استاندارد BS 25999 و استاندارد نظیر آن ISO 22301 که به مباحث تداوم کسب و کار می پردازد، از عناوین زیر استفاده می شود:

  • تداوم کسب و کار (معادل روش تسکین یا کاهش ریسک)
  • پذیرش (معادل تحمل ریسک)
  • انتقال
  • تغییر، تعلیق و خاتمه (معادل خاتمه ریسک)
نویسنده: میلاد یداللهی دسته بندی: مدیریت ریسک