تقييم المخاطر ،، لماذا ؟؟

السلام عليكم جميعاً،،

هذه هي التدوينة الثانية والتي شاركت فيها مسبقاً في مدونة الدوائر الآمنة، والحمد لله لاقت انطباع جيد وحققت ثاني اعلى تدوينة قراءة حتى الاسبوع الماضي.

 

أتمنى ان تكون فعلاً ذات فائدة ومضمون مفيد، شاركوني مالديكم، اضيفوا تعليقاتكم وشاركوا الرابط في الشبكات الاجتماعية، ودعونا نفيد بعضنا أكثر ،،

 

كل الود لكم ،،

——— نص التدوينة ———

يعود إلينا المهندس عبدالرحمن الهندي للكتابة وهذه هي التدوينة الثانية، إذا كنتم لم تتابعوا التدوينة الأولى فيمكنكم قراءتها على الرابط التالي

ادارة أمن المعلومات،، تبع لمن؟؟

كمختصين وحين نكون في مؤتمرات او لقاءات عمل، او حتى حينما نستشار من قبل الجهات المختلفة، نقوم بتوجيه الجهة إلى تقييم المخاطر وتقديرها، السؤال هنا لماذا؟ ولماذا نبدأ بتقييم المخاطر وتقديرها قبل اي عملية اخرى او تطوير؟ـ

في هذه التدوينة سأقوم بتوضيح ماهية تقييم المخاطر، وخطواتها، وتوضيح نقاط تابعة لهذه النقطة.ـ

ماهو تقييم/تقدير المخاطر ؟ـ

هي عملية دراسة وفهم مصادر المعلومات في الجهة المعنية و تعريفها وتقييم أهميتها من مقياس أمني معترف به، ومن ثم يقوم فريق مختص بتقييم المخاطر بتحديد التهديدات المحتملة وتقييم الثغرات الأمنية المرتبط في هذه المصادر بشكل مباشر ومدى إمكانية استغلالها مكونة بذلك الاخطار المكتشفة.ـ

ماهي اهداف تقييم/تقدير المخاطر؟

ان الهدف الاهم من هذه الخطوة هي معرفة الاصول التي يجب على المنظمة حمايتها والبحث عن سبل ابعادها عن الاخطار ومعالجة نقاط ضعفها.ـ

تساعد هذه الخطوة الجهات المختلفة لتحديد مدى الاحتياج الفعلي الى سياسات واجراءات  أمن المعلومات التي تتلائم مع حاجة المنظمة الفعلية، دون انفاق الكثير من المال على ماية اصول ومصادر ليست ذات اهمية.ـ

ماهي خطوات تقييم/تقدير المخاطر؟

اولاً: التحضير للتقييم

وذلك بتحديد فريق العمل وتحديد الاهداف وطريقة العمل

ثانياً: حصر الاصول

يتم في هذه الخطوة حصر الاصول التي تؤثر على سير عمل المنظمة الاساسي، ويتم تحديد المسؤول عن هذه الأصول كل على حده.ـ

ثالثاً: تقييم الاصول

يتم تقييم الاصول بناءا على ثلاثة نقاط وهي :ظ

الخصوصية

التكاملية

التواجدية

رابعاً: دراسة الاصول بتحديد المخاطر

يتم في هذه الخطوة تحديد المخاطر لكل الاصول التي تم حصرها  كل علي حده، وليس شرطا ان يكون لكل أصل خطر واحد فقط، بل يمكن اضافة اكثر من خطر لكل اصل.ـ

خامساً: دراسة الاصول بتحديد نقاط الضعف

من خلال اخدنا بعين الاعتبار الاصول في جهة، والمخاطر في الجهة الأخرى، علينا تحديد نقاط الضعف التي تسبب الوصول لهذه المخاطر، وذلك بالاخذ بعين الاعتبار الى ان لكل خطر قد يكن هناك اكثر من نقطة ضعف تسبب الوصول لهذا الخطر.ـ

سادساً: دراسة الاصول  لتحديد الاجراءات الحالية المتّبعة

قد تكون هناك اجراءات وقائية تتخذها الجهات المختلفة لتقليل المخاطر، ويجب على المقيّم اخذ هذه المعلومات والاجراءات بعين الاعتبار اذ عليه تضمينها لانه وبدون تضمينها قد يأخذ فترة من الوقت لتحليل كل ما سبق والوصول لاجراء معين، قد يكون هو نفسه الاجراء المتبع.ـ

