اجزای سناریوی ریسک در چارچوب ریسک ایساکا برای I&T

اجزای سناریوی ریسک در چارچوب ریسک ایساکا برای I&T

با تمرکز بر مدیریت ریسک فناوری اطلاعات و امنیت اطلاعات، اجزای سناریوی ریسک در چارچوب ISAKA شامل تهدید، آسیب‌پذیری و پیامد تحلیل می‌شود.
  • مقالات

فهرست مطالب

اجزای اصلی سناریوی ریسک برای دسته بندی های ریسک فناوری اطلاعات

سناریو های ریسک I&T ، پس از شناسایی عوامل تهدید، رویدادهای بالقوه، آسیب پذیری ها و پیامدها و ایجاد ارتباطات مناسب میان این مولفه ها،  قابل شناسایی می باشند. مهم است که اجزای مختلف سناریوی ریسک توصیف و درک شود تا اقدامات مناسب در ادامه انجام گیرد.

  • در رویکرد رویداد محور، سناریو ریسک شامل تهدید (عوامل تهدید و رویدادهای تهدید) و آسیب پذیری می باشد.
  • در رویکرد دارایی محور، سناریو ریسک شامل تهدید (عوامل تهدید و رویدادهای تهدید)، آسیب پذیری و دارایی می باشد.

نمونه هایی از اجزای سناریوی ریسک در خصوص دسته های مختلف ریسک فناوری اطلاعات را در ادامه مشاهده می نمائید:

ریسک ارزش / منافع فناوری و اطلاعات

ریسک عدم تحقق منافع فناوری اطلاعات می تواند منجر به اتلاف منابع، آسیب به برند و عقب ماندن از رقبا شود. مدیریت مؤثر این ریسک، نیازمند هم راستایی مستمر فناوری با نیازهای واقعی کسب و کار و مشتریان است.

  • عامل تهدید: مدیریت ناکارآمد، تصمیم گیران غیرمتخصص در IT، تیم پروژه بدون شناخت کسب و کار، فشار زمانی یا سیاسی برای اجرای سریع پروژه، تامین کننده نامناسب
  • رویداد تهدید: پیاده سازی فناوری یا اجرای پروژه ای که به رغم اجرای فنی موفق، منجر به تحقق نیافتن مزایا و ارزش کسب و کار می شود (مثلا: ابزار تحلیلی که کاربران کسب و کار از آن استفاده نمی کنند)
  • آسیب پذیری: نبود مدیریت منافع، تعریف نامشخص یا مبهم از ارزش مورد انتظار، عدم مشارکت ذی نفعان، نبود شاخص های سنجش موفقیت، ضعف در همراستایی فناوری با کسب و کار
  • پیامد: اتلاف منابع مالی و زمانی، نارضایتی ذی نفعان، کاهش اعتماد به بخش IT، فرصت سوزی در بازار، عقب ماندن از رقبا، کاهش بازده سرمایه گذاری، هزینه های بازیابی یا جایگزینی سیستم
  • دارایی: سرمایه گذاری های فناوری اطلاعات، راه حل های دیجیتال، پروژه های تحول دیجیتال، سامانه های نوآورانه، برنامه های نرم افزاری استراتژیک

ریسک تحویل برنامه / پروژه های فناوری اطلاعات

این نوع ریسک به احتمال شکست، تأخیر، افزایش هزینه یا تحویل ناکامل پروژه ها و برنامه های فناوری اطلاعات اشاره دارد. ریسک تحویل پروژه ها می تواند منجر به ناتوانی سازمان در تحقق اهداف تحول دیجیتال، نارضایتی ذی نفعان، یا حتی آسیب به عملیات جاری شود.

  • عامل تهدید: تصمیم گیری های شتاب زده مدیریت، ضعف پیمانکار، نبود تجربه کافی در تیم داخلی، تغییرات در قوانین یا مقررات
  • رویداد تهدید: پروژه با تأخیر قابل توجه، هزینه مازاد و کارایی پایین تحویل داده می شود یا اصلاً به بهره برداری نمی رسد
  • آسیب پذیری: تعریف نامناسب محدوده پروژه، عدم بلوغ فرآیندهای مدیریت پروژه وابستگی به پیمانکار خارجی، مستندسازی ناقص نیازمندی ها، نبود نظارت مستمر
  • پیامد: اتلاف منابع مالی، نارضایتی مدیران و کارکنان، کاهش اعتماد به تیم فناوری اطلاعات، توقف یا کندی عملیات اعتباری، آسیب به اعتبار سازمان در برابر مشتریان و نهادهای ناظر
  • دارایی: پروژه سامانه تسهیلات، منابع مالی و انسانی پروژه، انتظارات مشتریان و ذی نفعان

ریسک عملیات و ارائه خدمات فناوری اطلاعات

این نوع ریسک به احتمال اختلال، کاهش کیفیت، توقف یا عملکرد ناقص در عملیات فناوری اطلاعات و خدمات مرتبط اشاره دارد که به طور مستقیم بر تداوم خدمات سازمان، رضایت مشتریان و بهره وری کارکنان تأثیر می گذارد.

  • عامل تهدید: خطای انسانی در تنظیمات سرور، خرابی سخت افزاری، قطعی برق یا شبکه، به روزرسانی ناموفق نرم افزار
  • رویداد تهدید: از کار افتادن سیستم ها ، تأخیر در تراکنش ها، غیرفعال شدن درگاه های پرداخت و ATM ها
  • آسیب پذیری: زیرساخت قدیمی یا بدون نگهداری منظم، نبود مانیتورینگ پیشگیرانه، عدم تست دوره ای طرح تداوم کسب و کار (BCP)، نبود تیم پاسخ گویی سریع
  • پیامد: نارضایتی شدید مشتریان، لطمه به شهرت سازمان، شکایت های رسمی، کاهش اعتماد عمومی، جرایم یا تذکرات از سوی نهادهای ناظر و در موارد حاد، خروج مشتریان به سمت رقبا
  • دارایی: پروژه سامانه ERP، منابع مالی و انسانی پروژه، داده ها ، انتظارات مشتریان و ذی نفعان

ریسک امنیت سایبری و اطلاعات

این نوع ریسک به احتمال وقوع تهدیدات عمدی یا غیرعمدی که منجر به نقض محرمانگی، یکپارچگی یا دسترس پذیری اطلاعات یا سیستم های فناوری اطلاعات می شود اشاره دارد. این ریسک می تواند منبع داخلی یا خارجی داشته باشد و آثار آن شامل نشت اطلاعات، حملات سایبری، از بین رفتن داده ها یا خسارات قانونی و اعتباری باشد.

  • عامل تهدید: خطای انسانی، حملات فیشینگ، بدافزار، کارمند ناراضی، گروه های هکری، تامین کننده غیرمجاز
  • رویداد تهدید: از کار افتادن سیستم ها، تأخیر در تراکنش ها، غیرفعال شدن درگاه های پرداخت و ATM ها
  • آسیب پذیری: زیرساخت قدیمی یا بدون نگهداری منظم، نبود مانیتورینگ پیشگیرانه، عدم تست دوره ای طرح تداوم کسب و کار (BCP)، نبود تیم پاسخ گویی سریع
  • پیامد: نارضایتی شدید مشتریان، لطمه به شهرت َسازمان، شکایت های رسمی، کاهش اعتماد عمومی، جرایم یا تذکرات از سوی نهادهای ناظر و در موارد حاد، خروج مشتریان به سمت رقبا
  • دارایی: پروژه سامانه تسهیلات، منابع مالی و انسانی پروژه، داده ها ، انتظارات مشتریان و ذی نفعان
اشتراک گذاری:

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *