ریسک فناوری اطلاعات چیست؟
ریسکهای فناوری اطلاعات (IT) به آسیبپذیریها و تهدیداتی گفته میشود که از درون زیرساخت IT به وجود میآیند و میتوانند تأثیر منفی بر کسبوکار داشته باشند. این تأثیر منفی ممکن است شامل زیان مالی، افشای اطلاعات مشتریان، توقف عملیات، نقض قوانین انطباق، یا حتی آسیب به شهرت و اعتبار برند باشد.
بهصورت رسمی، ریسکهای IT را میتوان در چهار بُعد دستهبندی کرد:
- امنیت، مانند دسترسی غیرمجاز به دادههای حیاتی کسبوکار.
- دسترسپذیری، مانند قطع شدن یک مؤلفه کلیدی زیرساخت.
- عملکرد، مانند سرعت پایین شبکه که موجب کاهش بهرهوری میشود.
- انطباق، مانند رعایت نکردن قوانین حفاظت از دادهها (مانند GDPR) و جریمههای سنگین ناشی از آن.
ریسکهای IT در هر یک از این دستهها از سه مؤلفه ناشی میشوند:
ریسک = تهدید × آسیبپذیری × دارایی
دارایی به هر منبع IT دارای اطلاعات ارزشمند گفته میشود؛ میتواند یک سرور حیاتی برای کسبوکار، یا یک فرد یا تیمی باشد که این سرور را مدیریت میکند. هر عنصر باارزش در زنجیره تأمین فناوری اطلاعات، یک دارایی محسوب میشود.
آسیبپذیریها و تهدیدها دو روی یک سکهاند. آسیبپذیری میتواند خلأیی در فرایندهای سازمانی، نقص در طراحی دارایی، باگ در کد نرمافزار یا کمبود دانش در میان کارکنان باشد. اینها نقاط ضعف سازماناند که قابل بهرهبرداری برای ایجاد خسارت هستند.
تهدید به معنای احتمال بهرهبرداری عامل مخرب از یک آسیبپذیری شناختهشده یا ناشناخته است. تهدید میتواند داخلی باشد، مثلاً کارمندی ناراضی که کسبوکار را مختل میکند، یا خارجی مانند هکری که یک بدافزار را وارد زنجیره تأمین میکند.
بنابراین، یک ریسک IT ترکیبی است از احتمال وقوع تهدید و میزان اثرگذاری آسیبپذیری بر تعداد داراییهای درگیر در آن آسیبپذیری خاص.
با اینکه محاسبه ریسک IT در ظاهر یک مقدار عددی و قابل تحلیل است، در عمل بسیاری از سازمانها از ارزیابی کیفی استفاده میکنند. چراکه غالباً تعیین مقدار دقیق یا احتمال مشخص برای ریسکهای مرتبط با داراییها، تهدیدها یا آسیبپذیریها امکانپذیر نیست. مثلاً احتمال دسترسی یک مهاجم به سیستم یک کارمند دورکار که به شبکهای ناامن متصل است، بهسختی قابل کمیسازی است.
بنابراین، هدف از تحلیل ریسک IT شناسایی و اولویتبندی ریسکهایی است که سازمانها با آنها مواجهاند تا بتوانند آنها را بهتناسب میزان فوریت، خنثی کنند.
