مدیریت ریسک امنیت اطلاعات چیست؟
مدیریت ریسک امنیت اطلاعات یا ISRM، فرآیند مدیریت خطرات مرتبط با استفاده از فناوری اطلاعات است. مدیریت ریسک های امنیتی شامل شناسایی، ارزیابی و درمان خطرات مربوط به محرمانه بودن، یکپارچگی و در دسترس بودن دارایی های سازمان است. هدف نهایی این فرآیند، برخورد با ریسک ها مطابق با ظرفیت پذیرش کلی ریسک سازمان است. کسب و کارها نباید انتظار داشته باشند که همه خطرات را از بین ببرند. بلکه باید به دنبال شناسایی و دستیابی به سطح ریسک قابل قبول برای سازمان خود باشند.
مراحل مدیریت ریسک امنیت اطلاعات یا ISRM :
-
شناسایی :
- شناسایی دارایی ها: داده ها، سیستم ها یا سایر دارایی ها به عنوان “جواهرات تاج” سازمان شما در نظر گرفته می شوند. به عنوان مثال، اگر محرمانه بودن، یکپارچگی یا در دسترس بودن آنها به خطر بیفتد، کدام دارایی ها بیشترین تأثیر را بر سازمان شما خواهند داشت؟ درک اینکه چرا محرمانه بودن داده هایی مانند شماره های تامین اجتماعی و مالکیت معنوی مهم است، سخت نیست. اما در مورد صداقت چطور؟ به عنوان مثال، اگر یک کسب و کار تحت الزامات قانونی Sarbanes-Oxley (SOX) قرار گیرد، یک مشکل جزئی یکپارچگی در داده های گزارشگری مالی می تواند منجر به هزینه هنگفتی شود. یا، اگر سازمانی یک سرویس پخش آنلاین موسیقی باشد و در دسترس بودن فایلهای موسیقی به خطر بیفتد، ممکن است مشترکین خود را از دست بدهند.
- آسیبپذیریها را شناسایی کنید: چه آسیبپذیریهایی در سطح سیستم یا نرمافزار، محرمانه بودن، یکپارچگی و در دسترس بودن داراییها را به خطر میاندازد؟ چه نقاط ضعف یا کاستی در فرآیندهای سازمانی می تواند منجر به به خطر افتادن اطلاعات شود؟
-
-
- شناسایی تهدیدها: برخی از علل بالقوه به خطر افتادن دارایی ها یا اطلاعات چیست؟ به عنوان مثال، آیا مرکز داده سازمان شما در منطقه ای واقع شده است که تهدیدات زیست محیطی، مانند گردباد و سیل، بیشتر در آن وجود دارد؟ مدلسازی تهدید، فعالیت مهمی است که با گره زدن ریسکها به تهدیدات شناختهشده و راههای متفاوتی که این تهدیدها میتوانند از طریق بهرهبرداری از آسیبپذیریها باعث تحقق خطرات شوند، به پروسه شناسایی کمک میکند.
- کنترلها را شناسایی کنید: برای محافظت از داراییهای شناساییشده چه چیزی در حال حاضر دارید؟ یک کنترل مستقیماً یک آسیبپذیری یا تهدید شناسایی شده را با رفع کامل یا کاهش احتمال و یا تأثیر یک خطر مواجه می کند. به عنوان مثال، اگر خطر ادامه دسترسی کاربران خاتمه یافته به یک برنامه خاص را شناسایی کرده اید، یک کنترل می تواند فرآیندی باشد که به طور خودکار کاربران را پس از پایان کار از آن برنامه حذف می کند. یک کنترل جبرانی یک کنترل “شبکه ایمنی” است که به طور غیرمستقیم به یک خطر رسیدگی می کند. در ادامه با همان مثال بالا، یک کنترل جبرانی ممکن است یک فرآیند بررسی دسترسی سه ماهه باشد. در طی این بررسی، فهرست کاربران برنامه با فهرست کاربران شرکت و فهرستهای خاتمه ارجاع داده میشود تا کاربرانی با دسترسی غیرمجاز پیدا شوند و پس از یافتن، دسترسی غیرمجاز را بهطور واکنشی حذف کنند.
