یک راهنمای تجاری کوچک برای مدیریت ریسک فناوری اطلاعات

ساخت وبلاگ

آخرین مطالب

امکانات وب

یک راهنمای تجاری کوچک برای مدیریت ریسک فناوری اطلاعات

research-art/salary-surprise.jpg

بسیاری یا تمام محصولات اینجا از شرکای ما هستند که ما را جبران می کنند. این نحوه کسب درآمد است. اما یکپارچگی سرمقاله ما تضمین می کند که نظرات کارشناسان ما تحت تأثیر جبران خسارت قرار نمی گیرند. شرایط ممکن است برای پیشنهادات ذکر شده در این صفحه اعمال شود.

تهدیدهای مربوط به شبکه سازمانی شما و داده های آن به طور پیوسته در حال افزایش است. شما نمی توانید خطراتی را که در آن ایجاد کرده اید از بین ببرید ، اما می توانید با این پنج استراتژی مدیریت ریسک IT ، اثرات آنها را کاهش دهید.

بخش فناوری اطلاعات شما (IT) نظارت بر یک منظره فنی دارد که هر روز پیچیده تر و آسیب پذیرتر در برابر تهدیدات است. این امر مستلزم پاسخگویی به سؤالاتی از قبیل "کدام تهدیدات بالاترین اولویت برای تجارت من است؟"و "تحمل خطر من چیست؟"

مدیریت ریسک فناوری اطلاعات ، ارزیابی ریسک و تلاشهای کاهش بعدی را رسمی می کند. شما نمی توانید ریسک را از بین ببرید ، اما ما برای به حداقل رساندن تأثیر آن بر تجارت کوچک شما ، از استراتژی های مدیریت ریسک استفاده خواهیم کرد.

نمای کلی: مدیریت ریسک آن چیست؟

مدیریت ریسک فناوری اطلاعات نظارت ، اقدامات ، کنترل و گزارش در مورد مسائل مربوط به ریسک را در بخش فناوری اطلاعات دارد. مدیریت ریسک موفق در دسترس بودن داده های با کیفیت بالا ، محرمانه بودن و یکپارچگی برای ذینفعان داخلی و خارجی را فراهم می کند.

مدل کلاسیک برای محاسبه خطر دارای سه متغیر است:

  • تهدید: یک خطر تعریف شده مانند حمله اختصاصی منکر سرویس (DDOS) یا تلاش های فیشینگ
  • آسیب پذیری: شکاف مشخص شده در سیستم امنیتی شما
  • پیامد: میزان ضرری که شرکت به دلیل تهدید رنج می برد

پس از تعریف این متغیرها-به عنوان مثال ، می توانید بر اساس سطح شدت ، هر یک را در مقیاس 1-10 ارزیابی کنید-خطر به صورت محاسبه می شود:

خطر = تهدید x آسیب پذیری x نتیجه

هر سازمانی با چندین تهدید امنیتی ثابت داده روبرو است ، اما همه تهدیدها به طور برابر ایجاد نمی شوند. تهدیدات را بر اساس تأثیرات احتمالی آنها بر عملیات تجاری و اعتماد به نفس ذینفعان اولویت بندی کنید.

برنامه اصلی مدیریت ریسک شما از چهار مرحله تشکیل شده است: شناسایی ، ارزیابی ، کنترل ریسک و سپس بررسی آن کنترل ها.

A circular diagram displays the four steps in the risk management process: identify risk, assess risk, control risk, and review controls.

مدیریت ریسک یک روند در حال انجام و بازگشتی است. منبع تصویر: نویسنده

فرایند مدیریت ریسک فناوری اطلاعات به طور معمول شامل یک سیستم اختصاصی مدیریت امنیت اطلاعات (ISMS) و پروتکل های کتابخانه زیرساخت فناوری اطلاعات (ITIL) نسخه 3 (V3) است.

فرآیندهای ITIL چرخه عمر خدمات فناوری اطلاعات را افزایش می دهد و فعالیت های بخش فناوری اطلاعات را با اهداف و رویه های تجاری بهتر ادغام می کند.

ارائه دهندگان خدمات مدیریت شده (MSPS) ، که خدمات فناوری اطلاعات را به مشتریان خارجی یا مشاغل دارای شبکه های شرکت های گسترده ارائه می دهند ، می توانند از یک مرکز عملیات امنیتی (SOC) استفاده کنند.

