مدیریت ریسک فناوری اطلاعات با چارچوب ریسک ایساکا

اصول چارچوب ریسک فناوری اطلاعات ایساکا

اصول این چارچوب، بر پایه اصول پذیرفته شده عمومی مدیریت ریسک سازمانی (ERM) بنا شده اند که در حوزه I&T به کار گرفته شده اند. این چارچوب طراحی شده است تا به سازمان ها کمک کند این اصول را در عمل به کار گیرند.

فناوری اطلاعات، امنیت سایبری و امنیت اطلاعات فراتر از یک منبع یا دسته بندی واحد و یکپارچه ریسک هستند، آن ها شامل شرایط متعدد مرتبط با یکدیگر و ویژگی های خاص و منحصربه فرد بسیاری هستند. این موارد می توانند فناوری های تخصصی، عوامل تهدید، خطاهای انسانی، بردارهای حمله، شکست های کنترلی و آسیب پذیری های نرم افزاری را در بر گیرند. به ویژه مهم است که توجه کنیم ریسک سایبری و ریسک امنیت اطلاعات تنها به فناوری محدود نمی شوند، بسیاری از رویدادهای ریسک که در عناوین خبری جلب توجه می کنند، با خطاهای انسانی توسط افراد واقعی آغاز می شوند.

ریسک ناشی از فناوری اطلاعات، امنیت اطلاعات و امنیت سایبری تنها ریسک مرتبط با I&T نیست که نیاز به توجه دارد. سایر انواع ریسک عملیاتی، از جمله شکست های فرآیندی و چرخه های کسب و کار یا اقتصادی نیز باید مدیریت شوند. هر ریسک مرتبط با I&T که مأموریت یا اهداف کسب و کار سازمان را به خطر می اندازد، باید از منظر اهداف کلی سازمان مدیریت شود و بنابراین تحت اصول راهنمایی این چارچوب قرار می گیرد :

• اتصال مدیریت ریسک مرتبط با I&T به مأموریت و یا اهداف کسب و کار
• هم راستایی مدیریت ریسک کسب و کار یا مأموریت مرتبط با I&T با مدیریت ریسک سازمانی (ERM) (در صورت امکان)
• تعادل بین هزینه ها و فواید مدیریت ریسک مرتبط با I&T
• ترویج ارتباطات اخلاقی و فضای ارتباطی باز، درباره همه ریسک های مرتبط با I&T
• تعیین لحن از بالا و تعریف و اجرای پاسخگویی شخصی برای فعالیت در چارچوب سطوح تحمل پذیری قابل قبول و به خوبی تعریف شده.
• استفاده از رویکردی یکپارچه که استاندارد، تکرارپذیر و هم راستا با استراتژی باشد و در فعالیت های روزانه ادغام شده باشد.

اتصال مدیریت ریسک مرتبط با I&T به مأموریت و یا اهداف کسب و کار

حاکمیت مؤثر سازمانی ریسک مرتبط با I&T همیشه به اهداف کسب و کار یا مأموریت متصل است:

• ریسک مرتبط با I&T، شامل ریسک سایبری، به عنوان یک ریسک کسب و کار در نظر گرفته می شود، نه یک نوع ریسک جداگانه و رویکرد مدیریت آن جامع و بین کارکردی است.
• حاکمیت ریسک مرتبط با I&T به نتایج کسب و کار یا مأموریت کمک می کند I&T از دستیابی به اهداف کسب و کار پشتیبانی می کند و هر ریسک مرتبط با آن از نظر تأثیر و احتمال وقوعی که ممکن است بر اهداف یا استراتژی کسب و کار داشته باشد، بیان می شود. تحلیل ریسک مرتبط با I&T ارتباط بین فرآیندهای کسب و کار و دارایی ها، برنامه ها یا زیرساخت های I&T پشتیبان و یا وابستگی های شخص ثالث را در نظر می گیرد.
• مدیریت ریسک مرتبط با  I&T، شامل شیوه های امنیت اطلاعات و امنیت سایبری، همگی برای پیشبرد کسب و کار یا مأموریت تلاش می کنند، نه محدود کردن یا مهار آن.

هم راستایی مدیریت ریسک I&T با مدیریت ریسک سازمانی (ERM)

حاکمیت مؤثر سازمانی ریسک مرتبط با I&T، مدیریت آن را با مدیریت ریسک سازمانی (ERM) کلی هم راستا می کند:

• اهداف کسب و کار یا مأموریت و اشتهای ریسک به وضوح تعریف شده اند.
• فرآیندهای تصمیم گیری سازمانی طیف کاملی از پیامدها و فرصت های بالقوه ناشی از ریسک مرتبط با I&T را در نظر می گیرند.
• اشتهای ریسک تعریف شده و اعلام شده، سیاست مدیریت ریسک سازمانی و لحن از بالا را منعکس می کند و بر فرهنگ سازمان تأثیر می گذارد.
• ارزیابی ریسک مرتبط با I&T در سراسر سازمان (از جمله در حوزه امنیت اطلاعات و امنیت سایبری) هماهنگ و یکپارچه می شود.