ارزیابی :
این فرآیند ترکیب اطلاعاتی است که در مورد دارایی ها، آسیب پذیری ها و کنترل ها جمع آوری کرده اید تا یک ریسک را تعریف کنید. چارچوب ها و رویکردهای زیادی برای این کار وجود دارد، اما احتمالاً از برخی تغییرات این معادله استفاده خواهید کرد:
ریسک = (تهدید x آسیب پذیری (احتمال بهره برداری x تاثیر بهره برداری) x ارزش دارایی) – کنترل های امنیتی
توجه: این یک قیاس فرمول بسیار ساده است. محاسبه ریسکهای احتمالی تقریباً به این سادگی نیست و باعث ناراحتی همه میشود.
رفتار :
هنگامی که یک خطر ارزیابی و تجزیه و تحلیل شد، یک سازمان باید گزینه های درمانی را انتخاب کند:
- اصلاح: اجرای کنترلی که به طور کامل یا تا حد زیادی ریسک های اساسی را برطرف می کند.
مثال: شما یک آسیب پذیری را در سروری که دارایی های حیاتی در آن ذخیره می شود شناسایی کرده اید و یک وصله برای آن آسیب پذیری اعمال می کنید. - کاهش: کاهش احتمال و یا تأثیر خطر، اما عدم رفع کامل آن.
مثال: شما یک آسیبپذیری را در سروری شناسایی کردهاید که داراییهای حیاتی در آن ذخیره میشوند، اما به جای اصلاح آسیبپذیری، یک قانون فایروال را پیادهسازی میکنید که فقط به سیستمهای خاصی اجازه میدهد با سرویس آسیبپذیر روی سرور ارتباط برقرار کنند. - انتقال: انتقال ریسک به نهاد دیگری تا سازمان شما بتواند از هزینه های متحمل شده ناشی از تحقق ریسک بازیابی کند.
مثال: شما بیمه ای خریداری می کنید که در صورت بهره برداری از سیستم های آسیب پذیر، خساراتی را که ممکن است متحمل شود، پوشش می دهد. (توجه: این باید برای تکمیل اصلاح و کاهش خطر استفاده شود اما به طور کلی جایگزین آنها نشود.) - پذیرش ریسک: عدم رفع ریسک. این در مواردی مناسب است که ریسک به وضوح کم است و زمان و تلاشی که برای رفع ریسک صرف می شود بیشتر از هزینه هایی است که در صورت تحقق ریسک متحمل می شود.مثال: شما یک آسیب پذیری را در یک سرور شناسایی کرده اید اما به این نتیجه رسیده اید که هیچ چیز حساسی در آن سرور وجود ندارد. نمی توان از آن به عنوان نقطه ورودی برای دسترسی به سایر دارایی های حیاتی استفاده کرد و بهره برداری موفقیت آمیز از آسیب پذیری بسیار پیچیده است. در نتیجه، تصمیم می گیرید که نیازی به صرف زمان و منابع برای رفع آسیب پذیری ندارید.
- اجتناب از خطر: از بین بردن تمام قرار گرفتن در معرض یک خطر شناسایی شده
مثال: شما سرورهایی را با سیستم عامل (OS) شناسایی کرده اید که در شرف پایان عمر هستند و دیگر وصله های امنیتی را از سازنده سیستم عامل دریافت نخواهند کرد. این سرورها داده های حساس و غیر حساس را پردازش و ذخیره می کنند. برای جلوگیری از خطر به خطر افتادن داده های حساس، به سرعت آن داده های حساس را به سرورهای جدیدتر و قابل اصلاح منتقل می کنید. سرورها همچنان به اجرا و پردازش داده های غیر حساس ادامه می دهند در حالی که طرحی برای از کار انداختن آنها و انتقال داده های غیر حساس به سرورهای دیگر توسعه می یابد.
ارتباطات :
صرف نظر از نحوه برخورد با یک ریسک، تصمیم باید در داخل سازمان ابلاغ شود. ذینفعان باید هزینه های مدیریت ریسک یا عدم رفع کامل یک ریسک و منطق پشت آن تصمیم را درک کنند. مسئولیت پذیری باید به وضوح تعریف شده و با افراد و تیم های سازمان در ارتباط باشد تا اطمینان حاصل شود که افراد مناسب در زمان های مناسب در فرآیند درگیر می شوند.
مدیریت مداوم ریسکها :
فرایند مدیریت ریسک امنیتی یک فرایند تکرار شونده است که نیاز به اجرا و نظارت و کنترل دارد. شما احتمالاً این کنترل را در سیستمی قرار می دهید که با گذشت زمان در حال تغییر است. درگاهها باز میشوند، کد تغییر میکند و هر تعدادی از عوامل دیگر میتواند باعث شود که کنترل شما در ماهها یا سالهای پس از اجرای اولیه از بین برود.