هذه الوحدة التعليمية هي مورد مرجعي للمحاضرين

 

المخاطرة

 

يتم اتخاذ قرارات حماية الأصول في ظل ظروف عدم اليقين؛ أي أنها مصنوعة في غياب المعرفة المطلقة حول التهديدات المحتملة ونقاط الضعف واستغلال نقاط الضعف هذه (كنايت، 1921). وفي الأصل، تم تعريف المخاطر بشكل ضيق على أنها احتمال (أو احتمال) تهديد وتأثيره (أو عواقبه) في حالة حدوثه (دالي ولاجثا، 2012). كما يصور مفهوم الخطر هذا في الصيغة التالية:

R isk = P robability x I mpact

المخاطرة = الاحتمالية × التأثير

وتُستخدم الصيغ، مثل تلك الموضحة أعلاه، لتحديد المخاطر (للحصول على معلومات حول كيفية تحديد مخاطر الأمن الإلكتروني وقيود هذه الجهود، راجع: فريند وجونس، 2015؛ هوبارد وسييرسن، 2016).

وفي عام 2009، اقترحت المنظمة الدولية للمعايير (ISO)، وهي منظمة دولية غير حكومية تعمل على تطوير ونشر معايير دولية لمواءمة الممارسات بين البلدان، تعريفاً مختلفاً، كان الهدف منه أن يكون بمثابة مرجع لتعزيز التفاهم المتبادل والاتساق في استخدام المصطلحات الرئيسية المتعلقة بالمخاطر والمخاطر (لوكو، 2013؛ دالي ولجثة، 2012،؛،). وعلى وجه التحديد، عرّف الدليل 73 للمنظمة الدولية لتوحيد المقاييس(2009) المخاطر بأنها "تأثير عدم اليقين على الأهداف" (انظر القسم 3.1 من الدليل 73 للمنظمة الدولية لتوحيد المقاييس)، مثل الأهداف المالية قصيرة الأجل و/أو طويلة الأجل. في هذا التعريف للمخاطر، يشير عدم اليقين إلى "الحالة، حتى الجزئية، لنقص المعلومات المتعلقة بحدث ما أو فهمه أو معرفته به [(على سبيل المثال،" حدوث أو تغيير مجموعة معينة من الظروف "، القسم 3.3.4.2 من الدليل 73 للمنظمة الدولية لتوحيد المقاييس]، ونتائجه [(على سبيل المثال، "نتيجة حدث يؤثر على الأهداف"، القسم 3.3.5.3 من الدليل 73 للمنظمة الدولية لتوحيد المقاييس]، أو الاحتمال [(على سبيل المثال، "فرصة حدوث شيء ما، سواء تم تحديده أو قياسه أو محددة بشكل موضوعي أو شخصي، ووصفها باستخدام مصطلحات عامة أو رياضيًا (مثل احتمال أو تكرار خلال فترة زمنية معينة)، "ملاحظات القسم 3.3.5.2 من الدليل 73 للمنظمة الدولية لتوحيد المقاييس ]" (انظر الملاحظات في القسم 3.1 من الدليل 73 للمنظمة الدولية لتوحيد المقاييس؛ وللحصول على تحليل مفصل لمصطلحات المخاطر، انظر هويل، 2018).

الشكل 1: عملية تقييم المخاطر الأمنية

المصدر: Threat Analysis Group. (2012). Security Risk Management - Methodology.

وتحدد تقييمات المخاطر (الموضحة في الشكل 1) نقاط الضعف في الأصول، وتحديد و/أو إبلاغ التهديدات الداخلية والخارجية من قبل وسائل الإعلام، والشراكات بين القطاعين العام والخاص، و/أو غيرهم في القطاعين العام والخاص، وتحديد الآثار واحتمال حدوثها (المعهد الوطني المعني بالمعايير والتكنولوجيا ، 2018). والغرض من تقييم المخاطر "هو تحديد ... التهديدات؛ ... والضرر (أي التأثير الضار) الذي قد يحدث بالنظر إلى احتمال التهديدات التي تستغل نقاط الضعف و ... احتمال وقوع الضرر "(المعهد الوطني المعني بالمعايير والتكنولوجيا، 2012؛ لمعرفة القيود والتحديات المتعلقة بتقييمات مخاطر الأمن الإلكتروني وما يمكن فعله للتغلب على هذه القيود والتحديات، انظر هوبارد وسييرسن، 2016).

وبعد تقييم المخاطر، يتم تحديد الاستجابات للمخاطر (أي معالجة المخاطر) وتحديد أولوياتها بناءً على الموارد (على سبيل المثال، المالية) والاحتياجات. ومن هذا المنطلق، يتم تنفيذ التدابير للقضاء على المخاطر أو تقليلها أو تخفيفها (ماراس، 2014ب).

 
التالي: الإفصاح عن نقاط الضعف
العودة إلى الأعلى