تصویر شاخص شناسایی عوامل تهدید در مدیریت ریسک فناوری اطلاعات-min

شناسایی عوامل تهدید در مدیریت ریسک فناوری اطلاعات

با تحلیل محیط‌های عمومی، عملیاتی و داخلی، چارچوب ایساکا به شناسایی عوامل تهدید در مدیریت ریسک فناوری اطلاعات و امنیت اطلاعات کمک می‌کند.
  • مقالات

فهرست مطالب

عوامل / جامعه تهدید

عامل تهدید که از آن به عنوان بازیگر، منبع تهدید، منبع ریسک، منشأ ریسک، عامل ریسک یا تهدیدگر نیز نامبرده می شود، عنصری است که به تنهایی و یا ترکیبی از عناصر دیگر دارای پتانسل ذاتی در بروز و ظهور ریسک می باشد. این عوامل ممکن است شامل افراد، فرآیندها، فناوری ها، حوادث طبیعی، حوادث انسانی، تغییرات قوانین و مقررات و سایر عوامل باشند که موجب تأثیر منفی بر هدف، منابع یا عملکرد سازمان می شوند.

در این گام به بررسی عوامل بالقوه آسیب رسان پرداخته شده و هر نوع عاملی که به هر نحوی می توانند باعث ایجاد خطر و متعاقباً حادثه شوند لیست می گردد.

عوامل ایجادکننده تهدید می توانند داخلی یا خارجی باشند و می توانند انسانی یا غیرانسانی باشند.

  • عامل های داخلی در داخل سازمان هستند – مثلاً کارکنان یا پیمانکاران.
  • عامل های خارجی شامل افراد خارجی، رقبا، نهادهای نظارتی و بازار هستند.
  • لزوماً هر نوع تهدیدی به یک عامل نیاز ندارد، مثلاً شکست های فرآیندی یا بلایای طبیعی.

برای ایجاد یک چارچوب و ساختار مناسب برای شناسایی عوامل تهدید، محیط سازمان به دقت مورد بررسی قرار می گیرد، اکوسیستم سازمان از سه محیط مجزا و مرتبط شامل محیط های عمومی، عملیاتی و داخلی تشکیل شده است و این عوامل بر اساس چارچوب های تحلیلی مختلف از جمله پستل، عوامل پورتر و مدل  7S مک کنزی استخراج و طبقه بندی خواهند شد. این رویکرد جامع به سازمان این امکان را فراهم می آورد تا تمامی جنبه های ممکن که می توانند به عنوان تهدید مطرح شوند، شناسایی و به طور مؤثری مدیریت شوند.

شناسایی عوامل تهدید

همانگونه که اشاره شد، محیط سازمان از سه منظر مورد بررسی قرار می گیرد:

محیط کلان یا محیط عمومی

این محیط که موضوع تحلیل پستل می باشد، شامل عواملی است که ضمن تأثیرگذاری بر سازمان، خارج از کنترل سازمان هستند، هر آنچه از اجتماع، اقتصاد، تکنولوژی، سیاست، محیط و قوانین که قرار است بر کسب و کار سازمان تأثیرگذار باشد، در این قسمت قرار می گیرد.

با استفاده از پستل، سازمان می تواند به درک بهتری از محیط خارجی خود برسد و تهدیدات و فرصت های موجود را شناسایی کند.

این عوامل در شش دسته کلی قرار می گیرند و عبارتند از:

عوامل سیاسی : قوانین و مقررات دولتی ، سیاست های مالیاتی ، تغییرات در ساختار سیاسی و ثبات سیاسی و …

عوامل اقتصادی : نرخ تورم ، نرخ بهره ، نرخ ارز ، روند رشد اقتصادی و شرایط بازار کار و …

عوامل اجتماعی : تغییرات در فرهنگ و رفتار مصرف کننده، تغییرات جمعیتی، تحولات اجتماعی و انتظارات اخلاقی و …

عوامل تکنولوژیکی : پیشرفت های فناورانه، نرخ نوآوری، فناوری های جدید و تغییرات در زیرساخت های تکنولوژیکی  و …

عوامل زیست محیطی : تغییرات آب و هوایی، قوانین حفاظت از محیط زیست و تحولات اکولوژیکی و …

عوامل قانونی : تغییرات در قوانین کار، قوانین رقابتی، قوانین حمایت از مصرف کننده و دیگر الزامات قانونی و …

محیط عملیاتی

این محیط در خارج از سازمان قرار دارد اما همچنان وابسته و نزدیک به سازمان می باشد. عوامل تهدید در این محیط به صورت مستقیم بر سازمان تأثیر می گذارند. در این محیط، عوامل خارجی حضور دارند، اما به شدت با عملیات روزمره، استراتژی و ریسک های سازمان درگیر هستند.

تأمین کنندگان

سرویس دهندگان فناوری، شرکت های پشتیبانی زیرساخت، فروشندگان نرم افزار مانند  Core Banking، شرکت های دیتاسنتر، خدمات ابری و …که از محل وابستگی بالا، نقض امنیت زنجیره تأمین، قطع یا تاخیر در ارائه خدمات، ناسازگاری فناورانه می توانند سازمان را تحت تاثیر قرار دهند.

رقبا

سایر سازمان ها، مؤسسات مالی و شرکت هایی که خدمات مالی مشابه ارائه می دهند که از محل نوآوری سریع تر، عملیات بازارگرایانه تهاجمی، رقابت فناورانه، اثر دومینو می توانند سازمان را تحت تاثیر قرار دهند.

مشتریان

اشخاص حقیقی و حقوقی که از خدمات سازمان استفاده می کنند که از محل تغییر رفتار، افزایش انتظار، ریسک اعتباری، ریسک های امنیتی و … می توانند سازمان را تحت تاثیر قرار دهند.

شرکت های همکار و جایگزین (مانند فین تک ها و …)

شرکت های فناورمحور که یا به عنوان شریک سازمان عمل می کنند یا مستقیماً تهدیدی برای جایگزینی سازمان سنتی هستند که از محل حذف واسطه، رقابت در نوآوری، تهدید مشارکتی و تهدید تطبیق مقررات می توانند سازمان را تحت تاثیر قرار دهند.

محیط داخلی

تهدید، مفهومی است که از آسیب پذیری استفاده می کند و منجر به سناریوی ریسک می شود، حتی اگر منشأ آن داخلی باشد. تحلیل محیط داخلی، به بررسی و ارزیابی عواملی می پردازد که در داخل سازمان وجود دارند و می توانند بر توانایی سازمان در دستیابی به اهدافش تأثیر بگذارند.

آیا این عامل خودش خطر را ایجاد می کند؟ یا فقط زمینه اش را فراهم کرده است؟

  • اگر یک نقص است که در صورت تحریک شدن خطر ایجاد می کند: آسیب پذیری
  • اگر عامل می تواند به تنهایی یا با استفاده از آسیب پذیری باعث ضرر شود: تهدید

برای تحلیل محیط داخلی از مدل 7S مک کنزی استفاده می شود، این مدل، یک ابزار تحلیلی است که به بررسی عوامل داخلی سازمان می پردازد و این عوامل را به عنوان تهدیدهای بالقوه بررسی می کند:

ساختار : ساختار سازمانی مشخص می کند که چگونه وظایف، نقش ها، مسئولیت ها و ارتباطات در سازمان تعریف شده اند. اگر ساختار بسیار سخت گیرانه، پیچیده یا سلسله مراتبی باشد، می تواند باعث کندی در تصمیم گیری، کاهش انعطاف پذیری در برابر تغییرات محیطی و افزایش بوروکراسی شود. این ضعف ها می توانند توان واکنش سریع سازمان در مواجهه با بحران ها یا فرصت ها را کاهش دهند.

استراتژی : استراتژی جهت گیری کلان سازمان را برای رسیدن به اهداف تعیین می کند. استراتژی هایی که با شرایط بازار و محیط اقتصادی هم راستا نباشند یا صرفاً تئوریک و غیرعملیاتی باشند، ممکن است موجب عدم استفاده مؤثر از منابع و در نتیجه آسیب پذیری در برابر رقبای چابک تر شوند.

سیستم ها: سیستم ها به فرایندهای رسمی، فناوری ها، رویه ها و ابزارهای اجرایی اشاره دارند که عملیات روزمره سازمان بر آن ها متکی است. سیستم های منسوخ، کند یا ناسازگار (مثلاً سیستم های اطلاعاتی قدیمی یا بدون یکپارچگی) می توانند بهره وری را کاهش داده، هزینه ها را افزایش دهند و امنیت اطلاعات را به خطر بیندازند.

سبک : این عامل به سبک رهبری و فرهنگ مدیریتی در سازمان اشاره دارد. اگر سبک مدیریت اقتدارگرایانه یا ناسازگار با کارکنان نسل جدید باشد، می تواند به کاهش انگیزه، افزایش نارضایتی شغلی و بالا رفتن نرخ خروج کارکنان منجر شود.

کارکنان : منظور، تعداد، کیفیت و مدیریت نیروی انسانی است. کمبود نیروی انسانی ماهر یا توزیع نامناسب آن ها می تواند منجر به اختلال در خدمات رسانی، فرسودگی شغلی کارکنان باقی مانده و کاهش توان پاسخ گویی سازمان به نیازهای مشتریان شود.

مهارت ها: این عنصر به توانایی های تخصصی و فنی افراد و تیم ها اشاره دارد. فقدان مهارت های کلیدی (مثلاً در زمینه تحلیل داده، دیجیتالی سازی یا امنیت اطلاعات) یا عدم سرمایه گذاری در آموزش و توسعه حرفه ای می تواند توان رقابتی سازمان را در برابر فین تک ها و سایر رقبا کاهش دهد.

ارزش های مشترک: ارزش های پایه ای و باورهای سازمانی که بین اعضا مشترک است. این عامل به نوعی هسته فرهنگی سازمان را تشکیل می دهد. در صورت نبود ارزش های فرهنگی قوی و همگرا، ممکن است سازمان دچار عدم انسجام، ضعف در همکاری های بین بخشی و تضادهای رفتاری شود. این موضوع بر روحیه کارکنان، کیفیت خدمات و اجرای استراتژی ها تأثیر منفی دارد.

اشتراک گذاری:

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *