چگونه یک چارچوب مدیریت ریسک امنیت اطلاعات موثر ایجاد کنیم؟

در دنیای دیجیتالی امروز، که حجم داده‌ها به طور فزاینده‌ای افزایش یافته و تهدیدات سایبری (Cyber Threats) در حال تکامل هستند، مدیریت ریسک امنیت اطلاعات (Information Security Risk Management - ISRM) یکی از حیاتی‌ترین وظایف برای هر سازمانی محسوب می‌شود. اگر شما مسئول این حوزه در شرکت خود هستید، می‌دانید که این مسئولیت با چالش‌های بسیاری همراه است. با وجود بودجه و منابع محدود، از یک رهبر امنیت اطلاعات انتظار می‌رود که رویکردی سیستماتیک به امنیت فناوری اطلاعات (IT Security) داشته باشد، ریسک‌های (Risks) با بیشترین تأثیر را شناسایی و دارایی‌های حیاتی (Critical Assets) را محافظت کند، به طور فعال خطرات را کاهش دهد، آسیب‌های ناشی از حملات سایبری (Cyberattacks) و نقض داده‌ها (Data Breaches) را به حداقل برساند، و اطمینان حاصل کند که سازمان می‌تواند سریع‌تر و آسان‌تر از حوادث امنیتی (Security Incidents) بازیابی شود. همچنین، توجیه سرمایه‌گذاری (Investment) در امنیت فناوری اطلاعات به هیئت مدیره از دیگر انتظارات است.

داشتن یک استراتژی جامع و موثر ISRM (Comprehensive and Effective ISRM Strategy) به شما در غلبه بر این چالش‌ها کمک شایانی می‌کند. در ادامه این مقاله، به بررسی اصول، مراحل و روش‌های ایجاد یک چارچوب مدیریت ریسک امنیت اطلاعات کارآمد می‌پردازیم.

مدیریت ریسک امنیت اطلاعات (ISRM) چیست؟

مدیریت ریسک امنیت اطلاعات، فرآیند شناسایی، ارزیابی و مدیریت ریسک‌های مرتبط با استفاده از فناوری اطلاعات است. این فرآیند به سازمان‌ها کمک می‌کند تا خطرات مربوط به محرمانه بودن (Confidentiality)، یکپارچگی (Integrity) و در دسترس بودن (Availability) که با نام CIA Triad شناخته می‌شود، دارایی‌های اطلاعاتی خود را شناسایی و ارزیابی کنند. به طور کلی، این فرآیند به دو بخش اصلی تقسیم می‌شود:

• ارزیابی ریسک (Risk Assessment): فرآیند جمع‌آوری و تحلیل اطلاعات درباره دارایی‌ها و کنترل‌های موجود، ترکیب این داده‌ها با ارزیابی احتمال وقوع رویدادهای تهدیدکننده برای محیط فناوری اطلاعات و تأثیر بالقوه آن‌ها، به منظور تعریف و اولویت‌بندی ریسک‌ها.
• درمان ریسک (Risk Treatment): مجموعه‌ای از اقدامات هدفمند برای اصلاح، کاهش، اجتناب، پذیرش یا انتقال ریسک‌ها بر اساس نتایج ارزیابی ریسک. هدف از درمان ریسک، کاهش یا از بین بردن ریسک‌ها و تضمین امنیت دارایی‌ها است. این فرآیند از چهار مرحله اصلی تشکیل شده است:
  1. شناسایی ریسک (Risk Identification)
  2. ارزیابی و تجزیه و تحلیل ریسک (Risk Analysis and Evaluation)
  3. تعیین استراتژی درمان ریسک (Risk Treatment Strategy Determination)
  4. پیاده‌سازی و پایش برنامه درمان ریسک (Risk Treatment Plan Implementation and Monitoring)

روش‌های درمان ریسک

درمان ریسک شامل استراتژی‌های مختلفی است که هر یک رویکردی متفاوت برای مقابله با خطرات دارند:

