مدیریت ریسک امنیت اطلاعات چیست؟

مدیریت ریسک امنیت اطلاعات یا ISRM، فرآیند مدیریت خطرات مرتبط با استفاده از فناوری اطلاعات است. مدیریت ریسک های امنیتی شامل شناسایی، ارزیابی و درمان خطرات مربوط به محرمانه بودن، یکپارچگی و در دسترس بودن دارایی های سازمان است. هدف نهایی این فرآیند، برخورد با ریسک ها مطابق با ظرفیت پذیرش کلی ریسک سازمان است. کسب و کارها نباید انتظار داشته باشند که همه خطرات را از بین ببرند. بلکه باید به دنبال شناسایی و دستیابی به سطح ریسک قابل قبول برای سازمان خود باشند.

مراحل مدیریت ریسک امنیت اطلاعات یا ISRM :

  • شناسایی :

    • شناسایی دارایی ها: داده ها، سیستم ها یا سایر دارایی ها به عنوان “جواهرات تاج” سازمان شما در نظر گرفته می شوند. به عنوان مثال، اگر محرمانه بودن، یکپارچگی یا در دسترس بودن آنها به خطر بیفتد، کدام دارایی ها بیشترین تأثیر را بر سازمان شما خواهند داشت؟ درک اینکه چرا محرمانه بودن داده هایی مانند شماره های تامین اجتماعی و مالکیت معنوی مهم است، سخت نیست. اما در مورد صداقت چطور؟ به عنوان مثال، اگر یک کسب و کار تحت الزامات قانونی Sarbanes-Oxley (SOX) قرار گیرد، یک مشکل جزئی یکپارچگی در داده های گزارشگری مالی می تواند منجر به هزینه هنگفتی شود. یا، اگر سازمانی یک سرویس پخش آنلاین موسیقی باشد و در دسترس بودن فایل‌های موسیقی به خطر بیفتد، ممکن است مشترکین خود را از دست بدهند.
    • آسیب‌پذیری‌ها را شناسایی کنید: چه آسیب‌پذیری‌هایی در سطح سیستم یا نرم‌افزار، محرمانه بودن، یکپارچگی و در دسترس بودن دارایی‌ها را به خطر می‌اندازد؟ چه نقاط ضعف یا کاستی در فرآیندهای سازمانی می تواند منجر به به خطر افتادن اطلاعات شود؟

  • سیستم مدیریت امنیت اطلاعات: چه کاری انجام می دهد ؟

    • شناسایی تهدیدها: برخی از علل بالقوه به خطر افتادن دارایی ها یا اطلاعات چیست؟ به عنوان مثال، آیا مرکز داده سازمان شما در منطقه ای واقع شده است که تهدیدات زیست محیطی، مانند گردباد و سیل، بیشتر در آن وجود دارد؟  مدل‌سازی تهدید، فعالیت مهمی است که با گره زدن ریسک‌ها به تهدیدات شناخته‌شده و راه‌های متفاوتی که این تهدیدها می‌توانند از طریق بهره‌برداری از آسیب‌پذیری‌ها باعث تحقق خطرات شوند، به پروسه شناسایی کمک می‌کند.
    • کنترل‌ها را شناسایی کنید: برای محافظت از دارایی‌های شناسایی‌شده چه چیزی در حال حاضر دارید؟ یک کنترل مستقیماً یک آسیب‌پذیری یا تهدید شناسایی شده را با رفع کامل یا کاهش احتمال و یا تأثیر یک خطر  مواجه می کند. به عنوان مثال، اگر خطر ادامه دسترسی کاربران خاتمه یافته به یک برنامه خاص را شناسایی کرده اید، یک کنترل می تواند فرآیندی باشد که به طور خودکار کاربران را پس از پایان کار از آن برنامه حذف می کند. یک کنترل جبرانی یک کنترل “شبکه ایمنی” است که به طور غیرمستقیم به یک خطر رسیدگی می کند. در ادامه با همان مثال بالا، یک کنترل جبرانی ممکن است یک فرآیند بررسی دسترسی سه ماهه باشد. در طی این بررسی، فهرست کاربران برنامه با فهرست کاربران شرکت و فهرست‌های خاتمه ارجاع داده می‌شود تا کاربرانی با دسترسی غیرمجاز پیدا شوند و پس از یافتن، دسترسی غیرمجاز را به‌طور واکنشی حذف کنند.

