مفهوم مدیریت ریسک

دانلود مقالات ISI درباره مدیریت ریسک + ترجمه فارسی

مدیریت ریسک(به انگلیسی: Risk management) کاربرد سیستماتیک سیاست‌های مدیریتی، رویه‌ها و فرایندهای مربوط به فعالیت‌های تحلیل، ارزیابی و کنترل ریسک می‌باشد. مدیریت ریسک عبارت از فرایند مستندسازی تصمیمات نهایی اتخاذ شده و شناسایی و به‌کارگیری معیارهایی است که می‌توان از آنها جهت رساندن ریسک تا سطحی قابل قبول استفاده کرد. برداشتی که از مدیریت ریسک ارائه شد ضرورت آگاهی از ریسکها را درجامعه و مؤسسه های اقتصادی آشکار می کند. تنها در پرتو چنین آگاهی هایی می توان نظام مدیریت ریسک را در جامعه و تمامی مؤسسه های مربوط سازمان داده و به فعالیت واداشت. آشکاراست که ایفای وظایف مدیریت ریسک را می توان بر حسب اندازه و وسعت هر مؤسسه، توسط یک واحد سازمانی و زیر نظر مدیر مربوط که مدیر ریسک نامیده می شود، انجام داد و راهبری کرد. برای شناخت انواع ریسک هایی که هر مؤسسه در معرض آنها قراردارد، می توان با روشهایی مشخص در میان منابع درون سازمان وبرون آن به جستجو پرداخت. از دیدگاه مدیریت ریسک منابع درون سازمان همه چیزهایی است که در هر مؤسسه موجود است و امکان بهره برداری از آنها وجود دارد. گردش عملیات مدیریت ریسک: 1. تشخیص مشکلها ( ریسکها ) 2. تشخیص و تعریف نیازها 3. تجزیه و تحلیل ساختارمشکلها ( ریسکها ) 4. گردآوری و طبقه بندی اطلاعات 5. تدوین استراتژی رویارویی با ریسکها 6. نظارت و پیگیری مدیریت ریسک شامل درک چرایی وقوع یک حادثه و همچنین درس گیری از خطاهای به وقوع پیوسته و اشتراک دروس آموخته شده جهت جلوگیری از وقوع همان حادثه در جای دیگری است و در سازمان های مفهوم مدیریت ریسک کسب و کار و عمومی به وسیله طیف وسیعی از قواعد و ساختارها ایجاد می شود. بیمارستان نیز فیزیکی از مکان های مهم، جهت برقراری مدیریت ریسک می باشد. گام های اصلی در فرآیند مدیریت ریسک • تعریف هدف مشخصی از مدیریت ریسک • شناسائی ریسک ها • ارزیابی خسارت • انتخاب روش های مقابله با مشکلات ریسک • انتقال خسارت به طرف دیگر مثل سازمان بیمه گر • کاهش احتمال وقوع خسارت و در صورت لزوم جلوگیری از توسعه آن مدیریت ریسک کاربرد سیستماتیک سیاست‌های مدیریتی، رویه‌ها و فرایندهای مربوط به فعالیت‌های تحلیل، ارزیابی و کنترل ریسک می‌باشد. به تعریفی دیگر، مدیریت ریسک عبارت است از فرایند مستندسازی تصمیمات نهایی اتخاذ شده و شناسایی و به‌کارگیری معیارهایی است که می‌توان از آنها جهت رساندن ریسک تا سطحی قابل قبول استفاده کرد. ضرورت های مدیریت ریسک • در تمامی اقدامات سازمانی، امکان تصمیم گیری متعدد است. • شرایط تصمیم گیری در زمانها و مکانهای مختلف، متفاوت است. • عواقب تصمیم گیری در شرایط مختلف متفاوت است. • وقایع آینده عمدتا غیر قابل پیش بینی و عدم قطعیت قاعده عام است. • درجه پیچیدگی سازمانها و میزان تعامل آنها با محیط ، با میزان توجه به مدیریت ریسک ارتباط مستقیم دارد. • همیشه می توان با اعمال مدیریت علمی و تحلیل ریسک احتمال ضرر و زیان به شرکت را به حداقل رساند. چهار روش مدیریت ریسک • اجتناب از خطر • به حداقل رساندن و یا کاهش اثرات منفی خطر • انتقال خطر • پذیرش برخی یا تمامی عواقب ناشی از خطر

در این صفحه تعداد 1991 مقاله تخصصی درباره مدیریت ریسک که در نشریه های معتبر علمی و پایگاه ساینس دایرکت (Science Direct) منتشر شده، نمایش داده شده است. برخی از این مقالات، پیش تر به زبان فارسی ترجمه شده اند که با مراجعه به هر یک از آنها، می توانید متن کامل مقاله انگلیسی همراه با ترجمه فارسی آن را دریافت فرمایید.
در صورتی که مقاله مورد نظر شما هنوز به فارسی ترجمه نشده باشد، مترجمان با تجربه ما آمادگی دارند آن را در اسرع وقت برای شما ترجمه نمایند.

