مدیریت ریسک جهت ارتقاء امنیت اطلاعات

ریسک (Risk) چیزی جز نقطه‌ی اشتراک Asset، تهدیدات یا Threat و آسیب‌پذیری‌ها یا Vulnerability نیست، به عبارت دیگر: A+T+V=R

اصولا افرادی که در حوزه‌ی فناوری اطلاعات فعالیت دارند، ریسک را عملکرد و نتیجه حاصل از سازمان توسط یک منبع تهدید مفروض که یک آسیب‌پذیری بالقوه را به کار می‌گیرد، شناسایی می کنند. بنابراین اجزاء اصلیِ سنجشِ ریسک موارد زیر هستند:

• تهدیدات
• آسیب‌پذیری
• تاثیرات یا خسارت احتمالی
• احتمال وقوع (احتمال اینکه رخداد یا سوءاستفاده‌ی موفقی از یک آسیب‌پذیری واقع شود.)

بطور کلی هر چیزی که بتواند به‌صورت تصادفی یا به‌طور هدفمند از یک آسیب‌پذیری سوءاستفاده کند و به یک دارایی آسیب برساند یا آن را نابود کند،تهدید نامیده می شود؛ این دارایی یا Asset ممکن است هر شخص، تجهیز یا اطلاعاتی باشد، به عبارتی دیگر Asset هر چیزی است که می‌کوشیم از آن محافظت کنیم و تهدید هر چیزی است که می‌کوشیم در مقابل آن ایستادگی نماییم؛ از طرفی Vulnerability  یا آسیب‌پذیری نوعی شکاف یا ضعف در تلاش‌های ما در جهت محاظت از دارایی های سازمانی است.

منبع تهدید روشی برای سوءاستفاده‌ی عمدی یا غیرعمدی از نوعی آسیب‌پذیری یا یک موقعیت است. برای مثال از طریق یک نرم‌افزار مخرب که ویروس یا Worm به آن‌ می‌چسبد یا از طریق ایمیل‌های حاوی ویروسی که به ایمیل مربوطه ضمیمه شده است یا لینکی که حاوی ویروس است، خود را در سیستم یا کامپیوترهای دیگر منتشر می‌کند. اگر فرستنده این ایمیل را بدون آگاهی از هدف مخرب Attach کند و یا لینک مخرب را به اشتراک بگذارد، این نوعی منبع تهدید غیرعمدی محسوب می‌شود، درغیر این‌صورت منبع تهدید، عمدی خواهد بود.

می‌توان فرایند‌ کامل رسیدگی به ریسک را طی مراحلی انجام داد که در این مقاله به آن می پردازیم.

ایجاد Context

در این مرحله اطلاعات مربوط به سازمان و معیارها، اهداف، گستره و محدودیت‌های ابتدایی فعالیت‌ها در جهت مدیریت ریسک جمع‌آوری می‌شود. علاوه بر این اطلاعات، جمع‌آوری جزئیات درباره‌ی سازمان مسئول فعالیت در جهت مدیریت ریسک، اهمیت دارد. ماموریت های سازمانی، مقادیر، ساختار، استراتژی، لوکیشن‌ها و محیط فرهنگیِ سازمان بررسی می‌شود تا دریافت جامعی از گستره و محدودیت‌های کاری آن به‌دست آید.به طور کلی سلسله مراتب سازمانی افراد حاضر در تیم مدیریت ریسک به‌صورت زیر تعریف می گردد:

1. مدیریت ارشد
2. مدیر ارشد فناوری اطلاعات (CIO)
3. صاحبان سیستم و اطلاعات
4. مدیران تجاری و عملیاتی
5. مسئول امنیت سیستم اطلاعات (ISSO) یا مدیر ارشد امنیت اطلاعات (CISO)
6. مسئولین امنیت IT
7. مربیان افزایش آگاهی درباره‌ی امنیت

