إدارة مخاطر تكنولوجيا المعلومات

إدارة مخاطر تكنولوجيا المعلومات هي تطبيق أساليب إدارة المخاطر على تقنية المعلومات من أجل إدارة مخاطر تكنولوجيا المعلومات، مثل: مخاطر الأعمال المرتبطة بالاستخدام  والتشغيل والمشاركة والتأثير وتبني تكنولوجيا المعلومات داخل مؤسسة أو منظمة، وتعتبر إدارة مخاطر تكنولوجيا المعلومات أحد مكونات نظام إدارة مخاطر المؤسسة الأوسع والأشمل.[1]

مبادئعدل

يوفر إنشاء وصيانة وتحديث أيزو/أي إي سي 27001 إشارة قوية على أن الشركة تستخدم طريقة فعالة لتحديد وتقييم وإدارة مخاطر أمن المعلومات.[2]

تم اقتراح منهجيات مختلفة لإدارة مخاطر تكنولوجيا المعلومات، تم تقسيم كل منها إلى عدة عمليات وخطوات .[3]

وفقًا لإطار تكنولوجيا المعلومات للمخاطر،[1]لا يقتصر هذا على التأثير السلبي للعمليات وتقديم الخدمات التي يمكن أن تؤدي إلى تدمير أو تخفيض قيمة المنظمة، ولكن أيضًا فائدة تمكين المخاطرالمرتبطة بفقدان الفرص لاستخدام التكنولوجيا لتمكين أو تعزيز الأعمال أو إدارة مشروع تكنولوجيا المعلومات لجوانب مثل الإنفاق الزائد أو التسليم المتأخر مع تأثير سلبي على الأعمال .

نظرًا لأن المخاطرة مرتبطة بشكل صارم بعدم اليقين، يجب تطبيق نظرية القرار لإدارة المخاطر كعلم، أي اتخاذ خيارات عقلانية في ظل عدم اليقين.

بشكل عام، الخطر هو نتاج تأثير أوقات الاحتمال

(الخطر = الاحتمالية * التأثير). [4]

يمكن تحديد قياس مخاطر تكنولوجيا المعلومات كنتيجة للتهديد والضعف وقيم الأصول : [5]

الخطر = {التهديد * الضعف * الأصل}

سيكون إطار إدارة المخاطر الحالي لمخاطر تكنولوجيا المعلومات هو إطار TIK:

الخطر = ((الضعف * التهديد) / العداد) [6]

عملية إدارة المخاطر هي عملية (أعمال) تكرارية مستمرة. يجب أن تتكرر إلى أجل غير مسمى. تتغير بيئة الأعمال باستمرار وتظهر التهديدات ونقاط الضعف (حوسبة) الجديدة كل يوم. يجب أن يحقق اختيار الإجراءات المضادة (الضوابط) المستخدمة لإدارة المخاطر التوازن بين الإنتاجية والتكلفة وفعالية الإجراء المضاد وقيمة الأصول المعلوماتية التي يتم حمايتها.

التعاريفعدل

يقدم آيزاكا المعتمدة لعام 2006 الصادر عن ISACA ، وهي جمعية مهنية دولية تركز على حوكمة تكنولوجيا المعلومات، التعريف التالي لإدارة المخاطر: "إدارة المخاطر هي عملية تحديد نقاط الضعف والتهديدات لموارد المعلومات التي تستخدمها المنظمة في تحقيق أهداف العمل، وتحديد الإجراءات المضادة، إن وجدت، التي يجب اتخاذها للحد من المخاطر إلى مستوى مقبول، بناءً على قيمة موارد المعلومات للمنظمة ". [7]

إدارة المخاطر هي العملية التي تسمح لمديري تكنولوجيا المعلومات بموازنة التكاليف التشغيلية والاقتصادية لتدابير الحماية وتحقيق مكاسب في قدرة المهمة من خلال حماية أنظمة تكنولوجيا المعلومات والبيانات التي تدعم مهام منظماتهم. هذه العملية ليست فريدة في بيئة تكنولوجيا المعلومات ؛ والواقع أنه يسود عملية صنع القرار فيجميع مجالات حياتنا اليومية. [8]

يجب على رئيس الوحدة التنظيمية التأكد من أن المنظمة لديها القدرات اللازمة لإنجاز مهمتها. يجب أن يحدد أصحاب المهمة هؤلاء القدرات الأمنية التي يجب أن تمتلكها أنظمة تكنولوجيا المعلومات الخاصة بهم لتوفير المستوى المطلوب من دعم المهمة في مواجهة تهديدات العالم الحقيقي. معظم المنظمات لديها ميزانيات محدودة لأمن تكنولوجيا المعلومات ؛ لذلك، يجب مراجعة الإنفاق على أمن تكنولوجيا المعلومات تمامًا مثل قرارات الإدارة الأخرى. عند استخدام منهجية جيدة لإدارة المخاطر، عند استخدامها بفعالية، يمكن أن تساعد الإدارة في تحديد الضوابط المناسبة لتوفير القدرات الأمنية الأساسية للمهمة . [8]

 
العلاقات بين كيان أمن تكنولوجيا المعلومات

العملية الكلية لتحديد تأثير الأحداث غير المؤكدة والتحكم فيها وتقليله وتعد إدارة المخاطر في عالم تكنولوجيا المعلومات نشاطًا معقدًا ومتعدد الوجوه، مع الكثير من العلاقات مع الأنشطة المعقدة الأخرى. تظهر الصورة على اليمين العلاقات بين المصطلحات المختلفة ذات الصلة.

يعرف مركز التدريب والتعليم الوطني الأمريكي لضمان المعلومات إدارة المخاطر في مجال تكنولوجيا المعلومات على أنها: [9]

1.الحد من المخاطر والحصول على موافقة DAA والحفاظ عليها. تسهل العملية إدارة المخاطر الأمنية بكل مستوى من مستويات الإدارة طوال دورة حياة النظام. تتكون عملية الموافقة من ثلاثة عناصر: تحليل المخاطر وإصدار الشهادات والموافقة.

2. عنصر في العلوم الإدارية يهتم بتحديد وقياس وإدارة وضبط وتقليل الأحداث غير المؤكدة. يشمل برنامج إدارة المخاطر الفعال المراحل الأربع التالية:

1. تقييم للمخاطر، مستمد من تقييم التهديداتإدارة ونقاط الضعف.

2. قرار الإدارة.

3. مراقبة التنفيذ.

4. مراجعة الفعالية

3. العملية الكلية لتحديد وقياس وتقليل الأحداث غير المؤكدة التي تؤثرالعمليةعلى موارد AIS. ويشمل تحليل المخاطر، وتحليل فوائد التكلفة،العملية واختيار الحماية، واختبار وتقييم الأمان، وتنفيذ الحماية العملية، ومراجعة الأنظمة..

4. العملية الإجمالية لتحديد الأحداث غير المؤكدة والتحكم فيها والقضاء عليها أو الحد منها والتي قد تؤثر على موارد النظام. lt يشمل تحليل المخاطر، تحليل فوائد التكلفة، الاختيار، التنفيذ والاختبار، التقييم الأمني للضمانات، والمراجعة الأمنية الشاملة..

إدارة المخاطر كجزء من إدارة مخاطر المؤسسةعدل

لدى بعض المنظمات العملية، والعديد من المنظمات الأخرى، إدارة شاملة ل إدارة مخاطر المؤسسة (ERM). الفئات الموضوعية الأربعة التي تم تناولها، وفقًا للجنة المنظمات الراعية التابعة للجنة تريدواي (COSO) هي:

• الإستراتيجية - أهداف عالية المستوى، تتماشى مع مهمة المنظمة وتدعمها

• العمليات - الاستخدام الفعال والكفء للموارد

• إعداد التقارير المالية - موثوقية التقارير التشغيلية والمالية

• الامتثال - الامتثال للقوانين واللوائح المعمول بها

وفقًا لإطار تكنولوجيا المعلومات للمخاطر من قبل آيزاكا [10] تعد مخاطر تكنولوجيا المعلومات شاملة لجميع الفئات الأربع. يجب إدارة مخاطر تكنولوجيا المعلومات في إطار إدارة مخاطر المؤسسة: يجب أن توجه الرغبة في المخاطر وحساسية المخاطر في المؤسسة بأكملها عملية إدارة مخاطر تكنولوجيا المعلومات. يجب أن توفر إدارة المخاطر في المؤسسة السياق وأهداف العمل لإدارة مخاطر تكنولوجيا المعلومات .

المصادرعدل

  1. أ ب "ISACA THE RISK IT FRAMEWORK (registration required)" (PDF). مؤرشف من الأصل في 5 يوليو 2010. الوسيط |CitationClass= تم تجاهله (مساعدة)
  2. ^ Enisa Risk management, Risk assessment inventory, page 46 نسخة محفوظة 29 ديسمبر 2019 على موقع واي باك مشين.
  3. ^ Katsicas, Sokratis K. (2009). "35". In Vacca, John (المحرر). Computer and Information Security Handbook. Elsevier Inc. صفحة 605. ISBN 978-0-12-374354-1. الوسيط |CitationClass= تم تجاهله (مساعدة)
  4. ^ "Risk is a combination of the likelihood of an occurrence of a hazardous event or exposure(s) and the severity of injury or ill health that can be caused by the event or exposure(s)" (OHSAS 18001:2007).
  5. ^ Caballero, Albert (2009). "14". In Vacca, John (المحرر). Computer and Information Security Handbook. Elsevier Inc. صفحة 232. ISBN 978-0-12-374354-1. الوسيط |CitationClass= تم تجاهله (مساعدة)
  6. ^ [بحاجة لمصدر]
  7. ^ ISACA (2006). CISA Review Manual 2006. Information Systems Audit and Control Association. صفحة 85. ISBN 978-1-933284-15-6. مؤرشف من الأصل في 16 مايو 2020. الوسيط |CitationClass= تم تجاهله (مساعدة)
  8. أ ب Feringa, Alexis; Goguen, Alice; Stoneburner, Gary (1 July 2002). "Risk Management Guide for Information Technology Systems". مؤرشف من الأصل في 11 مايو 2020 – عبر csrc.nist.gov. الوسيط |CitationClass= تم تجاهله (مساعدة)
  9. ^ "Glossary of Terms". www.niatec.iri.isu.edu. مؤرشف من الأصل في 18 مايو 2020. الوسيط |CitationClass= تم تجاهله (مساعدة)
  10. ^ The Risk IT Framework by ISACA, (ردمك 978-1-60420-111-6)