Keywords: مدیریت ریسک; Risk management; Risk Registers; Risk Simulation; Software project management;

Keywords: مدیریت ریسک; Tourism risks; Risk perceptions; Risk-coping behavior; Tourism value chain; Incoming tour operators; Risk management

مدیریت ریسک

مدیریت ریسک یا مدیریت خطر کاربرد سیستماتیک سیاست‌های مدیریتی، رویه‌ها و فرایندهای مربوط به فعالیت‌های تحلیل، ارزیابی و کنترل ریسک می‌باشد. مدیریت ریسک عبارت از فرایند مستندسازی تصمیمات نهایی اتخاذ شده و شناسایی و به‌کارگیری معیارهایی است که می‌توان از آن‌ها جهت رساندن ریسک تا سطحی قابل قبول استفاده کرد. در واقع مدیریت ریسک به فرایند شناسایی، تحلیل و پاسخ به عوامل خطرساز گفته می‌شود که در طول عمر یک پروژه ممکن است رخ بدهند. اگر مدیریت ریسک به‌درستی انجام شود می‌تواند با کنترل وقایع آینده، از خطرات احتمالی پیش‌گیری کند.

تعریف مدیریت ریسک

مدیریت ریسک به عنوان یکی از دوازده سطح اصلی «کلیات دانش مدیریت پروژه» معرفی شده‌است. در تعریف این مؤسسه، در این تعریف، مدیریت ریسک پروژه عبارت است از «کلیه فرایندهای مرتبط با شناسایی، تحلیل و پاسخگویی به هرگونه عدم اطمینان که شامل حداکثری نتایج رخدادهای مطلوب و به حداقل رساندن نتایج وقایع نامطلوب می‌باشد».

مدیریت ریسک فرایندی شامل دو فاز اصلی است؛ فاز تخمین ریسک (شامل شناسایی، تحلیل و اولویت بندی) و فاز کنترل ریسک (شامل مراحل برنامه‌ریزی مدیریت ریسک، برنامه‌ریزی نظارت ریسک و اقدامات اصلاحی) می‌باشد.

بنا به اعتقاد فیرلی مدیریت ریسک دارای هفت فاز است: ۱) شناسایی فاکتورهای ریسک؛ ۲) تخمین احتمال رخداد ریسک و میزان تأثیر آن؛ ۳) ارائه راهکارهایی جهت تعدیل ریسک‌های شناسایی شده؛ ۴) نظارت بر فاکتورهای ریسک؛ ۵) ارائه یک طرح احتمالی؛ ۶) مدیریت بحران؛ ۷) احیا سازمان بعد از بحران.

فرایند مدیریت ریسک

بنا به تعریف ایزو ۳۱۰۰۰، فرایند مدیریت خطر دارای چندین مرحله است:

• ایجاد زمینه شامل:

1. شناخت خطر در محدوده مورد نظر
2. برنامه‌ریزی برای فرایندهای باقیمانده

• شناسایی خطر
• ارزیابی خطر

اصول مدیریت ریسک

مدیریت ریسک یکی از قسمت‌های محوری مدیریت استراتژیک هر سازمان به‌شمار می‌رود. این شیوه شامل فرایندهایی است که از طریق آن سازمان‌ها می‌توانند به صورت روش‌مند خطرهای مرتبط با فعالیت‌هایشان را شناسایی کنند. یک رویکرد مدیریت خطر موفق باید با سطح خطر در سازمان متناسب و با دیگر فعالیت‌های سازمان هم‌راستا باشد. از دیگر ویژگی‌های مدیریت خطر موفق می‌توان به جامعیت گستره کار، گره‌خوردگی با فعالیت روزمره، و پویایی در پاسخگویی به شرایط نام برد.

چرا باید مدیریت ریسک اجرا شود

مدیریت ریسک ۴ هدف اصلی را دنبال می‌کند:

• شناسایی ریسک‌های احتمالی؛
• کاهش یا تعدیل ریسک‌ها؛
• فراهم کردن اصول منطقی برای تصمیم‌گیری بهتر در رابطه با ریسک‌ها؛
• برنامه‌ریزی.

ارزیابی و مدیریت ریسک‌ها بهترین راه مبارزه با حوادث ناگوار سر راه پروژه است. با ارزیابی برنامه برای مشکلات بالقوه و راهبردهایی برای رفع آنها، شانس موفقیت تیم بهبود خواهد یافت. با مدیریت صحیح، ریسک‌های با اولویت بالاتر شناسایی می‌شوند و هزینه‌های احتمالی ناشی از آنها در طول اجرای پروژه مدیریت خواهند شد.

فرایند تجزیه و تحلیل ریسک

فرایند تجزیه و تحلیل ریسک اساسا به فرایند حل مشکل گفته می‌شود. ابزار کیفیت و ارزیابی برای تعیین و اولویت‌بندی ریسک‌ها، به منظور ارزشیابی و حل‌‌و‌فصل آنها به‌کار می‌روند.

