الأربعاء , 7 ديسمبر 2016
الرئيسية » الركن الإعلامي » متابعات وتحليلات » إدارة المخاطر المعلوماتية

إدارة المخاطر المعلوماتية

الدور الأساسي لأمن المعلومات هو دعم أعمال المؤسسة بغرض تحقيق رسالتها. وكل المؤسسات معرضة لمواجهة أمور غير معتادة يطلق عليها المخاطر. فالمخاطر هي الأضرار المحتملة التي يمكن أن تحدث لبعض العمليات الجارية في المؤسسة أو لبعض ما تقوم به من أنشطة في المستقبل، والتي إذا وقعت تؤثر سلبا على أدائها. فهي عبارة عن ربط بين احتمال وقوع حدث والآثار المترتبة على حدوثه. وهي موجودة في كل مجالات حياتنا، ويتم مواجهتها بما ينبغي من أدوات وإجراءات تختلف من مجال لآخر، ومن هنا نشأت الحاجة إلى تطبيق مفهوم إدارة المخاطر.

وإدارة المخاطر في مجال تكنولوجيا المعلومات تعني فهم العمليات الجارية وقياس وتقييم العوامل التي قد تحدث ضررا بها أو تؤثر سلبا عليها أو على المعلومات الناتجة منها، سواء كانت تلك العوامل عارضة أو مقصودة ممن يستهدف الإضرار بالمؤسسة، وتطوير استراتيجيات للتحكم فيها. وتتضمن هذه الاستراتيجيات نقل المخاطر إلى جهة أخرى أو تجنبها أو تقليل آثارها السلبية أو قبول بعض أو كل تبعاتها .

وتقوم المؤسسة بإدارة المخاطر لحماية أصولها وتحقيق رسالتها، فهي مهمة إدارية وتقنية في نفس الوقت، ومن هنا فينبغي أن تتكامل إدارة المخاطر مع ثقافة المؤسسة ومع السياسة التي تضعها الإدارة العليا، كما يجب أن تترجم استراتيجية إدارة المخاطر إلى أهداف عملية وخطط تنفيذية، وأن يتم تحديد المسؤوليات لكل مدير أو موظف مسؤول عن إدارة المخاطر كجزء من وصفه الوظيفي.

والإدارة الناجحة للمخاطر تستلزم إجراء عملية تقييم للمخاطر، من حيث شدتها في إحداث الخسائر واحتمالية حدوثها. ويتم هذا التقييم من خلال تحديد التهديدات ونقاط الضعف، ثم تحديد احتمال حدوث كل واحد من المخاطر وأثره على المؤسسة في حالة وقوعه، ويكون ذلك إما باستخدام أسلوب التقييم الكمي quantitative assessment، والذي يستخدم في أغلب الأمر بواسطة المؤسسات المالية وشركات التأمين، ويتم فيه وضع قيمة لكل عنصر من العناصر كالمعلومات، والنظام، ودورة الأعمال، وتكلفة استعادة عمل النظام إذا تعطل،…إلخ، ثم تحديد أثر كل واحد من هذه العناصر، وبالتالي يمكن قياس المخاطر الناجمة عنه في صورة تكلفة مباشرة وغير مباشرة. ويتم حينئذ تقدير حجم المخاطر بحساب الخسارة السنوية المتوقعة لأصل من أصول المؤسسة نتيجة تعرضه للمخاطر في خلال سنة، والتي يتم حسابها بمعرفة كل من الخسارة الناشئة عن تعطله في المرة الواحدة، والمعدل السنوي لحدوث العطل.

وهذا الأسلوب في حساب المخاطر لا يبدو مناسبا عند تطبيقه على نظم المعلومات، حيث يصعب تحديد التكلفة غير المباشرة للعديد من العناصر مثل المعلومات، كما لا يتوفر في العادة معلومات إحصائية عن دورية حدوث المخاطر، ولذا فإن أغلب آليات تقييم المخاطر التي تتعرض لها نظم المعلومات تعتمد على الأسلوب النوعي qualitative لقياس المخاطر، والذي يعترف بأن هناك درجة عالية من الإبهام حول احتمالية حدوث المخاطر وحول تحديد حجم ما تحدثه من آثار عند وقوعها.

ولذا فيتم تحديدها بعناصر نوعية أو رؤى شخصية، حيث يتم تعريفها لإدارة المؤسسة بصورة عامة بأنها مرتفعة أو متوسطة أو منخفضة، ثم إذا اقترن ذلك بوصف المخاطر وأثرها ومدى احتمالية حدوثها، فإن ذلك يساعد في توصيل صورة جيدة عن المخاطر لإدارة المؤسسة، وكلما كانت المخاطر واضحة وصريحة استطاعت الإدارة فهم وقبول النتائج والتوصيات.

وفهم المخاطر يتيح لمالك نظام المعلومات توفير سبل الحماية التي تتناسب مع قيمة النظام للمؤسسة. 

فالمؤسسات في حقيقة الأمر تملك موارد محدودة، بحيث أنها لا تقدر على القضاء التام على المخاطر، كما أن التغير المستمر في مصادر التهديدات وأنواعها، يجعل من غير الممكن المواجهة الكاملة لها. لذا، فإن فهم حجم المخاطر يتيح للمؤسسة تحديد أولويات تخصيص وتوزيع الموارد التي لديها، فبعض الموارد التي تنفق على إدارة المخاطر من الممكن أن تستغل في نشاطات أكثر ربحا. 

كما أن المخاطر ذات الخسائر الكبيرة واحتمالية الحدوث العالية ينبغي أن تعالج أولا، بينما المخاطر ذات الخسائر الأقل واحتمالية حدوث أقل تعالج فيما بعد.

وينبغي أن يمتلك أخصائيو أمن المعلومات مجموعة من الأدوات التي تساعد في بناء رؤية موحدة، مع الإدارة العليا، بشأن الأثر المحتمل للتهديدات المختلفة التي قد تتعرض لها المؤسسة فتؤثر على تحقيقها لرسالتها. 

وينبغي أن يكون هناك قدرة على استخدام تلك الأدوات بصورة متكررة من كل العاملين بالمؤسسة كجزء من سياستها، وأن يؤدي استخدامها ــ في الوقت نفسه ــ إلى تقليل المخاطر لدرجة مناسبة وبتكلفة مناسبة.

لذا، فإن منهجية إدارة المخاطر ينبغي أن تقوم على تفادي الخسائر قدر الإمكان، مع تقبل مستوى معين من الخسائر (المخاطر المتبقية)، ثم التخطيط لاستمرار العمل ومعالجة نتائج ما يتبقى من مخاطر. فإدارة المخاطر والتخطيط لاستمرارية العمل هما عمليتان متلازمتان، بحيث لا ينبغي فصل إحداهما عن الأخرى.

إن إدارة المخاطر هي صمام الأمان الأول في سياسة أمن المعلومات.

* أستاذ المعلومات جامعة الملك سعود

عضو مجلس الشورى.

—————

نقلاً عن عكاظ 

-- جبريل العريشي

اضف رد

لن يتم نشر البريد الإلكتروني . الحقول المطلوبة مشار لها بـ *

*