إدارة مخاطر تقانة المعلومات

إدارة مخاطر تقانة المعلومات هي تطبيق أساليب إدارة المخاطر على تقنية المعلومات من أجل إدارة مخاطر تقانة المعلومات، مثل: مخاطر الأعمال المرتبطة بالاستخدام والتشغيل والمشاركة والتأثير وتبني تقانة المعلومات داخل مؤسسة أو منظمة، وتعتبر إدارة مخاطر تقانة المعلومات أحد مكونات نظام إدارة مخاطر المؤسسة الأوسع والأشمل.^[1]

مبادئ[عدل]

يوفر إنشاء وصيانة وتحديث أيزو/أي إي سي 27001 إشارة قوية على أن الشركة تستخدم طريقة فعالة لتحديد وتقييم وإدارة مخاطر أمن المعلومات.^[2]

تم اقتراح منهجيات مختلفة لإدارة مخاطر تقانة المعلومات، تم تقسيم كل منها إلى عدة عمليات وخطوات.^[3]

وفقًا لإطار تقانة المعلومات للمخاطر،^[1]لا يقتصر هذا على التأثير السلبي للعمليات وتقديم الخدمات التي يمكن أن تؤدي إلى تدمير أو تخفيض قيمة المنظمة، ولكن أيضًا فائدة تمكين المخاطرالمرتبطة بفقدان الفرص لاستخدام التقانة لتمكين أو تعزيز الأعمال أو إدارة مشروع تقانة المعلومات لجوانب مثل الإنفاق الزائد أو التسليم المتأخر مع تأثير سلبي على الأعمال.

نظرًا لأن المخاطرة مرتبطة بشكل صارم بعدم اليقين، يجب تطبيق نظرية القرار لإدارة المخاطر كعلم، أي اتخاذ خيارات عقلانية في ظل عدم اليقين.

بشكل عام، الخطر هو نتاج تأثير أوقات الاحتمال

(الخطر = الاحتمالية * التأثير).^[4]

يمكن تحديد قياس مخاطر تقانة المعلومات كنتيجة للتهديد والضعف وقيم الأصول: ^[5]

الخطر = {التهديد * الضعف * الأصل}

سيكون إطار إدارة المخاطر الحالي لمخاطر تقانة المعلومات هو إطار TIK:

الخطر = ((الضعف * التهديد) / العداد) ^[6]

عملية إدارة المخاطر هي عملية (أعمال) تكرارية مستمرة. يجب أن تتكرر إلى أجل غير مسمى. تتغير بيئة الأعمال باستمرار وتظهر التهديدات ونقاط الضعف (حوسبة) الجديدة كل يوم. يجب أن يحقق اختيار الإجراءات المضادة (الضوابط) المستخدمة لإدارة المخاطر التوازن بين الإنتاجية والتكلفة وفعالية الإجراء المضاد وقيمة الأصول المعلوماتية التي يتم حمايتها.

التعاريف[عدل]

يقدم آيزاكا المعتمدة لعام 2006 الصادر عن ISACA ، وهي جمعية مهنية دولية تركز على حوكمة تقانة المعلومات، التعريف التالي لإدارة المخاطر: «إدارة المخاطر هي عملية تحديد نقاط الضعف والتهديدات لموارد المعلومات التي تستخدمها المنظمة في تحقيق أهداف العمل، وتحديد الإجراءات المضادة، إن وجدت، التي يجب اتخاذها للحد من المخاطر إلى مستوى مقبول، بناءً على قيمة موارد المعلومات للمنظمة». ^[7]

إدارة المخاطر هي العملية التي تسمح لمديري تقانة المعلومات بموازنة التكاليف التشغيلية والاقتصادية لتدابير الحماية وتحقيق مكاسب في قدرة المهمة من خلال حماية أنظمة تقانة المعلومات والبيانات التي تدعم مهام منظماتهم. هذه العملية ليست فريدة في بيئة تقانة المعلومات؛ والواقع أنه يسود عملية صنع القرار فيجميع مجالات حياتنا اليومية.^[8]

