وبلاگ

• • ریسکها اجباری که معمولا در مواقع بحرانی انجام خواهند شد.

• • ریسکهایی که بیشتر اختیاری هستند و بعضا نتیجه های بسیار خوبی می توانند در روند اجرای پروژه، سرعت انجام و حتی در تغییر مسیر ادامه پروژه به سمت و سوی بهتری را خواهند داشت.

برای دسته اول ریسکها، باید این را بدانیم از آنجا که ما در سطح تولید تکنولوژی نیستیم و بیشتر مصرف کننده تکنولوژی می باشیم، بنابراین بالاخص در پروژه های امنیتی از آسیب پذیری بالاتری رنج می بریم. به همین علت همیشه باید مد نظر داشته باشیم که در پروژه های امنیتی، اجازه ورود به هیچگونه فناوریهای جدید را ندهیم مگر پس از انجام تستهای لازم و بدست آمدن اطمینان کامل.

همچنین برای اینکه این تستها قابل اطمینان باشند باید قسمتی مانند استاندارد باشد که این تکنولوژی ها را از لحاظ امنیتی بررسی کرده و پس از تایید این قسمت اجازه استفاده در پروژه های امنیتی صادر شود و همچنین این قسمت که تستها را انجام می دهد باید مدام به روز شود.
اگر این کار انجام شود در پروژه های امنیتی کمتر با مواقع بحرانی روبرو می شویم و ریسک پروژه از این نظر پایین می آید. کلا باید بدانیم استفاده از تکنولوژی های جدید در پروژه های امنیتی ریسک بسیار بالایی دارند.
ریسک یک پروژه امنیتی یک مشکل بالقوه است که ممکن است اتفاق بیفتد و یا اصلا اتفاق نیفتد ولی مهم است که ریسک های یک پروژه ی امنیتی را بشناسیم و احتمال وقوع و میزان تاثیر آن بر پروژه را تعیین کنیم و در صورت وقوع یک برنامه برای حل مشکل وضع کنیم. تحلیل و مدیریت ریسک مراحلی است که مدیر پروژه را در فهم عدم قطعیت یاری می کند. برای حل این مشکل یعنی بر طرف کردن ریسک های پروژه های امنیتی ابتدا باید ریسک ها را شناسایی کرد سپس بر اساس احتمال وقوع و تاثیری که روی پروژه دارند اولویت بندی می کنیم و در نهایت برنامه ای برای مدیریت ریسک هایی با احتمال وقوع و تاثیر بالا ارائه داده می شود. اکثر سازمان ها به منظور مدیریت خطرات امنیتی از دو رویکرد متفاوت استفاده می نمایند :
۱ - رویکرد انفعالی، فرآیندی است که بر اساس آن صرفا” پس از بروز یک حادثه امنیتی به آن پاسخ داده می شود. تعداد زیادی از کارشناسان حرفه ای فن آوری اطلاعات همواره با این محدودیت مواجه می باشند که فعالیت ها را بگونه ای انجام و به اتمام برسانند که کمترین مشکل را برای کارکنان ایجاد نماید. پس از بروز یک مشکل امنیتی، کارشناسان فن آوری اطلاعات صرفا” می توانند از پیشرفت مشکل جلوگیری نموده و پس از ایزوله نمودن آن، مشکل سیستم های آلوده را برطرف نمایند. شاید در این رابطه برخی علاقه مند باشند که عامل اصلی بروز مشکل را پیدا نمایند، ولی با توجه به محدودیت زمان و منابع موجود در سازمان، عملا” امکان انجام آن وجود نخواهد داشت. متاسفانه برای بسیاری از سازمان ها همچنان رویکردهای انفعالی یک نگرش موثر به منظور برخورد با تهدیدات امنیتی است (پس از بروز مشکل در رابطه با نحوه برخورد با آن تصمیم گرفته می شود و برای پیشگیری از بروز حوادث از رویکرد خاصی تبعیت نمی گردد.
۲ - رویکرد پیشگیرانه، فرآیندی است که باعث کاهش خطر آسیب پذیری در یک سازمان می گردد. مدیریت پیشگیری از خطرات امنیتی دارای مزایای متعددی نسبت به یک رویکرد انفعالی است. در مقابل این که منتظر بمانیم تا یک حادثه اتفاق افتد و به آن پاسخ دهیم، احتمال بروز مشکل در اولین مکان را کاهش خواهیم داد. بدین منظور از رویه هائی خاص به منظور حفاظت از سرمایه های مهم سازمان استفاده می گردد. با پیاده سازی کنترل هائی که کاهش آسیب پذیری سیستم و سوء استفاده از آنان توسط نرم افزارهای مخرب را به دنبال خواهد داشت، امکان سوء استفاده مهاجمان از فرصت های ایجاد شده کاهش یافته و پیشگیری لازم در این خصوص انجام خواهد شد.
فرایند مدیریت ریسک بدین جهت انجام می‌شود که اطمینان یابیم تمامی ریسک‌ها به طور رسمی مشخص شده، رتبه‌بندی شده، مورد نظارت قرار گرفته و از رویداد آنها جلوگیری شده یا از تاثیر آنها کاسته شده است مدیریت ریسک تیم پروژه را تشویق می کند که روش های مناسبی را در پیش بگیرند تاتاثیرات منفی بر محدوده، هزینه و برنامه پروژه مدیریت در بحران را کمینه کنند هنگامی که باید از فرایند مدیریت ریسک پروژه استفاده شوداگرچه فرایند مدیریت ریسک در طور فاز اجرای پروژه مورد استفاده قرار می‌گیرد ریسک‌های پروژه ممکن است در تمامی مراحل چرخه عمر پروژه مشخص شوند. به صورت تئوری هر ریسکی که در طول چرخه عمر پروژه مشخص شود باید به عنوان بخشی از فرایند مدیریت ریسک به طور رسمی مدیریت شود. بدون فرایند مدیریت ریسک مناسب رسیدن به اهداف مورد نظر در موارد مالی، زمانی و کیفی با خطر مواجه می‌شود.
مدیریت ریسک پروژه پنج فرایند کلیدی زیر را در طول اجرای پروژه در نظر می‌گیرد:
۱- تشخیص ریسک‌های پروژه
۲- ثبت و درجه‌بندی ریسک‌های پروژه
۳- تعیین اعمال کاهش دهنده تاثیر ریسک بر پروژه
۴- تخصیص اعمال کاهش دهنده تاثیر ریسک بر پروژه جهت انجام و نظارت بر آنها
۵- بستن ریسک‌های پروژه
فعالیت‌های کاهش دهنده اثر ریسک که توسط گروه بازبینی پروژه مشخص شده و سپس اجرا می‌شوند معمولاً شامل این موارد هستند: الف) زمان‌بندی هر فعالیت برای اجرا. ب) اجرای فعالیت زمان‌بندی شده. ج) بررسی موفقیت فعالیت‌های اجرا شده.
مدیر پروژه تمامی ریسک‌هایی که احتمال رویداد آنها افزایش یافته است را مورد بازبینی قرار داده و چگونگی عملی شدن یا نشدن هر ریسک را در پروژه تعیین می‌کند. این تصمیم گیری در ابتدا بر اساس تاثیر ریسک بر روی موارد زیر انجام می‌شود:
۱- موارد قابل تحویل مشخص شده در قرارداد پروژه
۲- اهداف کیفی مشخص شده در برنامه کیفی پروژه
۳- اهداف پروژه‌ای مشخص شده در برنامه پروژه
۴- اهداف مشخص شده در برنامه منابع پروژه
۵- اهداف مالی مشخص شده در برنامه مالی پروژه
مدیریت ارشد باید به روشنی و با علاقه وافر از امنیت فرایند مدیریت ریسک پروژه های امنیتی حمایت کند. بدون این حمایت، ذینفعان ممکن است برای استفاده از مدیریت ریسک پروژه های امنیتی که سازمان را امن تر می کند مقاومت یا در اجرای آن تلاش کمتری کنند. علاوه بر این، بدون حمایت اجرایی روشن، ممکن است تک تک پرسنل سازمان، در اجرای دستورالعمل مربوط به شغل خود و یا کمک به حفاظت از دارایی های سازمان بی اعتنا شوند.
عدم مشارکت در کار و کوتاهی در انجام وظیفه کارمندان می تواند دلایل متعددی داشته باشد. یکی از دلایل، عدم تمایل آنها به تغییرات است. دلیل دیگر آنها، کم اهمیت و یا بی اهمیت دانستن مدیریت ریسک پروژه های امنیتی می تواند باشد یا اعتقاد به اینکه حتی اگر نقطه نظرهای آنها در حد نقطه نظرهای مدیران ریسک پروژه های امنیتی نباشد، آنها باز به عنوان کارمند قادر به افزایش دارایی های شرکت هستند و بر اساس تجربه می دانند که چگونه از پس کسب و کار بر آیند. بنابراین نیاز به مدیریت ریسک ندارند. به اضافه اینکه معتقدند قرار نیست به سازمان آنها حمله شود و یا مورد تهدید قرار گیرد.
پس برای شفاف کردن برخی از توهم ها، لازم است مدیریت ریسک پروژه های امنیتی مواردی را به صورت ذیل برای پرسنل سازمان مطرح کند:
۱- تیم مدیریت ریسک، پروژه امنیتی را به صورت روشن تعریف و وظایف افراد را مشخص می کند.
۲- از همکاری و مشارکت همگان بنا بر نیاز استفاده خواهد کرد.
۳- برای اجرای پروژه ها از منابع مالی و انسانی اصلح استفاده خواهد کرد.
۴- فرایند امنیت ریسک بدون ابهام و با تحرک بسیار حمایت خواهد شد.
۵- مشارکت در بررسی یافته ها و توصیه فرایند مدیریت ریسک پروژه­ های امنیتی در دستور کار قرار خواهد گرفت.
ریسک های امنیتی را می توان شناسایی کرد ولی چون هر فرد دیدگاه مختلفی دارد، لذا شاید بعضی مشترک و بعضی متفاوت باشد. ریسکهای امنیتی عبارتند از :
۱- اولویت بندی اشتباه ریسکها.
۲- توجه بیش از حد به شناسایی ریسکهای ناآشنا و یا نامشخص.
۳- توجه کم به ریسکها.
۴- تخمین بیش از حد به ریسکهای پنهان و کم بها دادن به ریسکهای معمول.
۵- غفلت و یا سوء تفاهم از تهدیدهای محیطی.
۶- اطمینان بیش از حد از سیستمهای داخلی.
۷- توجه به حملات خارجی که باعث می شود رخنه ها و نفوذها شناسایی شوند.
۸- توجه کمتر به کاربران داخلی که گاهی می تواند باعث آسیب پذیری های شدید امنیتی شود.
۹- کم بها دادن به خطرات ناشی از کنترل ها و یا اعتماد کردن به منابع خارجی، و غیره با توجه به این عوامل، خطرات واقعی ممکن است به درستی یا به طور کامل در ابتدا شناسایی نشوند بنابراین، ادراک و آگاهی انسانی باید به عنوان یک عامل خطر مهم برای فرایند مدیریت ریسک در نظر گرفته شود.
و همچنین در تحلیل ریسک باید در نظر داشت که همه ریسک های مشخص شده نیاز به تجزیه و تحلیل و اولویت بندی دارند به طوری که آنها می تواند حذف شود و یا حداقل به یک سطح قابل قبول کاهش داده شود. در تجزیه و تحلیل چندین جنبه خاص باید در نظر گرفته شود در تجزیه و تحلیل هر یک از ریسکهای فردی مانند احتمال وقوع، شدت، مقدار هزینه، اثربخشی از اقدام متقابل به کاهش خطر، و غیره این ریسک ها با یکدیگر مرتبط و باید در جزئیات به طور موثر برای کاهش ریسک ها مورد تجزیه و تحلیل قرارگیرند.
عناصر اصلی ریسک:
تمامی اشکال ریسک، چه آنها به‌عنوان ریسک سوداگرانه طبقه بندی شده باشند، چه به‌عنوان ریسک خطرناک، شامل عناصر مشترکی هستند که شامل چهار عنصر ذیل است:
۱- محتوا
۲ – فعالیت
۳ – شریط
۴ – پیامدها
محتوا یعنی زمینه، وضعیت، یا محیطی که ریسک در آن منظور شده و مشخص کننده فعالیتها و شریط مرتبط با آن وضعیت است. به‌عبارت دیگر، محتوا نمایی از تمامی پیامدهی سنجیده شده فراهم می‌سازد. بدون تعیین یک محتوی مناسب، به‌طور قطع نمی‌توان تعیین نمود، کدامین فعالیتها، شریط و پیامدها می‌بایست در تجزیه و تحلیل ریسک و فعالیتهای مدیریتی درنظرگرفته شوند. بنابرین، محتوا، مبنایی برای تمامی فعالیتهای بعدی مدیریت ریسک فراهم می کند.
بعد از ایجاد یک محتوا، عناصر باقی مانده در ریسک به‌طور مناسبی قابل بررسی هستند. عنصر فعالیت یعنی عمل یا اتفاقی که باعث ریسک می شود. فعالیت، عنصر فعال ریسک است و می بایست با یک یا چندین شرط ویژه برای ظهور ریسک ترکیب شود. تمامی اشکال ریسک با یک فعالیت به‌وجود می آیند؛ بدون فعالیت، امکان ریسک وجود ندارد. حال با دانستن عناصر ریسک می توان عوامل ریسک را تجزیه و تحلیل کرد تا عوامل ریسک ساز را به حد کافی کاست و یا عوامل ریسک ساز را پیدا کرد.