رویکردهای رایج در مدیریت ریسک‌های فناوری اطلاعات

رویکردهای مدیریت ریسک
چهار نوع رویکرد برای مدیریت ریسک‌های فناوری اطلاعات وجود دارد که هر کدام می‌توانند بسته به نوع ریسک، فرهنگ سازمان و استراتژی مدیریت ریسک مورد استفاده قرار گیرند.

1. اجتناب کامل از ریسک‌ها: تیم‌های IT می‌توانند از پذیرش برخی ریسک‌ها مانند جمع‌آوری داده‌های مکانی مشتری هنگام دسترسی به خدمات کسب‌وکار اجتناب کنند. در حالی که داده‌ها برای عملکرد سازمان ضروری هستند، تیم‌های IT می‌توانند ریسک جمع‌آوری و ذخیره‌سازی ایمن این داده‌های حساس را نپذیرند.
2. کاهش احتمال وقوع ریسک‌ها: این تاکتیک‌ها برای کاهش احتمال وقوع ریسک‌های شناسایی‌شده در سازمان استفاده می‌شوند. به عنوان مثال، استفاده از یک سیستم پایش عملیات IT برای پیش‌بینی هرگونه قطع شبکه یا سرور.
3. پذیرش ریسک‌ها: پذیرش ریسک زمانی است که سازمان ریسک‌هایی که با آن مواجه است را می‌پذیرد. این مشابه اجتناب از ریسک است، جایی که هیچ اقدامی برای مقابله با آسیب‌پذیری انجام نمی‌شود. این رویکرد زمانی اتخاذ می‌شود که احتمال وقوع ریسک بسیار کم باشد و منابع لازم برای کاهش آن بسیار زیاد باشند. مثلاً اگر سیستم‌های قدیمی به اینترنت متصل نباشند و داده‌های حساس یا حیاتی کسب‌وکار را ذخیره نکنند، سازمان ریسک کمتری دارد اما هزینه‌های زیادی برای ارتقا نیاز است.
4. به اشتراک‌گذاری یا انتقال ریسک‌ها: انتقال ریسک زمانی است که سازمان با یک فروشنده یا سازمان خارجی همکاری می‌کند تا مدیریت ریسک را برون‌سپاری کند. یک مثال رایج از انتقال ریسک در فناوری اطلاعات، قرارداد با ارائه‌دهندگان خدمات مدیریت شده (MSP) برای فرآیندهای IT است. در حالی که این رویکرد مسئولیت‌پذیری را به MSP‌ها منتقل می‌کند، سازمان باید همچنان ریسک‌های مربوط به طرف ثالث را ارزیابی و تحلیل کند. یکی دیگر از انتقال‌های رایج ریسک در بخش IT زمانی است که ارائه‌دهندگان بیمه سایبری ریسک‌های مالی سازمان را در صورت حملات سایبری بر عهده می‌گیرند.

مثال‌های رویکردهای مدیریت ریسک فناوری اطلاعات:

1. اجتناب از ریسک‌ها:
   • مثال: یک شرکت به منظور محافظت از حریم خصوصی مشتریان، تصمیم می‌گیرد از جمع‌آوری داده‌های موقعیت جغرافیایی آن‌ها هنگام استفاده از خدمات خود اجتناب کند. این تصمیم به این دلیل گرفته می‌شود که جمع‌آوری و ذخیره‌سازی امن این داده‌ها می‌تواند ریسک امنیتی بالایی ایجاد کند.
2. کاهش احتمال وقوع ریسک‌ها:
   • مثال: یک سازمان از سیستم‌های پایش برای نظارت بر عملکرد سرورها و شبکه‌های خود استفاده می‌کند تا قبل از وقوع خرابی‌ها، از وقوع هرگونه قطعی مطلع شود و اقدامات پیشگیرانه انجام دهد.
3. پذیرش ریسک‌ها:
   • مثال: یک شرکت با سیستم‌های قدیمی که به اینترنت متصل نیستند و داده‌های حساس ذخیره نمی‌کنند، مواجه است. به دلیل هزینه بالای ارتقاء این سیستم‌ها، تصمیم می‌گیرد که ریسک کم این سیستم‌ها را بپذیرد و به‌جای هزینه زیاد ارتقا، از آن‌ها استفاده کند.
4. انتقال یا به اشتراک‌گذاری ریسک‌ها:
   • مثال: یک شرکت از خدمات یک ارائه‌دهنده MSP برای مدیریت فرآیندهای IT خود استفاده می‌کند. با این کار، مسئولیت‌های مربوط به نگهداری سیستم‌های IT و امنیت آن‌ها به این ارائه‌دهنده انتقال می‌یابد. همچنین، این شرکت برای حفاظت از خود در برابر حملات سایبری، بیمه سایبری تهیه می‌کند که هزینه‌های ناشی از حملات سایبری را پوشش می‌دهد.