SOC صرفاً بر امنیت شبکه متمرکز شده و عملکرد کلی شبکه و پشتیبانی مستقیم کاربر نهایی را به یک مرکز عملیات شبکه (NOC) یا میز کمک می کند.

به نظر می رسد مدیریت ریسک در عمل چگونه به نظر می رسد

مدیریت ریسک IT شبیه به رانندگی ماشین شما در بزرگراه است زیرا چیزهای مختلف به شیشه جلو اتومبیل شما می رسد. شما نمی توانید از اشکالات ، شن یا باران جلوگیری کنید - یا این خطر دارد.

وقتی رانندگی می کنید ، درگیر کاهش خطر هستید. شما می پذیرید که اشکالات به شیشه جلو اتومبیل خود ضربه می زنند زیرا آسیب بالقوه ناچیز است. اگر در حال رانندگی در پشت کامیون شن هستید ، ممکن است وقتی این فرصت را دارید که از هر سنگی که ممکن است از آن پرواز کند جلوگیری کنید ، آن را منتقل کنید.

اگر این غیرممکن است ، می توانید یک وسیله نقلیه دیگر از شما جلوتر شود تا خطری را به آن منتقل کند. یا اگر خود را در یک ریزش شدید پیدا کردید ، می توانید سرعت خود را کاهش دهید تا خطر از دید محدود یا هیدروپانینگ در جاده را کاهش دهید.

A diagram uses action arrows to illustrate four types of risk mitigation: accept, avoid, transfer, and reduce.

استراتژی های کاهش ریسک تشخیص می دهد که شما نمی توانید ریسک را از بین ببرید. منبع تصویر: نویسنده

ارزیابی ریسک IT برای تعیین تحمل ریسک و استراتژی های شما بسیار مهم است. خطرات مشخص شده را طبقه بندی کرده و تعیین کنید که کدام موارد را می توانید بپذیرید ، از آنها جلوگیری کنید ، انتقال دهید یا کاهش دهید.

1. ارزیابی ریسک کمی

ارزیابی کمی با محاسبه تأثیر مالی بالقوه برای هر سناریوی تهدید ، مدل ارزیابی ریسک را یک قدم جلوتر می برد. هزینه پایین تهدیدات و اصلاح آنها نقطه شروع مفیدی برای تعیین کاهش ریسک بهینه است.

  • ریسک مالی: برای هر سناریوی ریسک ، هزینه های بالقوه مالی را برای سخت افزار ، نرم افزار و دستگاه ها بر اساس قرار گرفتن در معرض ریسک آنها محاسبه کنید.
  • هزینه کاهش: هزینه هر نوع کاهش را محاسبه کنید. مواردی که بیش از ریسک مالی پیش بینی شده هزینه دارند ، می توانند دور ریخته شوند. سپس گزینه کاهش باقی مانده را انتخاب کنید که بهترین بازده سرمایه گذاری (ROI) را فراهم می کند.

تجزیه و تحلیل کمی از داده های سخت برای آگاهی از استراتژی های ریسک خود استفاده می کند ، اما تمرکز آن بر هزینه های مالی سایر عوامل مهم را که یک تحلیل کیفی شامل می شود ، به خود اختصاص نمی دهد.

2. ارزیابی کیفی ریسک

به جای استفاده از داده های سخت ، یک ارزیابی کیفی به سؤالاتی مانند "سطح خدمات تأثیر می یابد؟"و "تأثیر شهرت ما چه تأثیری خواهد داشت؟"این رویکرد ذهنی است زیرا از پاسخ ها و دیدگاه های متعدد ذینفعان برای تولید نتایج خود استفاده می کند.

  • تأثیر تجاری: این ارزیابی خطرات را با بیشترین تأثیر بالقوه در فرآیندهای کلی تجارت مشخص می کند. به دنبال اثرات آبشار است که یک ریسک بدون فشار می تواند در سراسر شرکت شما داشته باشد و چگونه می تواند بر بهره وری چندین گروه و بخش ها تأثیر بگذارد.
  • تأثیر شهرت: ارزیابی کیفی ریسک تأثیر خارجی را بر روی کاربران نهایی و مشتریان ، از جمله نمرات رضایت مشتری (CSAT) ، نرخ خفگی مشتری و تعامل رسانه های اجتماعی ارزیابی می کند.