مفهوم مدیریت ریسک

ورود به پنل

ارزیابی مشاوران مدیریت

مرکز ملی رتبه بندی اتاق ایران

معاونت علمی فناوری ریاست جمهوری

صندوق نوآوری و شکوفایی

هلدینگ خلیج فارس

پارک فناوری پردیس

پارک علم و فناوری یزد

ارزیابی فرآیند مدیریت ریسک

مفهوم ارزیابی فرآیندی
در اقتصاد جهانی به‌هم‌پیوسته‌ی کنونی، فشار رقابت در بسیاری بازارها، شرکت‌ها را هرچه بیش‌تر به سمت افزایش بهره‌وری می‌راند. بزرگ‌تر شدن شرکت‌ها یکی از طبیعی‌ترین رویکردهای افزایش بهره‌وری است. گرچه بزرگ‌تر شدن شرکت‌ها خود در پی نیاز به افزایش بهره‌وری انجام می‌شود؛ اما شرکت‌های بزرگ به‌آسانی می‌توانند بسیار نابهره‌ورتر از شرکت‌های کوچک شوند. با توجه به حجم عظیم سرمایه‌های اولیه و در گردش این شرکت‌ها، اثر مطلق این کاهش بهره‌وری، چه به لحاظ مالی و چه به لحاظ غیرمالی بسیار زیاد خواهد بود.
در پارادایم (الگوواره) جاری شرکت‌داری، شرکت‌ها چاره‌ای جز رشد ندارند؛ در غیر این صورت زود یا دیر نابود خواهند شد. افزون بر جنبه‌های مالی، پیامدهای بالقوه‌ی بومی، کشوری و بین‌المللی زیست‌محیطی، اجتماعی و سیاسی فعالیت شرکت‌های متوسط و بزرگ می‌توان بسیار بزرگ باشد. دستیابی شرکت‌های متوسط و بزرگ به بهره‌وری مناسب، علاوه بر داشتن طرح‌های توسعه‌ای و کارآفرینانه‌ی خوب، نیاز به کنترل دقیق عملیات مختلف این شرکت‌ها نیز دارد. زیرا، در غیر این صورت زیان احتمالی می‌تواند بسیار بزرگ‌تر از سود احتمالی شود. آن‌چه این کار را انجام می‌دهد، فرآیندهای سازمان است.
فلسفه‌ی تشکیل یک سازمان انجام‌دادن کاری است که یک نفر به تنهایی نمی‌تواند انجام دهد. هنگامی‌که بیش از یک فرد، در اجرای کار و فرآیندی دخیل باشند، به‌طور طبیعی هر یک وظیفه‌ی مربوط به خود به یک روش انجام می‌دهد و چه‌بسا می‌کوشد که وظیفه‌ی خود را به بهترین نحو و کاراترین روش انجام شود. اما این روش انجام کار ممکن است سبب شود که فرد دیگر درگیر در فرآیند، نتواند کار خود را به بهترین نحو انجام دهد. لازم به تأکید است که چون هدف، انجام کار به روش یکسان و مستقل از سلایق فردی است و این مهم جز از طریق مستند و مکتوب کردن ممکن نمی‌شود، در فضای ادبیات سازمانی، فرآیندهایی که مستند نباشند را نمی‌توان به رسمیت شناخت.
هم‌چنین این ابهام وجود دارد که بهترین نحو انجام کار و تفسیر کارایی چیست؟ اگر «کارایی» را صرف‌کردن کم‌ترین هزینه برای به‌دست‌آوردن بیش‌ترین فایده بدانیم، حداقل مفهوم مدیریت ریسک دو ابهام پیش می‌آید: صرف‌کردن کم‌ترین هزینه در افق دید کوتاه‌مدت یا بلندمدت؟ و این‌که بیش‌ترین فایده، همیشه مالی نیست و یا این‌که اکثراً به دشواری می‌توان آن را کمّی کرد. نکته‌ی ظریف‌تر این است که چگونه بدانیم کاری را که بهترین نحو انجام می‌دهیم، بهترین کار ممکن است و به بهترین نتیجه منجر می‌شود؟ پاسخ این پرسش‌ها همه در «فرآیند»های سازمان نهفته است؛ این فرآیندهای سازمان هستند که رویه‌ی انجام کارها را یکسان می‌کنند. این فرآیندها هستند که با کاهش دوباره‌کاری‌ها و موازی‌کاری هزینه‌های سازمان را می‌کاهند.
از این‌ها مهم‌تر، این فرآیندها هستند که اجازه می‌دهند که رفتار سازمان را بتوان پیش‌بینی کرد. پیش‌بینی‌پذیری نیز سنگ‌بنای هدف‌گذاری است و هدف‌گذاری نیز اساسی‌ترین گام در دستیابی به اهداف است. نقل مشهوری وجود دارد که آن‌چه را نمی‌تواند سنجید، نمی‌تواند مدیریت کرد و سنجش اولین و اساسی‌ترین گام در بهبود هر مفهومی است.
وقتی یک سازمان یک هدف راهبردی تعیین می‌کند، باید فرآیندهای خود را در جهت رسیدن به آن اهداف توسعه دهد. در این صورت، دوری، نزدیکی یا دستیابی به اهداف را می‌تواند سنجید. در واقع فرآیندها خود مسیر رسیدن به اهداف هستند و این به اصطلاح «اثربخشی» نامیده می‌شود.
فرآیندها افزون بر این مزایا، (در کنار ساختار) خود جزو دارایی‌های نامشهود سازمان‌ها شناخته می‌شود. زیرا می‌توان آن‌ها را نوعی دانش سازمانی نیز دانست. زیرا بدون مستندسازی و بلوغ مفهوم مدیریت ریسک فرآیندها، هر فرد جدید مسئول آن کار را به روشی متفاوتی انجام می‌دهد. از سوی دیگر برای تعریف خود اهداف سازمانی هم فرآیندهایی می‌تواند وجود داشته باشد. این فرآیندها، که برجسته‌ترین آن‌ها فرآیند برنامه‌ریزی و مدیریت راهبردی است، خود می‌توانند ضامن اثربخشی دیگر فرآیندهای سازمان باشند. این فرآیندها در واقع فرآیندهای توسعه‌ای هستند (در برابر فرآیندهای کنترلی). به‌بیان‌دیگر، این فرآیندها هستند که سبب کارایی (کاهش هزینه‌ها)‌ و اثربخشی (افزایش فایده‌ها) هستند (بهره‌وری یعنی انجام کارای یک کار اثربخش). هرچه توانمندی، بلوغ و رسمی‌شدن فرآیندها در یک سازمان بیش‌تر باشد، احتمال موفقیت آن در دستیابی به اهداف مختلف و قابلیت اطمینان عملیات مختلف آن در بازه‌های زمانی مختلف بیش‌تر می‌شود.
امروزه شرکت‌های استارپ‌آپ از تم‌های اصلی گفت‌وگوهای نوآوران و کارآفرینان هستند. آینده‌ی این شرکت‌ها نیز یا بزرگ‌شدن است یا اکتساب و خریده‌شدن از سوی شرکت‌های بزرگ؛ و در هر دوی این سناریوها، این فرآیندها هستند که نخ نامرئی بین فعالیت‌های مختلف شرکت و ارزش‌زای پنهان هستند.
این مجموعه ارزیابی‌ها برای مدیران شرکت‌ها این امکان را نیز فراهم می‌کند، که فعالیت‌هایی که در اجرای یک فرآیند فعلاً انجام نمی‌دهند، اما اجرای آن می‌تواند مشکلی کوتاه‌مدت یا بلندمدت را حل کند یا از ریسک‌های مختلف آن کار بکاهد،‌ مطلع شوند.