ارزیابی :

این فرآیند ترکیب اطلاعاتی است که در مورد دارایی ها، آسیب پذیری ها و کنترل ها جمع آوری کرده اید تا یک ریسک را تعریف کنید. چارچوب ها و رویکردهای زیادی برای این کار وجود دارد، اما احتمالاً از برخی تغییرات این معادله استفاده خواهید کرد:

ریسک = (تهدید x آسیب پذیری (احتمال بهره برداری x تاثیر بهره برداری) x ارزش دارایی) – کنترل های امنیتی

توجه: این یک قیاس فرمول بسیار ساده است. محاسبه ریسک‌های احتمالی تقریباً به این سادگی نیست و باعث ناراحتی همه می‌شود.

رفتار  :

هنگامی که یک خطر ارزیابی و تجزیه و تحلیل شد، یک سازمان باید گزینه های درمانی را انتخاب کند:

  • اصلاح: اجرای کنترلی که به طور کامل یا تا حد زیادی ریسک های اساسی را برطرف می کند.
    مثال: شما یک آسیب پذیری را در سروری که دارایی های حیاتی در آن ذخیره می شود شناسایی کرده اید و یک وصله برای آن آسیب پذیری اعمال می کنید.
  • کاهش: کاهش احتمال و یا تأثیر خطر، اما عدم رفع کامل آن.
    مثال: شما یک آسیب‌پذیری را در سروری شناسایی کرده‌اید که دارایی‌های حیاتی در آن ذخیره می‌شوند، اما به جای اصلاح آسیب‌پذیری، یک قانون فایروال را پیاده‌سازی می‌کنید که فقط به سیستم‌های خاصی اجازه می‌دهد با سرویس آسیب‌پذیر روی سرور ارتباط برقرار کنند.
  • انتقال: انتقال ریسک به نهاد دیگری تا سازمان شما بتواند از هزینه های متحمل شده ناشی از تحقق ریسک بازیابی کند.
    مثال: شما بیمه ای خریداری می کنید که در صورت بهره برداری از سیستم های آسیب پذیر، خساراتی را که ممکن است متحمل شود، پوشش می دهد. (توجه: این باید برای تکمیل اصلاح و کاهش خطر استفاده شود اما به طور کلی جایگزین آنها نشود.)
  • پذیرش ریسک: عدم رفع ریسک. این در مواردی مناسب است که ریسک به وضوح کم است و زمان و تلاشی که برای رفع ریسک صرف می شود بیشتر از هزینه هایی است که در صورت تحقق ریسک متحمل می شود.مثال: شما یک آسیب پذیری را در یک سرور شناسایی کرده اید اما به این نتیجه رسیده اید که هیچ چیز حساسی در آن سرور وجود ندارد. نمی توان از آن به عنوان نقطه ورودی برای دسترسی به سایر دارایی های حیاتی استفاده کرد و بهره برداری موفقیت آمیز از آسیب پذیری بسیار پیچیده است. در نتیجه، تصمیم می گیرید که نیازی به صرف زمان و منابع برای رفع آسیب پذیری ندارید.
  • اجتناب از خطر: از بین بردن تمام قرار گرفتن در معرض یک خطر شناسایی شده
    مثال: شما سرورهایی را با سیستم عامل (OS) شناسایی کرده اید که در شرف پایان عمر هستند و دیگر وصله های امنیتی را از سازنده سیستم عامل دریافت نخواهند کرد. این سرورها داده های حساس و غیر حساس را پردازش و ذخیره می کنند. برای جلوگیری از خطر به خطر افتادن داده های حساس، به سرعت آن داده های حساس را به سرورهای جدیدتر و قابل اصلاح منتقل می کنید. سرورها همچنان به اجرا و پردازش داده های غیر حساس ادامه می دهند در حالی که طرحی برای از کار انداختن آنها و انتقال داده های غیر حساس به سرورهای دیگر توسعه می یابد.

ارتباطات :

صرف نظر از نحوه برخورد با یک ریسک، تصمیم باید در داخل سازمان ابلاغ شود. ذینفعان باید هزینه های مدیریت ریسک یا عدم رفع کامل یک ریسک و منطق پشت آن تصمیم را درک کنند. مسئولیت پذیری باید به وضوح تعریف شده و با افراد و تیم های سازمان در ارتباط باشد تا اطمینان حاصل شود که افراد مناسب در زمان های مناسب در فرآیند درگیر می شوند.

مدیریت مداوم ریسکها :

فرایند مدیریت ریسک امنیتی یک فرایند تکرار شونده است که نیاز به اجرا و نظارت و کنترل دارد. شما احتمالاً این کنترل را در سیستمی قرار می دهید که با گذشت زمان در حال تغییر است. درگاه‌ها باز می‌شوند، کد تغییر می‌کند و هر تعدادی از عوامل دیگر می‌تواند باعث شود که کنترل شما در ماه‌ها یا سال‌های پس از اجرای اولیه از بین برود.