إدارة مخاطر أمن المعلومات
عندما نتحدث عن إدارة مخاطر أمن المعلومات نكتشف أن مصطلح "إدارة المخاطر" مستخدم في العديد من التخصصات و المهن، فالعاملين في البنوك يستخدمونه للإشارة إلي مخاطر الائتمان( من بين أمور أخري). أما المتخصصين في مجال تكنولوجيا المعلومات فيستخدمونه للإشارة إلي مخاطر التي تتعرض لها المعلومات نتيجة هجوم فيروسات الكمبيوتر علي سبيل المثال.والمدققين الداخليين يستخدمونه للإشارة إلي الضوابط المالية الداخلية بالمؤسسة. و ضباط الأمن والسلامة
المهنية يستخدمونه للإشارة للمخاطر الصحية، وغير ذلك فالقائمة طويلة. وهذا يعكس الإتجاه المتزايد لتطبيق آليات إدارة المخاطر في العديد من التخصصات و المهن، بما فيها تطبيقات تكنولوجيا المعلومات
هناك ثلاثة مراحل تمثل الأعمدة الرئيسية التي تكون برنامج ناجح لإدارة مخاطر تكنولوجيا المعلومات، و لكل مرحلة منها أنشطتها و مهامها
مرحلة إدارة المخاطر، مرحلة رصد و تقييم المخاطر، مرحلة تحديد وقياس المخاطر
في المرحلة الأولي من مراحل برنامج إدارة مخاطر تكنولوجيا المعلومات، يتم التركيز علي تعريف المخاطر التي تتعرض لها المؤسسة و التكنولوجيا المستخدمة بها، مع زيادة التوعية بتلك المخاطر و تحديد التأثير المتوقع حدوثه علي دورة العمل في المؤسسة في حال حدوث الكارثة ، و تتمحور الأنشطة الرئيسية في هذه المرحلة حول
(1) عمل قائمة بكل الأصول المعلوماتية و التكنولوجية التي تمتلكها المؤسسة
(2) تحديد مستوي الامتثال لسياسات أمن المعلومات المعلنة في المؤسسة
(3) تقييم المخاطر التي تتعرض لها المؤسسة
( 4) استعراض الخيارات المتاحة للتخفيف من حدة المخاطر
ويتم التركيز دائما علي المخاطر التي سيكون لها - في نهاية المطاف - تأثير اقتصادي سلبي علي المؤسسة، و من المتوقع ان تسبب خسائر متنوعة، مثل
خسائر تشغيلية : ناتجة عن تأثر مستوي التشغيل المعتاد لمنظومة العمل و استمرارية تقديم الخدمات التجارية بسبب أعمال التخريب، أو إصابة نظم المعلومات بالمؤسسة بفيروسات الكمبيوتر أو توقف الخدمة المقدمة للعملاء
خسائر قانونية : نتيجة العقوبات المالية المنصوص عليها في عقود قانونية نتيجة إفشاء المعلومات لأفراد أوجهات أو منافسين لم يكن من المفترض حصولهم عليها
خسائر مالية :خسائر في الإيرادات بسبب الإخلال باتفاقيات و فقدان السرية ، والنزاهة ، والخصوصية ، أو إتاحة المعلومات لأفراد أو جهات لم يكن من المسموح لهم الإطلاع عليها
خسائر استراتيجية : ناتجة من تأثر الإيرادات المستقبلية و فقدان العملاء أو الإخلال بحقوق الملكية الفكرية
تأثر سمعة المؤسسة: نتيجة لفقد ثقة العملاء و الجمهور في المؤسسة
مرحلة إدارة المخاطر
بمجرد أن تقوم إدارة المؤسسة بتعريف المخاطر و منهجية تنفيذ برنامج إدارة و التخفيف من المخاطر بالمؤسسة، تبدأ في الإختيار بين عدة إجراءات مقترحة منها
(1) تجنب المخاطر عن طريق تجنب استخدام معدات تقنية لا تستطيع المؤسسة حصر و التعامل مع المخاطر المحتملة الناتجة عن تشغيلها
(2) تقليل المخاطر من خلال تنفيذ ضوابط التخفيف من المخاطر
(3) قبول المخاطر لفترة زمنية محددة، إذا كانت التكلفة تزيد عن العائد المتوقع
(4) نقل المخاطر ليتحمله طرف آخر، ( علي سبيل المثال) التأمين علي التكنولوجيا المستخدمة لدي شركة تأمين
مهما كان القرار المتخذ، فالإجراء المنفذ من قبل الإدارة علي ضوء الخيارات المتاحة يجب ان يتم توثيقه في وثيقة مكتوبة ليتم مراجعته في المستقبل ، وهذه الوثيقة تكتسب درجة من الأهمية خصوصا عند اتخاذ قرار بقبول المخاطر، ومع تسارع المتغيرات التي تستجد علي التكنولوجيا المستخدمة و علي العمليات الإدارية. فيجب أن يتم مراجعة ظروف و بيئة المخاطر بصورة دورية، لفترة لا تزيد عن عام من تاريخ قرار قبول المخاطر وتحديد هل المخاطر لازالت موجودة، و ما إذا كان بالإمكان التخفيف منها بتطبيق الضوابط المقترحة
مرحلة رصد و تقييم المخاطر
بعد التنفيذ المبدئي لبرنامج إدارة مخاطر تكنولوجيا المعلومات، يجب تأسيس مجموعة من الآليات لضمان استمرار عمليات التعريف و التوعية و قياس و إدارة المخاطر و تعتبر إجراءات دمج تقنيات إدارة مخاطر تكنولوجيات المعلومات في دورة حياة المشروع خطوة جيدة للحفاظ علي استمرارية ثقافة إدارة المخاطر بالمؤسسة وهناك عناصر رئيسية مكونة لهذه المرحلة منها
(1) المحافظة علي استمرارية تحديث قائمة الأصول المعلوماتية و التكنولوجية للتأكد من أن كل وحدة عمل بالمؤسسة تقوم بتنفيذ إجراءات إدارة المخاطر
(2) إجراء تقييم ذاتي سنوي لتحقيق متطلبات أمن المعلومات للمشروع بأكمله
(3) مراجعة دورية لسياسات أمن المعلومات، للتأكد من أنها و ما يتبعها من متطلبات تستطيع التعامل مع المخاطر التي استجدت نتيجة لاستخدام تقنيات جديدة في العمل مع ملاحظة أن مهام برامج إدارة المخاطر تعتبر نشاطا داخليا، و من النادر أن تجد فعاليات تتعلق بها تطبق خارج نطاق العمل بالمؤسسة، إذا وضعنا في الاعتبار تصميم ضوابط متقنة لتقنين دخول الأفراد علي نظم معلومات المؤسسة من خارج العمل. و علي أي حال، وفي إطار توسع الشركات في تشجيع إجراء المعاملات التجارية من خلال الإنترنت، عمدت المؤسسات إلي تطوير برامج إدارة المخاطر لديها لتشمل كل الهيئات الخارجية من عملاء و موردين و شركاء تجاريين