تعادل بین هزینه ها و فواید

حاکمیت مؤثر سازمانی ریسک مرتبط با I&T هزینه ها و فواید آن را متعادل می کند:

• ریسک مرتبط با I&T بر اساس اشتهای ریسک و تحمل پذیری اولویت بندی و رسیدگی می شود.
• پاسخ های ریسک بر اساس تحلیل هزینه-فایده، تحلیل گزینه های جایگزین و اولویت بندی ریسک هایی که بیشترین تأثیر بالقوه بر اهداف سازمانی دارند، اجرا می شوند.
• از کنترل ها و اقدامات پاسخ به ریسک موجود برای رسیدگی به ریسک به صورت کارآمد استفاده می شود.

ترویج ارتباطات اخلاقی و باز

مدیریت مؤثر ریسک مرتبط با I&T ارتباطات اخلاقی و باز را ترویج می دهد:

• اطلاعات باز، دقیق، به موقع و شفاف درباره ریسک مرتبط با I&T آزادانه تبادل می شود و تصمیم گیری های مرتبط با ریسک را آگاه می سازد.
• فرهنگ ریسک و روش های مدیریت ریسک در سراسر سازمان یکپارچه می شوند.
• یافته های فنی به اصطلاحات تجاری و مالی مرتبط و قابل فهم تبدیل می شوند.
• اطلاعات مربوط به یک حادثه و پاسخ مرتبط با آن به طور باز به ذینفعان، دولت و یا مقامات نظارتی، مشتریان و (در صورت لزوم) عموم مردم اطلاع رسانی می شود.

تعیین لحن از بالا و پاسخگویی

مدیریت مؤثر ریسک مرتبط با I&T لحنی متعهد از بالا ایجاد می کند یعنی مستلزم آن است که مدیران ارشد سازمان نگرش جدی و مشارکت جویانه ای نسبت به ریسک داشته باشند و در عین حال، مسئولیت پذیری فردی را برای فعالیت در محدوده های تحمل پذیر و تعریف شده ریسک، مشخص و الزام آور کنند یعنی هر فرد در سازمان (از مدیر تا کارمند) باید مسئول اقداماتش در قبال ریسک باشد.

• مالکان کسب و کار، هیئت مدیره و رهبری اجرایی در مدیریت ریسک مشارکت دارند.
• مسئولیت پذیری و تخصیص مالکیت ریسک به وضوح مشخص است.
• فرضیات ریسک توسط رهبران کسب و کار درک و پشتیبانی می شوند و به وضوح در مستندات اشتهای ریسک، تحمل پذیری ها، فرهنگ، سیاست ها و دستورالعمل های اجرایی بیان می شوند.
• عملکرد مدیریت ریسک اندازه گیری شده و در مدیریت عملکرد افراد مسئول و پاسخگو ادغام می شود.
• فرهنگ آگاه از ریسک و مسئولیت پذیری شخصی ترویج می شود.
• تصمیم گیری های آگاه از ریسک در سطح مناسب سازمان، توسط افراد مجاز و در راستای تحمل پذیری ها انجام می شود.
• شیوه های مدیریت ریسک به طور مناسب اولویت بندی شده و در تصمیم گیری سازمانی ادغام می شوند.

استفاده از رویکردی یکپارچه هم راستا با استراتژی

مدیریت مؤثر ریسک I&T بهبود مستمر را ترویج می دهد و بخشی از فعالیت های روزانه است:

• ماهیت پویای ریسک مستلزم آن است که سازمان با در نظر گرفتن تغییرات از قبل آماده شود:
  • در خود سازمان (ادغام ها و اکتساب ها)
  • در چشم انداز ریسک
  • در قوانین و مقررات قابل اجرا
  • در اطلاعات و فناوری، همان طور که تکامل می یابند
  • در صنعت به طور کلی
• روش های ارزیابی ریسک، مقیاس های اندازه گیری و معیارها در سراسر سازمان یکپارچه هستند، به ویژه در موارد زیر:
  • شناسایی فرآیندهای کلیدی و ریسک های مرتبط
  • شناسایی تأثیرات بر اهداف
  • شناسایی محرک هایی که نشان دهنده خارج شدن ریسک از تحمل پذیری یا نیاز به بروزرسانی چارچوب یا اجزای آن هستند
  • نظارت و آزمایش کنترل های عملیاتی
  • اقداماتی برای جلوگیری از تحقق ریسک
  • پاسخ به ریسک (در صورت وقوع رویدادهای نامطلوب)
  • شناسایی و تا حد ممکن، کاهش سوگیری ارزیاب در فرآیند اندازه گیری کمی ریسک