مدیریت ریسک با روش های کمی و کیفی
ریسک چیست؟اسان ترین راه برای تعریف ریسک بکارگیری فرمول زیر است:
ریسک=تهدیدهاX اسیب پذیریهاXفشار
خلاصه کردن هر کدام از این سه فاکتور تهدید و اسیب پذیری و فشار به یک واژه
مهم و تقلیل یافته به نام "ریسک "نتیجه می دهد.
مدیریت ریسک شناسایی ریسک و ارزیابی تاثیر ان روی کار در صورتیکه یک حادثه امنیتی اتفاق بیافتدو تصمیمگیری های مالی صحیح در مورد اینکه چگونه باید در مورد نتایج ارزیابی رفتار شود است.همچنین شامل کاربرد یک برنامه برای سنجش مستمر و ارزیابی تاثیر حفاظت های موجود در حفاظت دارایی ها در مواقع بحرانی می شود. مدیریت ریسک یک فعالیت واحد نیست بلکه یک فرایند مداوم و در حال پیشرفتی است.
شکل زیر یک چرخه مدیریت ریسک را نشان می دهد:
اولین عبارت در چرخه مدیریت ریسک انجام ارزیابی ریسک است.اهداف ارزیابی:
1)شناسایی موجودی های اطلاعات بحرانی
2)کشف تهدید های احتمالی نسبت به موجودی های شناسایی شده
3)شناسایی اسیب پذیری تهدیدهای شناخته شده و احتمال مشارکت بهره برداری
4)تخمین ریسک در ارتباط با هر موجودی
ریسک همچنین می تواند با استفاده روش های کمی و کیفی ارزیابی شود.ارزیابی های کمی مقادیری پول واقعی را استفاده می کنند تا ارزش ریسک مالی را فراهم کنند.ارزیابی های کیفی از روش های امتیاز گذاری و تجارب کارکنان و مشاورین استفاده می کنند تا به یک امتیاز ریسکی برسند.
روش کمی اگرچه بسیار فشرده و پیچیده است اسانتر است که به مدیر عامل ارائه شودچون با ارقام واقعی سروکار دارد.تلاش برای محاسبه ارزش های واقعی پول برای تجارت بسیار مشکل است اگرچه در بسیاری از زمینه ها غیر ممکن نیست.امایک ارزیابی کمی برای اجرا اسانتر است و اگرچه ممکن است مقادیر پولی واقعی را فراهم نکند اما تقریبا نتیجه نزدیکی به شما می دهد.
تصمیمگیری اینکه چگونه با ریسک شناسایی شده مدیریت و رفتار شود قدم بعدی است.بعد اینکه امتیازهای ریسک را محاسبه کردید باید انها را از بیشترین به کمترین طبقه بندی کنید.اینکار به شما این امکان را می دهد که در ابتدا بالاترین مقدار ریسک رانسبت به اطلاعات موجودیتان شناسایی کنید.
چهار راه مهمی که برای بررسی و رفتار با هر ریسک وجود داردعبارتند از:
-امتناع از ریسک:امتناع از برخورد با ریسک اصطلاحا روش "سر در ماسه است".بعضی از مدیران از مبارزات سخت با این امید که مشکلات خود بخود و به اسانی حل خواهند شد امتناع می کنند.این روش بندرت در یک دفاع موفق علیه حوادث امنیتی نتیجه می دهد.
-قبول ریسک:معمول ترین روش برای اتخاذدر این موارد قبول ریسک های موجود است.بعنوان مثال اگر کنترل های ضروری برای حذف یا کاهش اسیب پذیری های کلیدی هزینه مالی بزرگتر ی نسبت به فشار ریسک واقعی هستند پس احتمالا فکر خوبی است که از دلار های بودجه امنیتی در جاهای دیگر استفاده شود.
-انتقال ریسک:یک جایگزین برای قبول ریسک هایی که بیش از منطق معمول بالا بوده و هزینه های کنترل ریسک بسیار بالاست خرید بیمه برای کاهش اثرات کاری یک حادثه است.این روش همچنین یک گام مدیریت ریسک معمول است.
-کاهش ریسک:کاهش ریسک بطور معمول تمرکز می کند بر مدیریت اسیب پذیری.کاربرد منطقی و متناسب اجرایی و فنی و کنترل های فیزیکی می تواند به کاهش ریسک های کاری کمک کند.
در نهایت بسیار مهم است که نتایج کارهایی که بر عهده گرفته می شوند سنجیده شود.کنترل ها بعضی اوقات انطور که انتظار می رود کار نمی کنند و تهدید ها یک سپر هستند.تنها مراقبت و هوشیاری مداوم از طریق اندازه گیری و بررسی ها می توانند به ادامه ی ریسک در یک سطح قابل قبول کمک کنند.
مهمترین برداشتی که می توانیم از این بحث داشته باشیم :
هدفمان این نیست که ریسک را به صفر برسانیم.چون اگر چنین چیزی ممکن هم باشد هزینه ها بسیار بالا خواهند بود .بلکه هدف اینست که ریسک را با یک مدیریت خوب تا یک سطح مطلوبی کاهش دهیم و ان را در همان سطح مطلوب حفظ کنیم.
برگرفته از: http://blogs.techrepublic.com.com/security/index.php?p=158