• کاهش (Mitigation/Reduction): این روش بر کاهش احتمال وقوع ریسک یا کاهش تأثیرات مخرب آن تمرکز دارد. این می‌تواند شامل اعمال کنترل‌های امنیتی (Security Controls) جدید، بهبود فرایندها، یا استفاده از فناوری‌های پیشرفته‌تر باشد. برای مثال، پیاده‌سازی رمزگذاری قوی‌تر (Stronger Encryption) یا سیستم‌های تشخیص نفوذ (Intrusion Detection Systems - IDS).
• اجتناب (Avoidance): در این روش، با اجتناب از فعالیت‌هایی که می‌توانند ریسک ایجاد کنند، از بروز ریسک جلوگیری می‌شود. به عنوان مثال، اگر یک سیستم قدیمی و آسیب‌پذیر ریسک بالایی دارد، سازمان ممکن است تصمیم بگیرد از آن استفاده نکند یا آن را با سیستمی امن‌تر جایگزین کند.
• پذیرش (Acceptance): در برخی موارد، پس از ارزیابی کامل، سازمان تصمیم می‌گیرد که ریسک را بپذیرد. این معمولاً زمانی اتفاق می‌افتد که هزینه کاهش ریسک بیشتر از تأثیر بالقوه آن باشد، یا زمانی که ریسک در سطح قابل قبولی قرار دارد. در این حالت، سازمان باید از ریسک و پیامدهای آن آگاه باشد و آمادگی مدیریت آن را داشته باشد.
• انتقال (Transfer): در این روش، مسئولیت مدیریت ریسک به یک طرف ثالث منتقل می‌شود. رایج‌ترین مثال، بیمه سایبری (Cyber Insurance) است که در آن، خسارات مالی ناشی از یک حادثه امنیتی توسط شرکت بیمه جبران می‌شود. این روش ریسک را از بین نمی‌برد، اما بار مالی آن را منتقل می‌کند.

ویژگی‌های یک رویکرد مدیریت ریسک امنیت اطلاعات موفق

یک استراتژی ISRM موفق باید دارای سه معیار کلیدی باشد:

• شناسایی و رسیدگی مناسب (Proper Identification and Handling): اطمینان از اینکه ریسک‌های غیرقابل قبول به درستی شناسایی شده و اقدامات لازم برای مقابله با آن‌ها انجام می‌شود.
• بهینه‌سازی منابع (Resource Optimization): جلوگیری از اتلاف زمان و منابع برای ریسک‌هایی که تأثیر قابل توجهی ندارند.
• دیدگاه جامع برای مدیریت ارشد (Holistic View for Senior Management): فراهم کردن دیدگاهی واضح از مشخصات ریسک سازمانی و اولویت‌های درمان ریسک برای مدیریت ارشد، جهت پشتیبانی از تصمیم‌گیری‌های استراتژیک (Strategic Decisions).

مراحل ایجاد یک برنامه مدیریت ریسک امنیت اطلاعات موثر

ایجاد یک برنامه ISRM موثر نیازمند یک رویکرد چند مرحله‌ای است که فرآیند مدیریت ریسک را ساده‌تر و قابل مدیریت‌تر می‌کند. در اینجا پنج مرحله برای ایجاد چنین برنامه‌ای آورده شده است:

مرحله ۱: همسویی کسب و کار (Business Alignment)

اولین گام، درک عمیق از شرایط کسب‌وکار سازمان است، از جمله ملاحظات بودجه‌ای، توانمندی کارکنان و پیچیدگی فرآیندهای تجاری (Business Processes). اهمیت این مرحله غیرقابل انکار است؛ بدون تمرکز بر آنچه برای کسب‌وکار شما حیاتی است، حتی بهترین تیم و ابزارها نیز ممکن است به شکست منجر شوند.

در این مرحله، باید با تیم رهبری سازمان همکاری نزدیک داشته باشید تا فرآیندهای تجاری، وابستگی آن‌ها به دارایی‌های فنی و جریان داده‌ها را درک کنید. همچنین، مستندسازی مشخصات ریسک سازمان (Organization's Risk Profile)، شامل شرح مفصلی از هر ریسک و میزان ریسک‌پذیری (Risk Appetite) سازمان (سطح ریسکی که سازمان برای دستیابی به اهداف خود آماده پذیرش آن است) ضروری است. این گام، پایه‌ای محکم برای برنامه ISRM شما فراهم می‌کند و حمایت مدیرانی را که برای اجرای موفقیت‌آمیز آن نیاز دارید، تضمین می‌کند.