ارزیابی فرآیند مدیریت ریسک
هیچ کسب و کاری بدون ریسک نیست. ریسک های کسب و کار از لحظه تصمیم گیری برای شزوع کسب و کار همراه صاحبان و مدیران شرکت میشوند و در کل دوران حیات شرکت این همراهی ادامه دارد.
شرکت ها درمراحل مختلف چرخه عمر خود ریسک های متفاوتی را تجربه می کنند. در آغاز این ریسک ها ساده و قابل پیش بینی اند و هرچه شرکت بالغتر می شود بر تعداد و پیجیدگی ریسک ها افزوده می شود. همگام با این تغییرات، فرایند های مدیریت ریسک سازمان نیز یک مسیر ساده به پیچیده را در طول عمر شرکت طی می کنند . و با رشد شرکت ، اهمیت و نقش ریسک ها بیشتر شده و توجه بیشتری را از شرکت طلب می کنند.
ارزیابی های شرکت تکچی بیانگر این است که توجه و پرداختن به مدیریت ریسک در شرکت های ایرانی وضعیت مناسبی ندارد، بطوریکه متوسط امتیاز مدیریت ریسک 29 درصد و بیشترین امتیاز شرکتی 49 درصد بوده است.
فرایند های مدیریت ریسک وظیفه پیش بینی، کنترل، و به حد اقل رسانیدن آسیب ناشی از ریسک ها را در شرکت بعهده دارد. در این ارزیابی گروه فرایند های مدیریت برگشت پذیری کسب و کار، مدیریت آسیب مفهوم مدیریت ریسک های زیست محیطی، مدیریت انطباق، و مدیریت ریسک شرکتی شامل 19 فرایند اصلی مورد ارزیابی قرار می گیرد. و فرایند های قوی و ضعیف شرکت شناسایی می شود.

مدیریت ریسک در فناوری اطلاعات

هر عاملی که موجب انحراف و یا مشکلی در برنامه و یا اجرای پروژه شود میتواند به عنوان یک ریسک برای پروژه در نظر گرفته شود.

قصد داریم تا در این مطلب، مدیریت ریسک را در فناوری اطلاعات بررسی کنیم.

هر پروژه ای با در نظر گرفتن شرایط و محیط اجرا، دارای ریسک های بالقوه ای است که در فرآیند مدیریت پروژه باید مورد توجه قرار گیرد.

ریسک ها یکی از دلایل عمده شکست پروژه ها هستند، به ویژه وقتی ریسک ها به طور غیر منتظره اتفاق بیفتند و یا زمانی که پروژه آمادگی لازم را برای مقابله با ریسک را نداشته باشد.

مدیریت ریسک از مهم ترین فعالیت های مدیریتی است که برای اطمینان از تشخیص کلیه ریسک ها، توسعه برنامه ریزی برای مقابله با ریسک ها و نیز اجرای برنامه در زمان وقوع ریسک ها ضروری است.

داشتن برنامه و طرح برای مقابله و مدیریت ریسک ها کمک زیادی به پیش بینی های مختلف و در نظر گرفتن زمان ها و بودجه های اضافی برای ریسک ها میکند.

مدیریت ریسک و فعالیت های مربوطه در مراحل اولیه پروژه آغاز میگردد، (حتی قبل از امضا قرارداد به منظور به دست آوردن دید کلی مخاطب پروژه) و به عنوان یک فعالیت مستمر در طول پروژه ادامه می یابد؛ زیرا معمولاً ریسک های جدیدی در طول پروژه اتفاق می افتند و نیز اولویت و احتمال وقوع ریسک ها نیز تغییر میکنند.

خروجی فرآیند تجزیه و تحلیل ریسک ها معمولاً منجر به تصمیمات مهم مدیریتی میشود و حتی در بعضی از موارد عامل تعیین کننده در ورود و یا عدم ورود به بعضی از پروژه ها (و یا حوزه های کاری) در نظر گرفته میشود؛ زیرا سازمان ها معمولاً در ورود به پروژه یا حوزه هایی که درجه ریسک پذیری بالا دارند، تمایل زیادی ندارند.

به طول کلی فعالیت های مدیریتی ریسک شامل موارد زیر میگردند:

– تشخیص ریسک ها

این مرحله، مرحله اول و کلیدی مدیریت ریسک است و سایر فعالیت ها بستگی به ریسک های تشخیص داده شده دارند.

به دلیل پتانسیل بالای به وجود آمدن ریسک های جدید، این فعالیت باید به طور مستمر انجام گیرد.

– تجزیه و تحلیل ریسک ها

در این مرحله، تجزیه و تحلیل ریسک ها برای تعیین اولویت بندی (طبق اثرات احتمالی و امکان وقوع)، برنامه ریزی نیز برای ریسک ها انجام میگیرد.

این برنامه ریزی ها میتواند با رویکرد جلوگیری (تشخیص مواردی که باعث وقوع ریسک ها میگردد.) و یا مدیریت ریسک ها در زمانی که واقع میشوند، باشند.

– مانیتور کردن ریسک ها و اجرای طرح های مقابله با ریسک ها

منظور مانیتور کردن ریسک ها و اجرای طرح ها و همچنین تاثیرات طرح های مقابله میباشد.

این آموزش برای همیشه رایگانه! می‌تونید با اشتراک‌گذاری لینک این صفحه از ما حمایت کنید یا با خرید یه فنجون نوشیدنی بهمون انرژی بدید!

مدیریت ریسک در امنیت سایبری: مدیریت آسیب پذیری‌ها

مدیریت ریسک در حوزه امنیت یک مفهومی کلیدی است که هدف اصلی آن استفاده از مکانیزم‌های مختلف امنیتی برای حافظت بیشتر از دارایی‌های حیاتی سازمان‌ می‌باشد. یک مثال ساده از مدیریت ریسک در دنیای واقعی می‌تواند انواع بیمه‌هایی باشد که برای حفاظت از فرد در برابر زیان‌های جانی و مالی طراحی شده‌اند. بیمه عمر، سلامت، خودرو، نمونه هایی از این بیمه هاست. در دنیای امروزی مفاهیم مربوط به مدیریت ریسک به اندازه‌ای مهم است که مفاهیم آن به دستگاه‌های فیزیکی مانند درب‌ها و قفل‌های امنیتی جهت محافظت از خانه‌ها و خودروها، گاوصندوق‌ها برای محافظت از پول و جواهرات گران‌بها و مامور آتش نشانی و پلیس امنیت برای محافظت در برابر سایر خطرات، نیز گسترش یافته است.

مفهوم مدیریت ریسک در امنیت سایبری

مدیریت ریسک در امنیت سایبری علاوه بر استفاده ازابزارهای امنیت فیزیکی مانند درب‌ها، قفل‌های امنیتی و گاوصندوق‌ها، شامل کلیه اقدامات مربوط به استفاده از راهکارهای ترکیبی، شامل استراتژی‌ها، تکنولوژی‌های امنیتی وحتی آموزش کاربران برای حفاظت از اطلاعات سازمان در برابر حملات نیز می‌شود. در حال حاضر هر نوع حمله‌ای می‌تواند سیستم‌های اطلاعاتی سازمان را به خطر بیاندازد و باعث به سرقت رفتن اطلاعات ارزشمند سازمان و آسیب به شهرت سازمانی شود. با توجه به افزایش میزان حملات سایبری نیاز به استفاده از راهکارهای مدیریت ریسک در حوزه سایبری افزایش چشمگیری داشته است.

