کاهش اثرات ریسک یک استراتژی برای آماده شدن و کاهش اثرات تهدیداتی است که یک کسب و کار با آن مواجه است. در مقایسه با کاهش ریسک، کاهش ریسک اقداماتی را برای کاهش اثرات منفی تهدیدات و بلایا بر تداوم کسب و کار انجام می دهد (BC). تهدیداتی که ممکن است یک کسب و کار را در معرض خطر قرار دهد شامل حملات سایبری، رویدادهای آب و هوایی و سایر علل آسیب فیزیکی یا مجازی است. کاهش ریسک یکی از عناصر مدیریت ریسک است و اجرای آن بر اساس سازمان متفاوت خواهد بود.
هدف از کاهش اثرات ریسک چیست؟
کاهش اثرات ریسک فرآیند برنامه ریزی برای بلایا و داشتن راهی برای کاهش اثرات منفی است. اگرچه اصل کاهش ریسک این است که یک کسب و کار را برای تمام خطرات بالقوه آماده کند، یک برنامه کاهش ریسک مناسب تأثیر هر ریسک را می سنجد و برنامه ریزی را حول آن تأثیر اولویت بندی می کند. کاهش ریسک بر اجتنابناپذیر بودن برخی بلایا تمرکز دارد و برای موقعیتهایی استفاده میشود که نمیتوان از تهدید به طور کامل اجتناب کرد. به جای برنامه ریزی برای اجتناب از خطر، کاهش با عواقب پس از یک فاجعه و اقداماتی که می توان قبل از وقوع رویداد برای کاهش اثرات نامطلوب و، بالقوه، طولانی مدت انجام داد، سروکار دارد.
در حالت ایده آل، یک سازمان برای همه خطرات و تهدیدها آماده است و به طور کامل از آنها اجتناب می کند. با این حال، داشتن یک برنامه کاهش ریسک می تواند به سازمان کمک کند تا برای بدترین شرایط آماده شود، با اذعان به اینکه درجاتی از آسیب رخ خواهد داد و سیستم هایی برای مقابله با آن وجود دارد.
طرح کاهش ریسک چیست؟
هنگام ایجاد یک طرح کاهش ریسک، چند مرحله وجود دارد که برای اکثر سازمان ها نسبتاً استاندارد است. شناخت ریسکهای تکرارشونده، اولویتبندی کاهش ریسک و نظارت بر برنامه تعیینشده جنبههای حیاتی برای حفظ یک استراتژی کامل کاهش ریسک هستند.
مدیریت ریسک چیست و چرا اهمیت دارد؟
پنج مرحله کلی در فرآیند طراحی یک طرح کاهش ریسک وجود دارد:
تمام رویدادهای احتمالی را که در آن ریسک ارائه شده است، شناسایی کنید. یک استراتژی کاهش ریسک نه تنها اولویتها و حفاظت از دادههای حیاتی مأموریت هر سازمان را در نظر میگیرد، بلکه هر خطری را که ممکن است به دلیل ماهیت میدان یا موقعیت جغرافیایی ایجاد شود، در نظر میگیرد. یک استراتژی کاهش ریسک باید کارکنان سازمان و نیازهای آنها را نیز در نظر بگیرد.
انجام یک ارزیابی ریسک، که شامل کمی کردن سطح ریسک در رویدادهای شناسایی شده است. ارزیابی ریسک شامل اقدامات، فرآیندها و کنترلهایی برای کاهش تأثیر ریسک است.
اولویت بندی ریسک ها، که شامل رتبه بندی ریسک کمی از نظر شدت می شود. یکی از جنبه های کاهش ریسک، اولویت بندی است - پذیرش مقداری از ریسک در یک بخش از سازمان برای محافظت بهتر از قسمت دیگر. با ایجاد سطح قابل قبولی از ریسک برای مناطق مختلف، یک سازمان میتواند منابع مورد نیاز برای BC را بهتر آماده کند، در حالی که عملکردهای تجاری مهم کمتری را در دستور کار قرار دهد.
ردیابی ریسکها، که شامل نظارت بر ریسکها با تغییر شدت یا ارتباط آنها با سازمان است. داشتن معیارهای قوی برای ردیابی ریسک در حین تکامل، و برای ردیابی توانایی طرح برای برآوردن الزامات انطباق، مهم است.
پیاده سازی و نظارت بر پیشرفت، که شامل ارزیابی مجدد اثربخشی طرح در شناسایی ریسک و بهبود در صورت نیاز است. در برنامه ریزی تداوم کسب و کار، آزمایش یک برنامه حیاتی است. کاهش ریسک تفاوتی ندارد. هنگامی که یک برنامه در حال انجام است، آزمایش و تجزیه و تحلیل منظم باید انجام شود تا مطمئن شوید که برنامه به روز است و به خوبی کار می کند. خطرات پیش روی مراکز داده به طور مداوم در حال تغییر هستند، بنابراین برنامه های کاهش ریسک باید هر گونه تغییر در ریسک یا تغییر اولویت ها را منعکس کند.
انواع استراتژی های کاهش اثرات ریسک
انواع مختلفی از استراتژی های کاهش ریسک وجود دارد. اغلب، این استراتژی ها در ترکیب با یکدیگر استفاده می شوند و بسته به چشم انداز ریسک شرکت، ممکن است یکی بر دیگری ارجح باشد. همه آنها بخشی از عملکرد گسترده تر مدیریت ریسک هستند.
اجتناب از ریسک زمانی استفاده می شود که عواقب آن برای توجیه هزینه کاهش مشکل بسیار زیاد تلقی شود. به عنوان مثال، یک سازمان میتواند تصمیم بگیرد که فعالیتها یا اقدامات تجاری خاصی را انجام ندهد تا از قرار گرفتن در معرض تهدیدی که ممکن است ایجاد کنند اجتناب کند. اجتناب از ریسک یک استراتژی تجاری متداول است و می تواند از چیزی به سادگی محدود کردن سرمایه گذاری تا چیزی به سختی مانند عدم ساخت دفاتر در مناطق جنگی احتمالی متغیر باشد.
پذیرش ریسک، پذیرش ریسک برای یک دوره زمانی معین برای اولویت دادن به تلاش برای کاهش خطرات دیگر است.
انتقال ریسک ریسکها را بین طرفهای مختلف تخصیص میدهد که با ظرفیت آنها برای محافظت در برابر یا کاهش خطر سازگار است. یکی از نمونه های این محصول معیوب ساخته شده با مقداری مواد شخص ثالث است. تولید کننده محصول ما y مسئولیت بخش معینی از ریسک را به این دلیل منتقل کنید.
نظارت بر ریسک، عمل تماشای پروژه ها و ریسک های مرتبط با تغییرات در تأثیر ریسک های مرتبط است.
ریسک میتواند بر هر ترکیبی از عملکرد، هزینه و زمانبندی تأثیر بگذارد. بنابراین، استراتژیهای مختلفی باید برای پرداختن به ریسکها بر اساس نحوه تأثیرگذاری بر این عوامل استفاده شود. به عنوان مثال، ممکن است برای یک شرکت مهمتر از اینکه در یک سناریوی پروژهای خاص صرفهجویی کند، عملکرد خوبی داشته باشد. شرکت احتمالاً از یک استراتژی پذیرش ریسک استفاده میکند و به طور موقت ریسکهایی را اولویتبندی میکند که عملکرد را بیشتر از هزینه تأثیر میگذارد.
نمودار ارزیابی کیفی ریسک
نموداری که نشان می دهد چگونه ارزیابی کمی ریسک می تواند برای ارزیابی احتمال و تأثیر رویدادهای ریسک استفاده شود.
بهترین شیوه های کاهش ریسک
در زیر برخی از بهترین شیوههای کاهش خطر وجود دارد که متخصصان امنیت اطلاعات باید از آنها پیروی کنند:
اطمینان حاصل کنید که ذینفعان در هر مرحله درگیر هستند. سهامداران ممکن است کارکنان، مدیران، اتحادیه ها، سهامداران یا مشتریان باشند. همه دیدگاه ها برای توسعه یک استراتژی جامع و جامع کاهش ریسک مهم هستند.
یک فرهنگ قوی در مورد مدیریت ریسک ایجاد کنید. این به معنای برقراری ارتباط با ارزش ها، نگرش ها و باورهای پیرامون ریسک و انطباق از بالا به پایین است. برای هر کارمندی مهم است که از ریسک آگاهی داشته باشد، اما احتمال یک فرهنگ قوی تا حد زیادی بهبود مییابد زمانی که مدیریت لحن را تعیین کند.
خطرات را به محض ظهور در میان بگذارید. آگاهی از ریسک باید در کل سازمان قوی باشد، بنابراین تسهیل ارتباط ریسکهای جدید و با تاثیر بالا برای بهروز نگه داشتن همه مهم است.
اطمینان حاصل کنید که خط مشی مدیریت ریسک واضح است تا کارکنان بتوانند از آن پیروی کنند. نقش ها و مسئولیت ها باید به وضوح تعریف شوند و هر ریسک تعریف شده نیاز به یک فرآیند روشن برای مقابله با آن دارد.
خطرات احتمالی را به طور مستمر رصد کنید. شیوه های نظارت بر ریسک نیز باید به وضوح تعریف و اجرا شود تا طرح کاهش ریسک به طور مستمر بهبود یابد.
ابزارهای کاهش ریسک
یکی از ابزارهای رایج کاهش ریسک، چارچوب ارزیابی ریسک (RAF) است. یک RAF یک سازمان را با طرح کلی از سیستم هایی که در معرض خطر بالا یا پایین هستند ارائه می دهد و اطلاعاتی را برای پرسنل فنی و غیر فنی ارائه می دهد. RAF می تواند به عنوان یک ابزار کاهش ریسک با ارائه روش های ارزیابی ریسک و گزارش دهی منسجم استفاده شود.
RAF های رایج شامل راهنمای مدیریت ریسک برای سیستم های فناوری اطلاعات از موسسه ملی استاندارد و فناوری (NIST) می باشد. ارزیابی عملیاتی بحرانی تهدید، دارایی و آسیب پذیری (OCTAVE) از دانشگاه کارنگی ملون؛ و اهداف کنترل برای اطلاعات و فناوری های مرتبط (COBIT) از انجمن حسابرسی و کنترل سیستم های اطلاعاتی (ISACA). وب سایت Mitre همچنین دستورالعمل های جامعی برای کاهش خطر ارائه می دهد.
- ۰۰/۰۹/۰۲