سرد جميع الاجراءات والسياسات الموجودة حاليا لمعرفة ماهو الوضع الحالي  للمخاطر والاصول.ـ

سابعاً: حساب احتمالية الحدوث، والاثر الرجعي من المخاطر

تحديد احتمالية حدوث المخاطر قد تغنينا احيانا عن اقتراح بعض الاجراءات الوقائية والتي قد لا تكون منها اي فائدة، فاحتمالية حصول فيضان مثلا يغرق غرفة الخوادم كاملة هي احتمالية شبه معدومة، لكن ماذا لو قام القيّم باقتراح عدة اجراءات لهذا الخطر مع هذه الاحتمالية الضعيفة؟؟ ستكون عبارة عن انفاق مال لحماية اصل من خطر ما ليس له وجود تقريباً.ـ

وهنا تأتي اهمية الدراسة المتعمقة للاصول ومدى فهم وخبرة المستشار في هذا المجال.ـ

وايضا يقوم المقيّم بتحديد حجم الاثر الرجعي للخطر في حال وقوعه، من هذه النقطة يمكن للمقيم معرفة حجم المشكلة والخطر وبالتالي يمكنه من اتخاذ اجراء احترازي يناسب الاصل والخطر وحالته.ـ

ثامناً:  حساب الخطر

كل ما سبق يكوّن معادلة رياضية حسابية بناتج معين، حساب الخطر يجب ان يكون معرفاً مسبقا لمعرفة ماهي النسبة المقبولة وماهي النسبة الغير مقبولة، ومن هنا يتم تحديد الخطر والتصرف فيه، سواء بالقبول او التقليل او نقل مسؤوليته الى طرف آخر.ـ

اخيراً: يجب معرفة ان هناك خطوة تكون  متوازية من بداية اول خطوة إلى انتهاء التقييم وهي خطوة مراجعة جميع المعلومات المتعلقة بالجهة ومن هذه الامور على سبيل المثال لا الحصر:

مراجعة إجراءات إدارة تقنية المعلومات وأمن المعلومات.ـ

مراجعة الهيكل التنظيمي الإداري لتقنية المعلومات وللجهة ككل.ـ

مراجعة استراتيجية تقنية المعلومات وأمن المعلومات بالجهة المعنية.ـ

مراجعة سياسات واجراءات أمن المعلومات.ـ

مراجعة أنظمة الشبكة وتفاصيلها.ـ

مراجعة أنظمة تشغيل الخوادم بجميع التفاصيل.ـ

مراجعة البرامج والتطبيقات الموجودة بالجهة سواء أكانت مطوّره داخلياً او خارجياً.ـ

مراجعة إجراءات تطوير البرامج والتطبيقات.ـ

مراجعة خطة استمرارية العمل وادارة الكوارث (إن وجدت).ـ

مراجعة واختبار تطبيقات الإنترنت والتأكد من عدم إمكانية اختراقها من داخل الشبكة أو خارجها.ـ

في حال عمل الجهة على مشاريع امن المعلومات والتطوير بدون عمل تقييم للمخاطر، ماهي المخاطر المحتملة؟

ابرز ثلاث نقاط محتملة في هذه الحالية هي :ـ

١- التركيز على تأمين مصادر معينة لا تشكل اهمية او قيمة أمنية للجهة وترك المصادر ذات القيمة بدون حماية.ـ

٢- الانفاق المالي على اصول ليست ذات أهمية مما يعني خسارة وانفاق الجهة على حماية اصول ليست ذات اهمية أمنية .ـ

٣- خلق فارق وفجوة بين العاملين والجهة، او بين الجهة والمستفيدين ، نتيجة عدم ثقة المستخدمين او العاملين من ادارة معلوماتهم وحفظها بطريقة سليمة وآمنة.ـ

تقييم المخاطر، خطوة أمنية للمستقبل،، لا تهمل اهميتها فمنها يمكنك بناء استراتيجية أمن المعلومات بطريقة سليمة.ـ

عبدالرحمن الهندي

 

تعليق واحد (1) على “تقييم المخاطر ،، لماذا ؟؟

  1. ابو محمد

    كما عرفتك متخصص في هذا المجال وتدوينتك هذه ابرز دليل انك تريد الفائدة لغيرك

    اعجبني ترتيب كلامك وطريقة عرضك

التعليقات مغلقة.