يجب على رئيس الوحدة التنظيمية التأكد من أن المنظمة لديها القدرات اللازمة لإنجاز مهمتها. يجب أن يحدد أصحاب المهمة هؤلاء القدرات الأمنية التي يجب أن تمتلكها أنظمة تقانة المعلومات الخاصة بهم لتوفير المستوى المطلوب من دعم المهمة في مواجهة تهديدات العالم الحقيقي. معظم المنظمات لديها ميزانيات محدودة لأمن تقانة المعلومات؛ لذلك، يجب مراجعة الإنفاق على أمن تقانة المعلومات تمامًا مثل قرارات الإدارة الأخرى. عند استخدام منهجية جيدة لإدارة المخاطر، عند استخدامها بفعالية، يمكن أن تساعد الإدارة في تحديد الضوابط المناسبة لتوفير القدرات الأمنية الأساسية للمهمة. ^[8]

العملية الكلية لتحديد تأثير الأحداث غير المؤكدة والتحكم فيها وتقليله وتعد إدارة المخاطر في عالم تقانة المعلومات نشاطًا معقدًا ومتعدد الوجوه، مع الكثير من العلاقات مع الأنشطة المعقدة الأخرى. تظهر الصورة على اليمين العلاقات بين المصطلحات المختلفة ذات الصلة.

يعرف مركز التدريب والتعليم الوطني الأمريكي لضمان المعلومات إدارة المخاطر في مجال تقانة المعلومات على أنها: ^[9]

1.الحد من المخاطر والحصول على موافقة DAA والحفاظ عليها. تسهل العملية إدارة المخاطر الأمنية بكل مستوى من مستويات الإدارة طوال دورة حياة النظام. تتكون عملية الموافقة من ثلاثة عناصر: تحليل المخاطر وإصدار الشهادات والموافقة.

2. عنصر في العلوم الإدارية يهتم بتحديد وقياس وإدارة وضبط وتقليل الأحداث غير المؤكدة. يشمل برنامج إدارة المخاطر الفعال المراحل الأربع التالية:

1. تقييم للمخاطر، مستمد من تقييم التهديداتإدارة ونقاط الضعف.

2. قرار الإدارة.

3. مراقبة التنفيذ.

4. مراجعة الفعالية

3. العملية الكلية لتحديد وقياس وتقليل الأحداث غير المؤكدة التي تؤثرالعمليةعلى موارد AIS. ويشمل تحليل المخاطر، وتحليل فوائد التكلفة،العملية واختيار الحماية، واختبار وتقييم الأمان، وتنفيذ الحماية العملية، ومراجعة الأنظمة..

4. العملية الإجمالية لتحديد الأحداث غير المؤكدة والتحكم فيها والقضاء عليها أو الحد منها والتي قد تؤثر على موارد النظام. lt يشمل تحليل المخاطر، تحليل فوائد التكلفة، الاختيار، التنفيذ والاختبار، التقييم الأمني للضمانات، والمراجعة الأمنية الشاملة..

إدارة المخاطر كجزء من إدارة مخاطر المؤسسة[عدل]

لدى بعض المنظمات العملية، والعديد من المنظمات الأخرى، إدارة شاملة ل إدارة مخاطر المؤسسة (ERM). الفئات الموضوعية الأربعة التي تم تناولها، وفقًا للجنة المنظمات الراعية التابعة للجنة تريدواي (COSO) هي:

• الإستراتيجية - أهداف عالية المستوى، تتماشى مع مهمة المنظمة وتدعمها

• العمليات - الاستخدام الفعال والكفء للموارد

• إعداد التقارير المالية - موثوقية التقارير التشغيلية والمالية

• الامتثال - الامتثال للقوانين واللوائح المعمول بها

وفقًا لإطار تقانة المعلومات للمخاطر من قبل آيزاكا ^[10] تعد مخاطر تقانة المعلومات شاملة لجميع الفئات الأربع. يجب إدارة مخاطر تقانة المعلومات في إطار إدارة مخاطر المؤسسة: يجب أن توجه الرغبة في المخاطر وحساسية المخاطر في المؤسسة بأكملها عملية إدارة مخاطر تقانة المعلومات. يجب أن توفر إدارة المخاطر في المؤسسة السياق وأهداف العمل لإدارة مخاطر تقانة المعلومات.

المصادر[عدل]

^ ^أ ^ب "ISACA THE RISK IT FRAMEWORK (registration required)" (PDF). مؤرشف من الأصل في 2010-07-05.
^ Enisa Risk management, Risk assessment inventory, page 46 نسخة محفوظة 29 ديسمبر 2019 على موقع واي باك مشين.
^ Katsicas، Sokratis K. (2009). "35". في Vacca، John (المحرر). Computer and Information Security Handbook. Morgan Kaufmann Publications. Elsevier Inc. ص. 605. ISBN:978-0-12-374354-1.
^ "Risk is a combination of the likelihood of an occurrence of a hazardous event or exposure(s) and the severity of injury or ill health that can be caused by the event or exposure(s)" (OHSAS 18001:2007).
^ Caballero، Albert (2009). "14". في Vacca، John (المحرر). Computer and Information Security Handbook. Morgan Kaufmann Publications. Elsevier Inc. ص. 232. ISBN:978-0-12-374354-1.
^ ^{[بحاجة لمصدر]}
^ ISACA (2006). CISA Review Manual 2006. Information Systems Audit and Control Association. ص. 85. ISBN:978-1-933284-15-6. مؤرشف من الأصل في 2020-05-16.
^ ^أ ^ب Feringa، Alexis؛ Goguen، Alice؛ Stoneburner، Gary (1 يوليو 2002). "Risk Management Guide for Information Technology Systems". مؤرشف من الأصل في 2020-05-11 – عبر csrc.nist.gov.
^ "Glossary of Terms". www.niatec.iri.isu.edu. مؤرشف من الأصل في 2020-05-18.
^ The Risk IT Framework by ISACA, (ردمك 978-1-60420-111-6)

إدارة مخاطر تقانة المعلومات في المشاريع الشقيقة:

[RISKITW-1] أ ^ب "ISACA THE RISK IT FRAMEWORK (registration required)" (PDF). مؤرشف من الأصل في 2010-07-05.

[ENISAFULL-2] Enisa Risk management, Risk assessment inventory, page 46 نسخة محفوظة 29 ديسمبر 2019 على موقع واي باك مشين.

[Vacca1-3] Katsicas، Sokratis K. (2009). "35". في Vacca، John (المحرر). Computer and Information Security Handbook. Morgan Kaufmann Publications. Elsevier Inc. ص. 605. ISBN:978-0-12-374354-1.

[4] "Risk is a combination of the likelihood of an occurrence of a hazardous event or exposure(s) and the severity of injury or ill health that can be caused by the event or exposure(s)" (OHSAS 18001:2007).

[مولد_تلقائيا1-5] Caballero، Albert (2009). "14". في Vacca، John (المحرر). Computer and Information Security Handbook. Morgan Kaufmann Publications. Elsevier Inc. ص. 232. ISBN:978-0-12-374354-1.

[6] {[بحاجة لمصدر]}

[7] ISACA (2006). CISA Review Manual 2006. Information Systems Audit and Control Association. ص. 85. ISBN:978-1-933284-15-6. مؤرشف من الأصل في 2020-05-16.

[SP80030-8] أ ^ب Feringa، Alexis؛ Goguen، Alice؛ Stoneburner، Gary (1 يوليو 2002). "Risk Management Guide for Information Technology Systems". مؤرشف من الأصل في 2020-05-11 – عبر csrc.nist.gov.

[NIATEC_Glossary_of_terms-9] "Glossary of Terms". www.niatec.iri.isu.edu. مؤرشف من الأصل في 2020-05-18.

[riskit-10] The Risk IT Framework by ISACA, (ردمك 978-1-60420-111-6)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

بحاجة لمصدر