ایده اصلی پیاده سازی راهکارهای مدیریت ریسک در حوزه‌ امنیت سایبری از مدیریت ریسک در دنیای واقعی الهام گرفته شده است. مدیریت ریسک سایبری شامل شناسایی خطرات و آسیب پذیری‌های امنیتی، شناسایی اقدامات و پیاده سازی راهکارهای جامع امنیتی جهت اطمینان از امنیت دارایی‌های سازمان می‌شود.

راه‌اندازی سیستم مدیریت ریسک

سازمان‌ها قبل ازهرگونه اقدامی برای راه‌اندازی سیستم مدیریت ریسک‌ در حوزه امنیت سایبری، بایستی دارایی‌های خود را که نیاز به حفاظت دارند مشخص، و براساس ارزش، آنها را اولویت بندی نمایند. طبق گفته موسسه ملی استاندارد و تکنولوژی (NIST) در فریم ورک خود، برای تعیین و اندازه گیری میزان بهبود امنیت زیرساخت‌های حساس، هیچ راهکار کامل و مشخصی وجود ندارد. از طرف دیگر سازمان‌‌ها از نظر زیرساخت‌ فناوری اطلاعات و خطرات بالقوه دارای تنوع بالایی می‌باشند. بر‌این‌اساس، مفهوم مدیریت ریسک بعضی از سازمان‌ها از جمله شرکت‌های ارایه دهنده خدمات مالی و شرکت‌های تامین کننده سرویس‌های حوزه سلامت، علاوه بر نگرانی‌های تجاری، بایستی نگرانی‌ها و دغدغه‌های قانونی را نیز در سیستم مدیریت ریسک امنیت سایبری خود در نظر بگیرند. به همین دلیل امنیت سایبری برای افزایش میزان اثر بخشی خود بایستی رویکردی لایه‌ای برای حمایت بیشتر از دارایی‌های مهم سازمان‌ها مانند داده‌های مربوط به سازمان، شرکای تجاری و مشتریان داشته باشند. دلیل این موضوع این است که عواقب مربوط به یک نفوذ می‌تواند آسیب بیشتری از خود نفوذ به سازمان وارد کند.

در موضوع مدیریت ریسک سایبری توصیه Citrix به سازمان‌ها این است که آنها از روش‌های مستند و پیاده سازی شده برای انجام فعالیت‌های که ممکن است خطرات امنیتی برای سازمان ایجاد کند، استفاده نمایند. علاوه بر این سازمان‌ها برنامه‌های امنیتی سایبری مفهوم مدیریت ریسک خود را بر اساس شیوه‌های پیشرو و جدید در صنعت و مطابق با استاندارد ISO 270001/2 طراحی و پیاده سازی کنند.

فرایند مدیریت ریسک

قدم اول برای تصمیم گیری در مورد شکل ریسک‌های مورد انتظار برای یک کسب و کار استفاده از فریم ورک امنیت مفهوم مدیریت ریسک سایبری است که برای حوزه کسب و کار مورد نظر پیاده سازی شده است.

توصیه اکثر راهنماهای نرم افزاری ارایه شده در این حوزه استفاده از فن آوری‌های جدید با توانایی شناسایی و ترسیم اطلاعات در سراسر شبکه سازمان می‌باشد. هنگامی که داده‌های سازمان به صورت ترسیم شده در اختیار سازمان قرار گیرد، مدیران می‌توانند تصمیمات بهتری در مورد نحوه کنترل و مدیریت داده‌ها و ایجاد راهکارهایی برای کاهش اثرات ریسک مربوط به داده ها اتخاذ کنند. می‌توان نتیجه گرفت که حتی با داشتن آموزش و فرهنگ امنیتی قوی، اطلاعات حساس سازمانی مانند داده‌های دخیره شده در ردیف‌های صفحات گسترده، یا یادداشت‌های درون فایل ارایه کارکنان یا به صورت موضوعاتی در یک ایمیل طولانی، می‌تواند به راحتی و به صورت تصادفی از یک سازمان خارج شوند. در اکثر موارد پایش سازمان برای پیدا کردن اطلاعات حساس در حالتی که در سازمان هیچ اطلاعاتی رد و بدل نمی‌شود و همچنین حذف هر گونه داده‌ای که تعلقی به محل ذخیره‌اش ندارد، تا حد زیادی خطر از دست دادن تصادفی اطلاعات حساس را کاهش می‌دهد.

طبق گفته Deloitte، فرآیند مدیریت ریسک از رویکرد مدل “بلوغ توانایی”، از پنج سطح زیر پیروی می کند:

• مدل اولیه (هرج و مرج، ad hoc، قهرمان فردی) : نقطه شروع برای استفاده از فرآیند تکرار جدید یا غیر مستند.
• مدل تکرارپذیر: این فرآیند حداقل به اندازه کافی مستند شده است تا بتواند تکرار مراحل مشابه را انجام دهد.
• مدل تعریف شده: فرآیند تعریف شده که به عنوان یک فرآیند کسب و کار استاندارد مورد تایید است.
• مدل مدیریت شده: فرآیند به صورت کمی و بر‌اساس معیارهای توافق شده مدیریت می‌شود.
• مدل بهینه سازی: مدیریت فرایندها براساس تفکر بهینه سازی\بهبود.