تشخیص ریسک

مدیریت ریسک فعالیت تکرارشونده‌ای است؛ از طرف دیگر، سنجش ریسک به‌صورت ناپیوسته انجام می‌شود و هر بار تا اجرای سنجش بعد فاصله وجود دارد. سنجش ریسک فرایند‌ ارزیابی تهدیدات شناخته شده و فرضی و آسیب‌پذیری‌ها برای تعیین ضررهای مورد انتظار است و همچنین تثبیت میزان قابل‌قبول بودن برای عملکرهای سیستم را شامل می‌شود. سنجش ریسک از مرحله‌ی ایجاد Context، ورودی ها و خروجی های مورد نیاز را دریافت می‌کند و نتیجه‌ی تحلیل‌های آن فهرستی از ریسک‌های ارزیابی شده است، که در آن مطابق با معیارهای ارزیابیِ ریسک، ریسک‌ها در اولویت قرار می گیرند.

شناسایی ریسک

در این مرحله مواردی همچون منابع، تهدیدات، اقدامات امنیتی موجود و برنامه ریزی شده، آسیب پذیری ها، عواقب و فرآیندهای مرتبط با سازمان شناسایی می‌گردد. بنابراین خروجی موارد زیر را شامل می شود:

• فهرستی از منابع و فرایند‌های مرتبط تجاری با فهرست تهدیدات و اقدامات امنیتی موجود و از قبل برنامه‌ریزی شده
• فهرست آسیب‌پذیری‌های نامرتبط با هر تهدید شناسایی شده
• فهرست سناریوی رخداد‌ها و پیامدهای آن‌ها

تخمین ریسک

دو روش برای تخمین ریسک وجود دارد:

• ارزیابیِ ریسک کمی

اکثرا سازمان‌ها از این روش ارزیابی استفاده نمی‌کنند، مگر موسسات مالی و شرکت‌های بیمه.  در ریاضیات به ریسک کمی، پیش‌بینیِ ضرر سالانه یا به اختصار (ALE)، گفته می‌شود. ALE ضرر مالیِ پیش‌بینی شده‌ای برای یک منبع است که از عملی شدن یک ریسک طی دوره‌ای یک ساله انتظار می‌رود.

ALE = SLE * ARO

پیشبینی ضرر واحد Single Loss Expectancy یا SLE، ارزش یک ضرر واحد از منبع است. این مقدار ممکن است تمامیِ منبع را شامل شود یا نشود و نشان‌دهنده‌ی تاثیر ضرر است. نرخ وقوع سالانه (Annualised Rate of Occurrence) یا به‌اختصار ARO، نشان می‌دهد که ضرر هر چند وقت یک بار اتفاق می‌افتد و بیانگر احتمال وقوع ضرر است.

در ظاهر ارزیابی ریسک کمی ساده به نظر می‌رسد اما در منسوب کردن ارزش به پارامترها مشکلاتی وجود دارد. گرچه تعریف هزینه‌ی سیستم آسان است، اما تعیین دقیق هزینه‌های غیرمستقیم مثل ارزش اطلاعات، فعالیت تولیدی از دست رفته و هزینه‌ی بازیابی سخت می‌باشد. احتمال عامل دیگر دقیقا مشخص نیست. بنابراین در ارزیابی ریسک کمی حاشیه خطای بسیار زیادی وجود دارد. به‌دلیل در دسترس نبودن اطلاعات دقیق و کافی اجرای ارزیابیِ ریسک کمی برای یک سیستم IT مقرون به‌صرفه نیست.

• ارزیابیِ ریسک کیفی

ارزیابی ریسک کیفی احتمال، با درنظر داشتن اینکه احتمال و ارزش‌های اثر بسیار نامشخص هستند، ارزش تاثیر و ریسک را به‌صورت نسبی (Subjective) مشخص می‌کند. ارزیابی ریسک کمی نتایج ریسک را به‌صورت «زیاد»، «متوسط» و «کم» نشان می‌دهد. مراحل ارزیابی ریسک کیفی در ادامه آمده است:

شناسایی تهدیدها: تهدیدات و منابع آن باید شناسایی شوند. تهدیدات باید شامل منبع تهدید باشند تا تخمین دقیق امکان‌پذیر گردد. باید فهرستی از تمام تهدیدات ممکن در سراسر سازمان جمع‌آوری شود و از این ریسک به‌عنوان مبنای تمام فعالیت‌ها در جهت مدیریت ریسک استفاده گردد. برخی از نمونه‌های تهدید و منبع تهدید به شرح زیر هستند:

• تهدیدات طبیعی: سیل، زلزله و غیره.
• تهدیدات انسانی: ویروس، Worm و غیره.
• تهدیدات محیطی: قطی برق، آلودگی و غیره.

شناسایی آسیب‌پذیری‌ها: آسیب‌پذیری‌ها به روش‌های بی‌شماری شناسایی می‌شوند. بعضی از این ابزارها در زیر آمده‌اند:

1. اسکنر آسیب‌پذیری: نرم‌افزاری که سیستم عامل یا کد را برای شناسایی نقص‌ها با دیتابیس Signatureهای نقص‌ها مقایسه می‌کند.
2. تست نفوذ: تحلیلگر امنیت انسانی تهدیداتی را در مقابل سیستم تست می‌کند، از جمله آسیب‌پذیری‌های عملیاتی مثل مهندسی اجتماعی
3. Audit کنترل‌های عملیاتی و مدیریتی: کنترل‌های عملیاتی و مدیریتی از طریق مقایسه‌ی سند‌های موجود با بهترین راهکارها مثل ISO 17799 و با مقایسه‌ی راهکارهای واقعی با فرایند‌های مستند فعلی، بازبینی می‌شوند.

 مرتبط سازیِ تهدیدات با آسیب‌پذیری‌ها

این سخت‌ترین و ضروری‌ترین فعالیت در ارزیابی ریسک است. شکل‌گیری فهرستِ جفت تهدیدات به آسیب‌پذیری‌ها  به این ترتیب است: بازبینیِ فهرست آسیب‌پذیری و جفت کردن یک آسیب‌پذیری با هر تهدیدی که به آن قابل اعمال است، سپس بازبینی لیست تهدیدات و اطمینان حاصل کردن از این که تمام آسیب‌پذیری‌هایی Threat-Action می‌تواند با آن‌ها مقابله کند، شناسایی شده‌‌اند.

تعریف میزان احتمال

احتمال، امکان وقوع یک تهدید ایجاد شده توسط منبع تهدید، در برابر یک آسیب‌پذیری است. نمونه‌هایی از تعاریف احتمال ممکن است به‌شرح زیر باشند:

پایین: 0 الی 30 درصد، احتمال عملکرد موفق یک تهدید در دوره‌ای یکساله.

متوسط: 31 الی 70 درصد احتمال عملکرد موفق یک تهدید در دوره‌ای یکساله.

بالا: 71 الی 100 درصد احتمال عملکرد موفق یک تهدید در دوره‌ای یکساله.

این تعاریف صرفا نمونه هستند. سازمان‌ها می‌توانند از تعاریف مخصوص خودشان مثل: خیلی پایین، پایین، متوسط، بالا و خیلی بالا استفاده کنند.

تعریف میزان اثرگذاری

بهترین تعریف اثرگذاری، از نظر تاثیر بر میزان محرمانه بودن، یکپارچگی و دردسترس بودن ارائه شده است. نمونه‌هایی از تعاریف ارائه شده برای اثر در جدول زیر آمده است:

ارزیابی ریسک

ارزیابیِ ریسک فرایند‌ مشخص کردن احتمال عملی شدنِ تهدید مقابل آسیب‌پذیری و نتیجه‌ی حاصل از یک توافق موفق است. ماتریکس نمونه‌ی مشخص کردن ریسک به ‌شکل زیر است:

مانیتورینگ ریسک

فرایند‌ ارزیابیِ ریسک، خروجی فرایند‌ تحلیل را به‌صورت ورودی دریافت می‌کند. این فرایند در ابتدا هر سطح ریسک را در مقابل معیار قابل‌قبول بودن ریسک (Risk Acceptance)  قرار می‌دهد و سپس فهرست ریسک را با نشانه‌های رفع ریسک الویت‌بندی می‌کند.

مدیریت یا کاهش ریسک

فرایند کاهش ریسک متضمن اولویت‌بندی، ارزیابی و اجرایی کردن کنترل‌های مناسب برای رسیدگی به ریسک است که در فرایند‌ ارزیابیِ ریسک پیشنهاد شده است. از آنجایی که از بین بردن تمام ریسک‌ها در یک سازمان امری تقریبا غیر ممکن است، وظیفه‌ی مدیر ارشد و مدیران تجاری و عملیاتی این است که کم‌هزینه‌ترین روش و مناسب‌ترین کنترل‌ها را به‌کار ببرند تا ریسک را تا سطحی قابل قبول کاهش دهند.

مطابق هر چارچوب پیشرفته ای، شش مرحله در کاهش ریسک وجود دارد.

• فرض وجود ریسک: به معنای پذیرفتن ریسک و ادامه‌ی عملکرد سیستم و همزمان به‌کاربردن کنترل‌ها است که به مرحله‌ی بعدی ختم می‌شود.
• اجتناب از ریسک: یعنی از بین بردنِ مسبب یا پیامدِ ریسک برای اجتناب از آن، برای مثال Shutdown کردن سیستم درصورتِ شناسایی ریسک.
• محدود کردن ریسک: محدود کردن ریسک با به‌کار بردن کنترل‌هایی انجام می‌شود که اثرات مخرب تهدیدی را که یک آسیب‌پذیری را هدف گرفته است، به حداقل می رسانند (برای مثال: استفاده از کنترل‌های حمایت‌گر، جلوگیری کننده و شناساگر).
• برنامه‌ریزی برای ریسک: مدیریت کردن ریسک با طراحی برنامه‌ای برای کاهش ریسک که کنترل‌ها را الویت‌بندی کرده، به‌کار می‌بندد و حفظ و نگهداری می‌کند.
• جست و جو و تایید: در این مرحله آسیب‌پذیری یا نقص تایید می‌شود و برای راه حل تصحیح آسیب‌پذیری‌ها جستجو انجام می‌گردد.
• انتقال ریسک: به‌معنای منتقل کردن ریسک برای جبران خسارت می‌باشد، برای مثال خرید گارانتی‌های بیمه، نه 100% در تمام موارد اما حداقل مقداری بازیابی از ضررها انجام می‌پذیرد.

ارتباطات ریسک

هدف اصلی این مرحله ارتباط برقرار کردن است جهت ارائه‌ی توضیحی جامع از تمامی جنبه‌های ریسک به سهامداران سازمان. ایجاد درک متقابل اهمیت دارد، زیرا روی تصمیماتی که در آینده گرفته می‌شود تاثیرگذار خواهد بود.

مانیتور و بازبینی ریسک

اقدامات امنیتی مرتبا بازبینی می‌شوند تا اطمینان حاصل شود که طبق برنامه کار می‌کنند و تغییرات محیط آن‌ها را بی اثر نکرده است. با وجود تغییرات عمده در محیط کار، اقدامات و تمهیدات امنیتی باید بروزرسانی بشوند. الزامات تجارتی، آسیب‌پذیری‌ها و تهدیدات می‌توانند در طول زمان تغییر کنند. باید برای Auditها به صورت منظم برنامه‌ریزی شود و باید توسط نهادی مستقل اجرا شوند.

ارزیابی و تشخیص IT

کنترل‌های امنیتی باید تایید گردند. کنترل‌های فنی سیستم‌هایی هستند که باید تست و تایید شوند. ارزیابی آسیب‌پذیری و تست نفوذ برای تایید وضعیت کنترل‌های امنیتی استفاده می‌شوند. مانیتور کردن رخدادهای سیستم طبق استراتژیِ مانیتور کردن امنیت، برنامه‌ی Incident Response و تایید امنیت و متریک‌ها، فعالیت‌های بنیادی برای اطمینان حاصل کردن از این هستند که بیشترین میزان امنیت به دست خواهد آمد. آسیب‌پذیری‌ها باید چک شوند و کنترل‌های دوره‌ای و فنی مثل بروزرسانی مرتب نرم‌افزارها باید به کار گرفته شوند.