ماهیت ذاتی یک ارزیابی کیفی نسبت به همتای کمی آن آمورف است. ادراک واقعیت است ، و اینکه چگونه کاربران داخلی و خارجی شما توانایی های فناوری اطلاعات شما را به طور مستقیم بر خط اصلی شما تأثیر می گذارد.

3. مدیریت مشکل

کنترل ریسک به فرآیندهای مدیریت مشکل شما متصل است. در حالی که مدیریت حادثه ذاتاً واکنشی است-پرسنل فناوری اطلاعات به رویدادهای سطح پایین ، غیر منتظره یا بلیط های کمک به کاربر پاسخ می دهند-مدیریت مشکل فعال است.

  • حوادث مکرر: مدیریت مسئله علت اصلی وقایع مکرر را برای تدوین یک استراتژی ریسک کاهش می دهد.
  • پایگاه دانش: هم حادثه و هم مدیریت مسئله به یک پایگاه دانش ، یک مخزن اصلی اطلاعات و فرآیندهای تأیید شده برای کارکنان فناوری اطلاعات نیاز دارند. مقالات پایه دانش آنلاین چگونه می توان انواع مختلفی از ریسک را کاهش داد و می توان به راحتی به روز شد تا منعکس کننده وقایع و حوادث اخیر باشد.

بهترین نرم افزار مدیریت فناوری اطلاعات ، مشکل را به صورت خودکار و ساده می کند و مدیریت را تغییر می دهد.

4- مدیریت تغییر اضطراری

مدیریت تغییر ، یک فرایند ITIL دیگر ، به مدیریت ریسک کمک می کند. در حالی که تغییرات روتین و استاندارد خطر کمی دارند ، تغییرات اضطراری ، که توسط هیئت مشاوره تغییر اضطراری (ECAB) تأیید می شود ، به سرعت در طی وقایع بحرانی یا بلایای غیر منتظره خطر را کاهش می دهد.

  • ECAB: این هیئت مدیره به نمایندگان مناطق فناوری اطلاعات ، بقیه مشاغل (مانند خدمات مالی ، منابع انسانی و بازاریابی) و فروشندگان شخص ثالث نیاز دارد. طیف گسترده ای از شرکت کنندگان چشم انداز عملکردی از ارزیابی ریسک و تهدید را ارائه می دهد.
  • تغییرات اضطراری: در حالی که تغییرات اضطراری - یک افشای مهم یا پاسخ به یک بهره برداری روز صفر - برای کاهش خطر تسریع می شوند ، با استفاده از یک فرآیند تغییر اضطراری تعریف شده بسیار مهم است. یک راه حل موقت بدون نظارت یا بحث از قبل می تواند موضوعات بیشتری را نسبت به حل آن ایجاد کند.

برنامه های مدیریت تغییر شما به شما کمک می کند تا از وقفه های بی نیاز ، هزینه های ناخواسته و کاهش نمرات CSAT جلوگیری کنید.

5. نتایج خود را پیگیری کنید

ردیابی نتایج کاهش ریسک می تواند مشکل باشد زیرا محاسبه یک مقدار مطلق برای چیزی که اتفاق نیفتاده یا به حداقل رسیده است ، دشوار است.

آمار تطبیقی مالی - سال بیش از سال ، سه ماهه بیشتر از سه ماهه یا سایر دوره های زمانی مشخص - بینش های عملی در مورد نتایج تلاش های شما ارائه می دهد.

  • خرابی: بسته به اندازه شرکت و صنعت شما ، هزینه های خرابی شبکه از 137 دلار در دقیقه تا 9000 دلار در دقیقه است. این هزینه ها شامل کاهش بهره وری کارمندان ، معاملات تجارت الکترونیکی از دست رفته ، مجازات های مالی توافق نامه در سطح خدمات (SLA) و جریمه های دولت برای نقض نظارتی است.
  • از دست دادن داده ها: هزینه های از دست دادن داده ها از هک ها ، که ممکن است هفته ها یا ماه ها برای تشخیص آن طول بکشد ، حتی می تواند گران تر از خرابی باشد. هزینه های مستقیم شامل فرآیندهای اعلان پس از نقض داده ، تأثیر بر درآمد فروش و جریمه ها است. هزینه های غیرمستقیم شامل از دست دادن اعتماد به نفس مشتری و فرصت های معامله از دست رفته است. هزینه های پنهان شامل بهره وری از دست رفته کارمندان در هنگام مقابله با این نقض است.