هنگامی که شکل ریسک مورد انتظار مشخص شد، کلیه زیرساخت‌های فناوری سازمان جهت تعیین وضعیت پایه‌ای برای خطر فعلی و آنچه که سازمان بایستی برای حرکت از حالت فعلی به حالت خطر مورد انتظار انجام دهد، مورد امتحان قرار می گیرد.

تا زمانی که در سازمان اقدامات پیشگیرانه برای پیدا کردن خطرات و تهدیدات احتمالی صورت گرفته باشد، احتمال وقوع خطر و قربانی شدن در لحظه حمله کمتر می‌شود.

Deloitte برای مدیریت ریسک سایبری روش محاسبه ریسک\پاداش را توصیه می‌کند. در این روش با اولویت‌بندی اقدامات لازم جهت افزایش امنیت شبکه، بیشترین بهبود امنیتی با کمترین هزینه فراهم می‌شود. برخی از شرکت‌ها ممکن است با محقق شدن 99 درصدی اقدامات مربوط به ارتقاء امنیتی موافق باشند . در حالی که سایر سازمان‌ها، به ویژه در صنایع نظارتی، خواهان نزدیک شدن به 100 درصد می‌باشند. بنابراین بایستی گام‌های پیش‌بینی شده به صورت افزایشی و به صورت اهداف مشخص (5 درصد بهبود در عرض شش ماه) و با قابلیت اندازه گیری، تعریف و اجرا شوند، تا بتوان تعیین کرد که آیا سازمان در حال پیشرفت در جهت برنامه‌های تعیین شده برای جلوگیری و کاهش خطرات سایبری می‌باشد یا نه.

آسیب پذیری‌های امنیتی کوچک می‌توانند باعث ایجاد زیان‌های بزرگی در سیستم‌های شبکه‌ای شوند. زیرا نفوذ به یک ناحیه بی‌ارزش از شبکه سازمان می‌تواند باعث دسترسی غیرمجاز به سیستم‌های مهم و اطلاعات حساس‌تر شود.

تنها راه ایجاد یک سیستم 100 درصد امن، اطمینان از عدم دسترسی به سیستم می‌باشد. این کار در بهترین حالت غیرعملی است. ایجاد محدودیت‌های زیاد در سیستم‌های شبکه و دسترسی‌های مربوط به داده‌های مورد نیاز کاربران، ممکن است کار را برای پرسنل مجاز، به منظور انجام کسب و کار، سخت تر کند. از طرفی اگر کاربران مجاز متوجه شوند که نمی‌توانند به سیستم‌ها یا داده‌هایی که برای انجام کار خود به آنها نیاز دارند، دسترسی پیدا کنند، ممکن است به دنبال راهکارهایی بروند که می‌تواند اطلاعات سازمان را به خطر بیندازد.

کاهش ریسک

از جمله اقدامات امنیت سایبری که باید مورد توجه قرار گیرد، عبارتند از:

• محدود کردن دسترسی ایستگاه‌های کاری به اینترنت.
• نصب نرم‌افزارهای کنترل دسترسی شبکه.
• محدود کردن تعداد افرادی که دسترسی به مجوزهای مدیر دارند. و داشتن کنترل دسترسی برای مجوزهای هر مدیر.
• Patche اتوماتیک سیستم عامل‌ها و برنامه‌های کاربردی.
• ایجاد محدودیت برای سیستم عامل‌های قدیمی‌تر (یعنی دستگاه‌هایی که ویندوز XP یا سیستم عامل‌های قدیمی‌تر دارند، پشتیبانی نشوند).
• پیکربندی و میزان‌سازی فایروال‌ها.
• نصب آنتی ویروس‌ها و نرم‌افزارهای مربوط به امنیت نقاط پایانی.
• استفاده از احراز هویت دوعاملی برای دسترسی به فایل‌ها و سیستم‌های خاص.
• ارزیابی ساختار فعلی برای اطمینان از وجود نظارت و تعادل در سراسر سیستم.
• ایجاد محدودیت برای مجوزهای مدیر.

در ادامه MarkLogic موارد زیر را برای افزایش ویژگی‌های کیفی مدیریت ریسک پیشنهاد کرده است :

رمزگذاری پیشرفته:

رمزگذاری داده‌ها ویژگی جدیدی برای پایگاه‌های داده نمی‌باشد. اما امروزه رمزگذاری بایستی طبق استراتژی مشخص و به صورت سیستماتیک اجرایی شود تا از داده‌های سازمان در مقابل تهدیدات خارجی و داخلی محافظت شود. این موضوع شامل کنترل دسترسی مبتنی بر نقش سازمانی افراد، رمزنگاری براساس استانداردها، سیستم مدیریت کلید پیشرفته، تفکیک بر اساس ریز وظایف افراد و الگوریتم‌های پیشرفته رمزنگاری است که به طور چشمگیری مفهوم مدیریت ریسک باعث کاهش افشای اطلاعات می‌شود.