مرحله ۲: تعریف برنامه (Program Definition)

در این مرحله، سازمان باید برنامه ISRM را تعریف کند. این شامل:

• تعریف یک برنامه سالانه تجویزی و به دنبال آن یک برنامه سه ساله در سطح بالا با اهداف و مقاصد خاص که باید به صورت سالانه برآورده شوند. این طرح باید به صورت سالانه با تغییرات در شرایط و فعالیت‌های تجاری تنظیم شود.
• تعریف واضح نقطه ورود قابلیت‌ها (Capabilities Entry Point) بر اساس ورودی مدیریت. این نقطه، تعریفی از قابلیت‌هایی است که سازمان پس از اجرای برنامه می‌خواهد داشته باشد.
• اطمینان از در دسترس بودن و توانایی کارکنان لازم برای اجرای برنامه. کارکنان مناسب، عنصر کلیدی هر برنامه ISRM هستند؛ ارزیابی صلاحیت و دسترسی آن‌ها برای دستیابی به اهداف برنامه حیاتی است.
• کسب شناختی از فرهنگ سازمان (Organizational Culture). حمایت کارکنان از اجرای برنامه ISRM، موفقیت آن را بسیار تسهیل می‌کند. بسته به فرهنگ سازمان، باید به طور شفاف در مورد برنامه با همه ذینفعان بحث کرد یا از مدیریت ارشد برای پیشبرد آن راهنمایی گرفت.

مرحله ۳: توسعه برنامه (Program Development)

در این مرحله، باید قابلیت‌ها و کنترل‌های عملکردی (Functional Capabilities and Controls) مرتبط با امنیت فناوری اطلاعات و مدیریت ریسک (مانند ارزیابی آسیب‌پذیری (Vulnerability Assessment)، واکنش به حادثه (Incident Response)، آموزش و ارتباطات) را به همراه مدل حاکمیتی (Governance Model) که تعیین می‌کند چه کسی مسئول هر حوزه است، تعریف کنید. اگر پیاده‌سازی قابلیت‌های ISRM را به اشخاص ثالث برون‌سپاری (Outsourcing) می‌کنید، حتماً خطرات را در نظر بگیرید و از نظارت مناسب (Proper Oversight) توسط کارکنان داخلی اطمینان حاصل کنید.

مرحله ۴: معیارها و محک‌زنی (Metrics and Benchmarking)

در این مرحله، سازمان باید معیارهایی را برای ارزیابی اثربخشی استراتژی ISRM تعریف کند. دو بهترین روش در اینجا عبارتند از:

• همسویی با استانداردها و دستورالعمل‌های صنعت (Alignment with Industry Standards and Guidelines): اطمینان حاصل کنید که برنامه ISRM شما با مقررات و استانداردهای صنعتی مانند COBIT، سری ISO/IEC 27000 (به ویژه ISO/IEC 27005:2018) و سری NIST 800 (به ویژه NIST Special Publication 800-37 (Revision 2) و NIST Special Publication 800-53A (Revision 5)) مطابقت دارد. مشورت با چندین استاندارد و چارچوب انطباق برای اطمینان از پوشش کامل عملکردها و قابلیت‌ها اهمیت دارد.
• استفاده از شاخص‌های کلیدی عملکرد (Key Performance Indicators - KPIs): از KPI‌ها برای اندازه‌گیری اثربخشی عملکردها و قابلیت‌های توسعه‌یافته از طریق برنامه ISRM استفاده کنید. هنگام توسعه KPI‌ها، باید ارزش تجاری مورد انتظار از قابلیت‌های ISRM را شناسایی کرده و معیارهای عینی برای ارزیابی آن ارزش تعریف کنید. KPI‌ها باید بر اساس تأثیر بالقوه کسب‌وکار و دستورالعمل‌های نقطه ورود باشند و در صورت امکان، ارزش دلاری آن‌ها مشخص شود تا وضعیت امنیتی با زمینه تجاری سازمان مرتبط شود. همچنین، شناسایی آستانه‌های قابل قبول و غیرقابل قبول برای هر KPI ضروری است.

مرحله ۵: اجرا و بهره‌برداری (Implementation and Operation)

در نهایت، باید استراتژی ISRM خود را پیاده‌سازی کرده و عملکرد آن را به طور مستمر نظارت کنید تا مسائل یا زمینه‌های بهبود را شناسایی کنید. تعریف برنامه یا شرایطی برای بازبینی دوره‌ای برنامه حیاتی است. تغییرات عمده در محیط IT (IT Environment)، نقض داده‌ها در صنعت شما، و تکنیک‌های جدید حمله سایبری، همگی دلایل معتبری برای بازبینی انتقادی برنامه ISRM و اصلاح آن در صورت لزوم هستند.

چارچوب‌های معتبر برای ایجاد یک ISRM موثر

چارچوب‌های NIST (National Institute of Standards and Technology) یک منبع عالی برای مدل‌سازی استراتژی مدیریت ریسک و خطوط پایه امنیتی هستند. اگر سازمان شما به دنبال بررسی جامعی از نحوه اعمال بهترین شیوه‌ها از طریق چارچوب‌های نظارتی ساختاریافته است که با الزامات انطباق (Compliance Requirements) نیز مطابقت دارند، مطالعه چارچوب مدیریت ریسک NIST (NIST Risk Management Framework - RMF) و چارچوب امنیت سایبری NIST (NIST Cybersecurity Framework - CSF) به شما کمک شایانی خواهد کرد:

چارچوب مدیریت ریسک NIST (NIST RMF)

چارچوب مدیریت ریسک NIST، همانطور که در نشریه ویژه NIST 800-37 (Revision 2) توضیح داده شده است، یک فرآیند جامع، انعطاف‌پذیر، قابل تکرار و قابل اندازه‌گیری را برای بهبود نحوه طراحی، ایمن‌سازی و نظارت بر سیستم‌های فناوری اطلاعات ارائه می‌دهد. اگرچه NIST RMF ابتدا توسط وزارت دفاع ایالات متحده (U.S. Department of Defense - DoD) توسعه یافته است، اما به عنوان پایه‌ای قوی برای برنامه‌های امنیت داده (Data Security) و حریم خصوصی (Privacy) برای هر سازمانی عمل می‌کند. NIST RMF شامل ۷ مرحله زیر است:

1. آماده‌سازی (Prepare): شامل شناسایی نقش‌های کلیدی مدیریت ریسک، تعیین میزان تحمل ریسک سازمان، و انجام یک ارزیابی ریسک در سطح سازمان از خطرات امنیتی و حریم خصوصی ناشی از بهره‌برداری و استفاده از سیستم‌های فناوری اطلاعات.
2. طبقه‌بندی (Categorize): طبقه‌بندی سیستم‌های فناوری اطلاعات بر اساس سطح ریسک و برآورد تأثیر نامطلوب از دست دادن محرمانگی، یکپارچگی یا در دسترس بودن سیستم‌ها و اطلاعاتی که آن‌ها پردازش، ذخیره یا منتقل می‌کنند.
3. انتخاب (Select): بر اساس نتایج مرحله قبل، انتخاب و پیاده‌سازی کنترل‌های امنیتی مناسب برای هر سیستم. در این مرحله، تصمیم‌گیری می‌شود که چه کنترل‌های امنیتی پایه (Baseline Security Controls) برای کاهش ریسک‌ها در هر دسته ریسک اجرا شود.
4. پیاده‌سازی (Implement): اجرای کنترل‌ها برای کاهش خطرات امنیتی و حریم خصوصی سیستم.
5. ارزیابی (Assess): ارزیابی صحیح بودن اجرای کنترل‌ها و عملکرد آن‌ها طبق انتظار برای محافظت از سیستم‌ها.
6. مجوزدهی (Authorize): برای سازمان‌های دولتی، پس از اعمال کنترل‌های امنیتی، یک مجوز عملیات (Authorization to Operate - ATO) می‌تواند به سیستم اعطا یا رد شود. برای سایر سازمان‌ها، ذینفعان داخلی یا خارجی ممکن است نیاز به بررسی بسته مجوز شامل برنامه‌های امنیتی، گزارش‌های ارزیابی و اسناد پشتیبان داشته باشند.
7. نظارت (Monitor): نظارت مستمر بر کنترل‌های سیستم برای اطمینان از اثربخشی آن‌ها و انجام به‌روزرسانی‌های لازم بر اساس تغییرات در محیط فناوری اطلاعات یا چشم‌انداز تهدید.

چارچوب امنیت سایبری NIST (NIST CSF)

چارچوب امنیت سایبری NIST (NIST CSF) چارچوب دیگری است که به شرکت‌ها در مدیریت بهتر و کاهش ریسک امنیت سایبری کمک می‌کند. این چارچوب شامل پنج عملکرد اصلی است:

• شناسایی (Identify): درک و اولویت‌بندی خطرات امنیت سایبری برای سیستم‌ها، افراد، دارایی‌ها، داده‌های حساس و قابلیت‌ها. فعالیت‌ها شامل مدیریت دارایی، حاکمیت و ارزیابی ریسک است.
• محافظت (Protect): پیاده‌سازی کنترل‌های امنیتی مناسب و سایر اقدامات حفاظتی برای محافظت از دارایی‌های حیاتی در برابر تهدیدات سایبری. نمونه‌هایی از فعالیت‌ها در اینجا مدیریت هویت و کنترل دسترسی، و ارتقای آگاهی و آموزش کارکنان (Employee Awareness and Training) است.
• تشخیص (Detect): اطمینان از اینکه سازمان می‌تواند به سرعت رویدادهایی را که می‌تواند خطراتی برای امنیت داده‌ها ایجاد کند، شناسایی کند. تکنیک‌ها شامل نظارت مستمر امنیتی (Continuous Security Monitoring) و تحلیل رفتار کاربر (User Behavior Analytics - UBA) است.
• پاسخ (Respond): ایجاد برنامه‌ای برای پاسخ به یک حادثه امنیت سایبری به منظور مدیریت تأثیرات آن، شامل تجزیه و تحلیل، ارتباطات و کاهش.
• بازیابی (Recover): داشتن یک استراتژی برای بازیابی قابلیت‌ها یا خدماتی که تحت تأثیر یک حادثه امنیتی قرار گرفته‌اند، به اطمینان از بازگشت سریع‌تر به عملیات عادی کمک می‌کند. حتماً طرح بازیابی (Recovery Plan) را مرور کرده و بهبودهایی مانند به‌روزرسانی یا جایگزینی خط‌مشی‌ها را انجام دهید.

خلاصه و نتیجه‌گیری

درک و مدیریت ریسک‌های مرتبط با سیستم‌ها و داده‌های حساس برای موفقیت هر سازمانی ضروری است. توسعه و پیاده‌سازی یک برنامه ISRM موثر، فرآیند مدیریت ریسک را قابل مدیریت‌تر کرده و به شما کمک می‌کند تا حیاتی‌ترین دارایی‌های خود را در برابر تهدیدات سایبری در حال ظهور محافظت کنید. با استفاده از چارچوب‌های معتبری مانند NIST RMF و NIST CSF، سازمان‌ها می‌توانند رویکردی ساختاریافته و جامع به امنیت اطلاعات داشته باشند و به طور مداوم وضعیت امنیتی خود را بهبود بخشند.

---

پرسش‌های متداول

مدیریت ریسک در امنیت سایبری چیست؟

مدیریت ریسک در امنیت سایبری به مدیریت ریسک‌های امنیتی و حریم خصوصی مرتبط با سیستم‌های اطلاعاتی اشاره دارد. این یک فعالیت کل‌نگر است که بر هر جنبه‌ای از سازمان از جمله برنامه‌ریزی مأموریت، معماری سازمانی، توسعه نرم‌افزار و مهندسی سیستم تأثیر می‌گذارد.

خطرات امنیت اطلاعات چیست؟

خطرات امنیت اطلاعات تهدیدهایی هستند که می‌توانند باعث آسیب یا اختلال در سیستم‌ها یا داده‌های فناوری اطلاعات شوند. خطرات رایج امنیت فناوری اطلاعات شامل افشای رمز عبور، بدافزار و نرم‌افزارهای جاسوسی، دسترسی غیرمجاز به شبکه و حملات مهندسی اجتماعی است.

هدف از چارچوب مدیریت ریسک NIST چیست؟

چارچوب مدیریت ریسک که توسط موسسه ملی استاندارد و فناوری (NIST) ایجاد شده است، به سازمان‌ها کمک می‌کند تا یک برنامه ISRM ایمن و پایدار بسازند. این به آن‌ها کمک می‌کند تا خطرات سیستم و داده‌های خود را شناسایی و ارزیابی کنند تا بتوانند تصمیمات امنیتی IT آگاهانه و مبتنی بر ریسک اتخاذ کنند.

آیا برنامه‌های صدور گواهینامه برای چارچوب مدیریت ریسک NIST وجود دارد؟

گواهینامه RMF اگرچه بیشتر برای سازمان‌های فدرال و ایالتی الزامی است، اما حتی اگر توسط دولت استخدام نشده باشید، می‌تواند ارزشمند باشد. برنامه‌های متعددی وجود دارد که به شما کمک می‌کنند نحوه اعمال چارچوب مدیریت ریسک را در استراتژی مدیریت ریسک خود بیاموزید و در صورت تمایل، گواهینامه دریافت کنید.

مدیریت ریسک چگونه امنیت فناوری اطلاعات را بهبود می‌بخشد؟

یک فرآیند مدیریت ریسک کامل می‌تواند امنیت فناوری اطلاعات را با شناسایی ریسک‌های سیستم‌ها و داده‌های فناوری اطلاعات سازمان، و تصمیم‌گیری آگاهانه در مورد چگونگی کاهش و حذف آسیب‌پذیری‌ها، به طور قابل توجهی تقویت کند.

---