معیارهای عملکرد دانه ای بیشتر شامل تعداد تهدیدهای شناسایی شده در مقابل تهدیدهای تحقق یافته ، تعداد و فراوانی تهدیدهای غیرقابل پیش بینی و میانگین زمان تهدید برای وضوح (MTTR) است.

نکاتی برای مدیریت موفقیت آمیز IT IT

این نکات آجیل و BOLTS هنگام اجرای استراتژی های مدیریت ریسک در تجارت خود ، به تلاشهای شما کمک می کند.

1. همکاری و ارتباط برقرار کنید

عواقب ریسک بدون فشار در کل مشاغل شما بازگردد ، این بدان معنی است که مدیریت ریسک برای تفویض یک شخص یا بخش بسیار مهم است.

مدیریت ریسک مؤثر جامع است ، چشم اندازهای مختلفی را در بر می گیرد و نیاز به ارتباط مداوم بین ذینفعان در طول ارزیابی اولیه و کاهش بعدی دارد.

2. چندین سناریو را در نظر بگیرید

دیدگاه های چندگانه به شما کمک می کند تا از فکر گروهی جلوگیری کنید ، بدون توجه به کافی از امکانات جایگزین ، به یک ارزیابی یا راه حل واحد قفل شوید. حتی اگر یک پاسخ به یک تهدید "آشکار" به نظر برسد ، پیشنهادات و ایده های اضافی را برای گسترش دامنه ارزیابی شما درخواست کنید.

3. از ثبت ریسک استفاده کنید

ثبت ریسک ، نیمی از تهدیدهای احتمالی فعلی و اقدامات را در صورت بروز آنها مشخص می کند. برای پاراگراف دونالد رامسفلد ، وزیر دفاع سابق ایالات متحده ، لیست ثبت ریسک:

  • شناخته شده های شناخته شده: چیزهایی که در مورد خطر می دانید.
  • ناشناخته های شناخته شده: چیزهایی که در مورد خطر می دانید اما می توانید فراموش کنید.
  • ناشناخته های ناشناخته: مواردی که در مورد خطری که شما نمی دانید وجود دارد.
  • خطرات مثبت: فرصت های مربوط به خطر.

ریسک ریسک یک سند مفید است که به شما امکان می دهد به جای اینکه از ابتدا شروع به کار کنید ، به زمین بروید که یک تهدید پیش بینی شده ظاهر شود.

ریسک را مدیریت کنید یا قربانی آن شوید

شما نمی توانید خطرات شبکه شرکت خود را از بین ببرید و دارایی های IT را با آن روبرو کنید ، اما اسیر آنها نباشید. یک استراتژی مدیریت ریسک فعال ، با ورودی چندین ذینفع ، تهدیدات احتمالی برای تجارت و روابط خارجی آن را کاهش می دهد.

هشدار: بالاترین کارت بازوی نقدی که اکنون دیده ایم 0 ٪ مقدمات تا سال 2024

اگر از کارت اعتباری اشتباه یا بدهی استفاده می کنید ، می تواند برای شما پول جدی هزینه کند. کارشناسان ما این انتخاب برتر را دوست دارند ، که دارای 0 ٪ معرفی آوریل تا سال 2024 است ، نرخ بازپرداخت وجهی مجنون تا 5 ٪ و همه به نوعی بدون هزینه سالانه.

در واقع ، این کارت به قدری خوب است که متخصصان ما حتی از آن شخصاً از آن استفاده می کنند. اینجا را کلیک کنید تا بررسی کامل ما را به صورت رایگان بخوانید و فقط در 2 دقیقه درخواست کنید.

متخصص تحقیق ما

مارک روی لانگ یک روزنامه نگار فناوری و کارشناس گردش کار برای صعود و احمق Motley است.

بازار رمزارزها...
ما را در سایت بازار رمزارزها دنبال می کنید

برچسب : نویسنده : محمود کیانوش بازدید : 26 تاريخ : سه شنبه 17 مرداد 1402 ساعت: 15:53

آرشیو مطالب

پيوندهای روزانه

لینک دوستان

خبرنامه