اگرچه رمزگذاری داده‌ها برای جلوگیری از به سرقت رفتن آنها در برابر تهدیدات بیرونی مفید است، اما در برابر به سرقت رفتن داده‌های داخلی کمی ضعیف عمل می‌کند. زیرا اشخاصی که دسترسی به اطلاعات حساس دارند، لزوما اطلاعات کافی برای رمزگشایی آنها را نیز در اختیار دارند. بنابراین سازمان‌ها بایستی از داده‌هایی که از سیستم‌های حساس سازمان و با استفاده از رسانه‌های قابل حمل مانند درایوهای اکسترنال و سایر ابزارهای قابل حمل جابه جا می‌شوند نیز محافظت کند.

اصلاح و بازبینی:

سازمان‌ها بایستی بین حفاظت داده‌ها و توانایی به اشتراک گذاری آنها تعادل ایجاد کنند. اصلاح و بازبینی، سازمان را قادر می‌سازد تا اطلاعات را با کمترین زحمت و با مخفی کردن اطلاعات حساس مانند نام‌ها و شماره‌ها در هنگام جستجو و بروز رسانی، به اشتراک بگذارد.

امنیت در سطح عنصر

از آنجایی که اصلاح و بازبینی در سازمان‌ها نقش بسیار مهمی دارد، سازمان‌ها نیاز دارند که بتوانند این کار را بر اساس نقش کارمندان در سطح ویژگی‌های خاص یا براساس نقش‌های کارکنان در سازمان انجام دهند. سازمان‌ها باید بتوانند قوانین سفارشی و همچنین قوانین خارج از قاعده را پیاده سازی و اجرا کنند.

عنصر انسانی

فراتر از اقدامات احتیاطی و تکنولوژی‌های امنیتی، آموزش‌های مداوم در مورد تهدیدات امنیتی امری ضروری می‌باشد. بسیاری از هکرها خود را پشت تروجان‌ها، ویروس‌ها و دیگر نرم‌افزارهای مخرب برای فیشینگ مفهوم مدیریت ریسک قرار می‌دهند و اکثرا افرادی با مجوزهای مدیریتی و دسترسی‌های موجود برای فایل‌های اجرایی حاوی نرم افزارهای مخرب را هدف قرار می‌دهند تا با کسب مجوزهای لازم به اطلاعات کاربری آنها و اطلاعات حساس شخصی و یا اطلاعات مهم سازمان، دسترسی پیدا کنند.

NIST توصیه می کند سازمان‌ها، اطلاعات امنیت حوزه سایبری خود را در سیاست ها و خط مشی سازمان تبعین نماید تا کارکنان و شرکای تجاری اطلاعات کافی در مورد مجوزهای خود داشته باشند.

پاسخ به حوادث

بودن در اینترنت، سازمان را در معرض انواع خطرات سایبری قرار می‌دهد و تلاش‌های داخلی و خارجی برای به خطر انداختن اطلاعات سازمان را افزایش می دهد. بنابراین باید برنامه‌ای برای واکنش به حوادث وجود داشته باشد تا تعیین کند که چه اقداماتی بایستی در صورت وقوع حادثه انجام شود. افزایش تلاش‌های هکرها جهت نفوذ در سازمان یا صنایع مرتبط با سازمان می‌تواند به معنی اتخاذ اقدامات شدید باشد. اگر یک نفوذ واقعی برای سازمان اتفاق بیافتد، سازمان باید برنامه‌ای با جزییات دقیق جهت اطلاع رسانی به داخل و خارج سازمان، مجاری قانونی، شرکای تجاری و کاربران خود، و چک لیست کاملی در ارتباط با اقدامات مورد نیاز، پاسخ هایی برای محافل عمومی و غیره داشته باشد. توصیهNIST برای سازمان داشتن برنامه جامع واکنش به حوادث می‌باشد.

راهکارهای امنیت سایبری و سرویس‌های مدیریت ریسک

در حالت ایده آل، سازمان‌ها ساختار امنیتی جامعی شامل ترکیبی از فن آوری‌های مختلف مانند فایروال‌ها، امنیت نقاط پایانی(Endpoint security)، سیستم‌های جلوگیری از نفوذ، سیستم Threat intelligence و سیستم کنترل دسترسی را در شبکه خود پیاده سازی می‌کنند. سازمان‌ها برای رسیدن به این نقطه ممکن است بخواهند بر روی سرویس‌های ارزیابی ریسک برای داشتن یک ارزیابی جامع و ارایه راهکار، تمرکز نمایند تا این اطمینان حاصل شود که بودجه امنیتی آنها به صورت بهینه‌ای هزینه می‌شود.

شرکت‌های مختلفی در دنیا سرویس‌های مدیریت ریسک جامع ارایه می‌دهند که در زیر تعدادی از آن‌ها آورده شده است: