تیهوشا

  • ۰
  • ۰

کاهش اثرات ریسک یک استراتژی برای آماده شدن و کاهش اثرات تهدیداتی است که یک کسب و کار با آن مواجه است. در مقایسه با کاهش ریسک، کاهش ریسک اقداماتی را برای کاهش اثرات منفی تهدیدات و بلایا بر تداوم کسب و کار انجام می دهد (BC). تهدیداتی که ممکن است یک کسب و کار را در معرض خطر قرار دهد شامل حملات سایبری، رویدادهای آب و هوایی و سایر علل آسیب فیزیکی یا مجازی است. کاهش ریسک یکی از عناصر مدیریت ریسک است و اجرای آن بر اساس سازمان متفاوت خواهد بود.

هدف از کاهش اثرات ریسک چیست؟

کاهش اثرات ریسک فرآیند برنامه ریزی برای بلایا و داشتن راهی برای کاهش اثرات منفی است. اگرچه اصل کاهش ریسک این است که یک کسب و کار را برای تمام خطرات بالقوه آماده کند، یک برنامه کاهش ریسک مناسب تأثیر هر ریسک را می سنجد و برنامه ریزی را حول آن تأثیر اولویت بندی می کند. کاهش ریسک بر اجتناب‌ناپذیر بودن برخی بلایا تمرکز دارد و برای موقعیت‌هایی استفاده می‌شود که نمی‌توان از تهدید به طور کامل اجتناب کرد. به جای برنامه ریزی برای اجتناب از خطر، کاهش با عواقب پس از یک فاجعه و اقداماتی که می توان قبل از وقوع رویداد برای کاهش اثرات نامطلوب و، بالقوه، طولانی مدت انجام داد، سروکار دارد.

در حالت ایده آل، یک سازمان برای همه خطرات و تهدیدها آماده است و به طور کامل از آنها اجتناب می کند. با این حال، داشتن یک برنامه کاهش ریسک می تواند به سازمان کمک کند تا برای بدترین شرایط آماده شود، با اذعان به اینکه درجاتی از آسیب رخ خواهد داد و سیستم هایی برای مقابله با آن وجود دارد.

طرح کاهش ریسک چیست؟

هنگام ایجاد یک طرح کاهش ریسک، چند مرحله وجود دارد که برای اکثر سازمان ها نسبتاً استاندارد است. شناخت ریسک‌های تکرارشونده، اولویت‌بندی کاهش ریسک و نظارت بر برنامه تعیین‌شده جنبه‌های حیاتی برای حفظ یک استراتژی کامل کاهش ریسک هستند.

مدیریت ریسک چیست و چرا اهمیت دارد؟

پنج مرحله کلی در فرآیند طراحی یک طرح کاهش ریسک وجود دارد:

تمام رویدادهای احتمالی را که در آن ریسک ارائه شده است، شناسایی کنید. یک استراتژی کاهش ریسک نه تنها اولویت‌ها و حفاظت از داده‌های حیاتی مأموریت هر سازمان را در نظر می‌گیرد، بلکه هر خطری را که ممکن است به دلیل ماهیت میدان یا موقعیت جغرافیایی ایجاد شود، در نظر می‌گیرد. یک استراتژی کاهش ریسک باید کارکنان سازمان و نیازهای آنها را نیز در نظر بگیرد.

انجام یک ارزیابی ریسک، که شامل کمی کردن سطح ریسک در رویدادهای شناسایی شده است. ارزیابی ریسک شامل اقدامات، فرآیندها و کنترل‌هایی برای کاهش تأثیر ریسک است.

اولویت بندی ریسک ها، که شامل رتبه بندی ریسک کمی از نظر شدت می شود. یکی از جنبه های کاهش ریسک، اولویت بندی است - پذیرش مقداری از ریسک در یک بخش از سازمان برای محافظت بهتر از قسمت دیگر. با ایجاد سطح قابل قبولی از ریسک برای مناطق مختلف، یک سازمان می‌تواند منابع مورد نیاز برای BC را بهتر آماده کند، در حالی که عملکردهای تجاری مهم کمتری را در دستور کار قرار دهد.

ردیابی ریسک‌ها، که شامل نظارت بر ریسک‌ها با تغییر شدت یا ارتباط آنها با سازمان است. داشتن معیارهای قوی برای ردیابی ریسک در حین تکامل، و برای ردیابی توانایی طرح برای برآوردن الزامات انطباق، مهم است.

پیاده سازی و نظارت بر پیشرفت، که شامل ارزیابی مجدد اثربخشی طرح در شناسایی ریسک و بهبود در صورت نیاز است. در برنامه ریزی تداوم کسب و کار، آزمایش یک برنامه حیاتی است. کاهش ریسک تفاوتی ندارد. هنگامی که یک برنامه در حال انجام است، آزمایش و تجزیه و تحلیل منظم باید انجام شود تا مطمئن شوید که برنامه به روز است و به خوبی کار می کند. خطرات پیش روی مراکز داده به طور مداوم در حال تغییر هستند، بنابراین برنامه های کاهش ریسک باید هر گونه تغییر در ریسک یا تغییر اولویت ها را منعکس کند.

انواع استراتژی های کاهش اثرات ریسک

انواع مختلفی از استراتژی های کاهش ریسک وجود دارد. اغلب، این استراتژی ها در ترکیب با یکدیگر استفاده می شوند و بسته به چشم انداز ریسک شرکت، ممکن است یکی بر دیگری ارجح باشد. همه آنها بخشی از عملکرد گسترده تر مدیریت ریسک هستند.

اجتناب از ریسک زمانی استفاده می شود که عواقب آن برای توجیه هزینه کاهش مشکل بسیار زیاد تلقی شود. به عنوان مثال، یک سازمان می‌تواند تصمیم بگیرد که فعالیت‌ها یا اقدامات تجاری خاصی را انجام ندهد تا از قرار گرفتن در معرض تهدیدی که ممکن است ایجاد کنند اجتناب کند. اجتناب از ریسک یک استراتژی تجاری متداول است و می تواند از چیزی به سادگی محدود کردن سرمایه گذاری تا چیزی به سختی مانند عدم ساخت دفاتر در مناطق جنگی احتمالی متغیر باشد.

پذیرش ریسک، پذیرش ریسک برای یک دوره زمانی معین برای اولویت دادن به تلاش برای کاهش خطرات دیگر است.

انتقال ریسک ریسک‌ها را بین طرف‌های مختلف تخصیص می‌دهد که با ظرفیت آنها برای محافظت در برابر یا کاهش خطر سازگار است. یکی از نمونه های این محصول معیوب ساخته شده با مقداری مواد شخص ثالث است. تولید کننده محصول ما y مسئولیت بخش معینی از ریسک را به این دلیل منتقل کنید.

نظارت بر ریسک، عمل تماشای پروژه ها و ریسک های مرتبط با تغییرات در تأثیر ریسک های مرتبط است.

ریسک می‌تواند بر هر ترکیبی از عملکرد، هزینه و زمان‌بندی تأثیر بگذارد. بنابراین، استراتژی‌های مختلفی باید برای پرداختن به ریسک‌ها بر اساس نحوه تأثیرگذاری بر این عوامل استفاده شود. به عنوان مثال، ممکن است برای یک شرکت مهم‌تر از اینکه در یک سناریوی پروژه‌ای خاص صرفه‌جویی کند، عملکرد خوبی داشته باشد. شرکت احتمالاً از یک استراتژی پذیرش ریسک استفاده می‌کند و به طور موقت ریسک‌هایی را اولویت‌بندی می‌کند که عملکرد را بیشتر از هزینه تأثیر می‌گذارد.

نمودار ارزیابی کیفی ریسک

نموداری که نشان می دهد چگونه ارزیابی کمی ریسک می تواند برای ارزیابی احتمال و تأثیر رویدادهای ریسک استفاده شود.

بهترین شیوه های کاهش ریسک

در زیر برخی از بهترین شیوه‌های کاهش خطر وجود دارد که متخصصان امنیت اطلاعات باید از آنها پیروی کنند:

اطمینان حاصل کنید که ذینفعان در هر مرحله درگیر هستند. سهامداران ممکن است کارکنان، مدیران، اتحادیه ها، سهامداران یا مشتریان باشند. همه دیدگاه ها برای توسعه یک استراتژی جامع و جامع کاهش ریسک مهم هستند.

یک فرهنگ قوی در مورد مدیریت ریسک ایجاد کنید. این به معنای برقراری ارتباط با ارزش ها، نگرش ها و باورهای پیرامون ریسک و انطباق از بالا به پایین است. برای هر کارمندی مهم است که از ریسک آگاهی داشته باشد، اما احتمال یک فرهنگ قوی تا حد زیادی بهبود می‌یابد زمانی که مدیریت لحن را تعیین کند.

خطرات را به محض ظهور در میان بگذارید. آگاهی از ریسک باید در کل سازمان قوی باشد، بنابراین تسهیل ارتباط ریسک‌های جدید و با تاثیر بالا برای به‌روز نگه داشتن همه مهم است.

اطمینان حاصل کنید که خط مشی مدیریت ریسک واضح است تا کارکنان بتوانند از آن پیروی کنند. نقش ها و مسئولیت ها باید به وضوح تعریف شوند و هر ریسک تعریف شده نیاز به یک فرآیند روشن برای مقابله با آن دارد.

خطرات احتمالی را به طور مستمر رصد کنید. شیوه های نظارت بر ریسک نیز باید به وضوح تعریف و اجرا شود تا طرح کاهش ریسک به طور مستمر بهبود یابد.

ابزارهای کاهش ریسک

یکی از ابزارهای رایج کاهش ریسک، چارچوب ارزیابی ریسک (RAF) است. یک RAF یک سازمان را با طرح کلی از سیستم هایی که در معرض خطر بالا یا پایین هستند ارائه می دهد و اطلاعاتی را برای پرسنل فنی و غیر فنی ارائه می دهد. RAF می تواند به عنوان یک ابزار کاهش ریسک با ارائه روش های ارزیابی ریسک و گزارش دهی منسجم استفاده شود.

RAF های رایج شامل راهنمای مدیریت ریسک برای سیستم های فناوری اطلاعات از موسسه ملی استاندارد و فناوری (NIST) می باشد. ارزیابی عملیاتی بحرانی تهدید، دارایی و آسیب پذیری (OCTAVE) از دانشگاه کارنگی ملون؛ و اهداف کنترل برای اطلاعات و فناوری های مرتبط (COBIT) از انجمن حسابرسی و کنترل سیستم های اطلاعاتی (ISACA). وب سایت Mitre همچنین دستورالعمل های جامعی برای کاهش خطر ارائه می دهد.

  • ۰۰/۰۹/۰۲
  • MAHAYAN66 HASANI

نظرات (۰)

هیچ نظری هنوز ثبت نشده است

ارسال نظر

ارسال نظر آزاد است، اما اگر قبلا در بیان ثبت نام کرده اید می توانید ابتدا وارد شوید.
شما میتوانید از این تگهای html استفاده کنید:
<b> یا <strong>، <em> یا <i>، <u>، <strike> یا <s>، <sup>، <sub>، <blockquote>، <code>، <pre>، <hr>، <br>، <p>، <a href="" title="">، <span style="">، <div align="">
تجدید کد امنیتی