مقاله پژوهش: مديريت ريسك در فناوري اطلاعات هاجر سليمي
نویسنده: هاجر سلیمی
چكيده
عصر نوین فناوری اطلاعات و سیستم های اطلاعاتی ، محیط اطرافمان را تبدیل به محیطی پر از چالش نموده است . در این حیطه، هر روزه شاهد ورود فناوریهای جدید هستیم ولذا با قابلیت ها و هم چالشهای جدیدی دست و پنجه نرم می کنیم.
فناوری اطلاعات وسیستم های اطلاعاتی در تمام بخشهای زندگی بشر ریشه دوانیده اند و اگرچه به تسهیل زندگی وارتباطات بشر کمک می کنند ،اما مانند هر تکنولوژی نوظهور دیگر با خود ، خطراتی را نیز به همراه می آورند. به عنوان مثال ، سازمانی که برای افزایش اثربخشی و کارایی خود در ارتباطات ، از شبکه های مخابراتی و اینترنت کمک می گیرد ، بایستی ریسک ناشی از دسترسی افراد غیر مجاز یا رقبا به اطلاعات سازمان را پذیرفته و یا آنرا مدیریت کند.
با توجه به نكات ذکر شده ، در تصمیم گیری برای پیاده سازی سیستم های اطلاعاتی و بهره گیری از مزایای فناوری اطلاعات ، مانند هر نوع تصمیم گیری دیگر در زندگی ، باید به بررسی خطرات احتمالی آن پرداخته و با مدیریت ریسکهای موجود ، اثربخشی سیستم را ارتقاء بخشید.
در این مقاله ، پس از معرفی مدیریت ریسک ، ابزارهای آن ، انواع ریسکها و روشهای ارتقاء و پیاده سازی سیستم های اطلاعاتی ، به معرفی نحوه به کارگیری فرایند مدیریت ریسک در فناوری اطلاعات و هر یک از مراحل پیاده سازی سیستم های اطلاعاتی به روش SDLC ،که یکی از جامع ترین و کاملترین روشهای ایجاد سیستم است ، پرداخته می شود. درنهایت هم ،اقدام به معرفی نقشهای کلیدی و برخی از عوامل موفقیت در فرایند مدیریت ریسک ، شده است.
مقدمه
امروزه سازمانها و سیستم های آنها در محیطی پر از چالش و تحول قرار گرفته اند لذا لازمه بقاء و ادامه زيست سازمان در چنین محیطی ، همگامي با تحولات محيط و پاسخ درست و به موقع به آنهاست.
پاسخگویی درست مستلزم تصمیم گیری درست است ، که همت همه جانبه مدیران و دست اندکاران هر برنامه و تصمیم را می طلبد. واضح است که در تمام شرایط تصمیم گیری ، کلیه جوانب كار و تصميم، مشخص نیست و بنابراين، از جمله مواردی که در حین تصمیم گیری الزاما باید مورد توجه قرار گیرد؛ خطرات احتمالی و یا قطعی موجود است که می تواند بر نتایج تصمیم اخذ شده ، تاثیر گذارد و این همان حوزه مورد بحث در مدیریت ریسک است.
در دنیای دیجیتالی امروز و عصر ارتباطات، به کارگیری فناوریهای نوین مانند IT و سیستم های اطلاعاتی ، لازمه پاسخگویی مناسب به تحولات کنونی محیط است. چرا که فناوری اطلاعات ، به نحو فزاینده ای بر چگونگی عملکرد و نحوه کارایی سازمانها، اعم از خصوصی و دولتی ، تاثیر گذاشته است.
تصمیم گیری در حوزه پروژه ها و سیستم های مبتنی بر فناوری اطلاعات نیز عاری از احتمال و ریسک نیست و لذا بایستی قوانین و رویه های مدیریت ریسک در این حوزه نیز در نظر گرفته شود و تصمیمات مربوطه را پشتیبانی کند. در هر سازمانی که برای تحقق بخشیدن به ماموریت و رسالت خویش از سیستم های خودکار فن اوری اطلاعات استفاده می کند، مدیریت ریسک در حمایت از منابع اطلاعاتی سازمان نقشی حیاتی بازی می کند. در واقع فرایند مدیریت ریسک بايد به عنوان جزئی از یک برنامه قوی امنیت اطلاعاتی سازمان در نظر گرفته شود چرا كه برای پشتیبانی از سازمان و ماموریت آن در محیط پویای امروزی ، اعمال مدیریت ریسک ، امري بسیار ضروری است.
1-مروری بر مفاهیم
از جمله مفاهیمی که در این مقاله به آنها پرداخته خواهد شد ، می توان به ریسک ، مدیریت ریسک و چرخه ایجاد سیستم اشاره نمود که در زیربه بررسی مفاهیم و تعاریف ارائه شده در کتب و منابع مختلف پرداخته می شود.
1-1 ریسک و انواع آن
1-1-1تعریف ریسک
برای واژه ریسک در منابع مختلف ، تعاریفی گوناگون ارائه شده است، که البته همگی در بر گیرنده مفهومی واحد هستند. در زیر به برخی از این تعاریف اشاره می شود:
” ریسک عبارت است از انحراف در پیشامدهایی که می توانند در طول یک دوره مشخص ،در یک موقعیت معین اتفاق بیافتند”. [1]
این تعریف به این معناست که ؛ چنانچه تنها یک پیشامد ممکن باشد ، انحراف و ریسک صفر است و به عبارت دیگر در این صورت احتمالی وجود ندارد و آینده کاملا قابل پیش بینی است.
در جایی دیگر ریسک به صورت زیر تعریف شده است:
ريسك عبارت است از هر چيزي كه مانع از رسيدن سازمان به اهدافش باشد و يا توان سازمان را در اين راه بكاهد که ممكن است به يكي از صور زير باشد:
1 رخداد يك فاجعه يا اتفاق بد
2 عدم وقوع مسائل آنطور كه مورد انتظار است.
3 عدم وقوع اتفاقات و مسائل خوب[4]
تعریف دیگری از ریسک به صورت زیر بیان شده است:
ريسك در معناي عام عبارت است از تاثير منفي ناشي از يك آسيب پذيري با در نظر گرفتن ”احتمال“ وقوع و ”اثر“ آن در فرايندهاي يك سيستم.
برای محاسبه” احتمال” یک رویداد ،(مثلا در یک سیستم فناوری اطلاعات) ، آسیب پذیری های موجود و بالقوه سیستم و کنترلهای اعمال شده در سیستم مورد تحلیل و ارزیابی قرار می گیرند. همچنین “اثر” ، اشاره به میزان بزرگی خسارت و ضرروارده دارد که بسته به حساسیت ، دقت و اهمیت اجزاء سیستم و داده ها مي باشد.[2]
و در نهایت تعبیری کلی از ریسک اینگونه عنوان شده است:
“امکان وقوع یک خسارت و زیان اعم از مالی و غیر مالی در نتیجه انجام یک کار. “
2-1-1انواع ریسک
سه نوع کلی از ریسک موجود در ایجاد و مدیریت یک سیستم عبارتند از:
ریسک ذاتی ، ریسک باقیمانده و ریسک قابل قبول.[4]
ريسك ذاتي: سطحی از ریسک است که در پیاده سازی سیستم مورد نظر به صورت بالقوه وجود دارد و باید برای کاهش آن چاره ای اندیشید.
ريسك باقيمانده: سطحي از ريسك است كه علي رغم ايجاد عوامل كنترلي و سعي در كاهش ريسك هنوز وجود دارد .
ريسك قابل قبول: سطحي از ريسك باقيمانده است كه اگر چه وجود دارد، اما مانعي جدي بر سر راه رسيدن به اهداف و يا ماموريت هاي سازمان ايجاد نمي كند .
در طبقه بندي ديگري ريسك به سه سطح پائين، متوسط و بالا تقسيم شده است .
و در كتاب”مديريت ريسك”، ريسك در دو نوع اصلي ارائه شده است :
1 ريسك واقعي : ريسكي است كه در آن احتمال زيان وجود دارد ولي احتمال سود وجود ندارد. مانند احتمال تصادف با اتومبيل. اين نوع ريسك هميشه نا خوشايند است .
2 ريسك سوداگرانه:در اين نوع ريسك علاوه بر شانس خسارت (زيان)، شانس سود هم وجود دارد. مانند توسعه كارخانه . اين نوع ريسك داراي جنبه هائي از جذابيت نيز هست. [1]
در دسته بندي ديگر ريسك به سه نوع تقسيم مي شود :
1.ريسك كسب و كار: هزينه يا كاهش در آمد و سرمايه ايست كه در اثرخرابي و ضعف عمليات معمول كسب و كار به وجود مي آيد .مثل از كار افتادگي يك دستگاه .
2. ريسك سازماني : خسارت مستقيم و يا غير مستقيم ناشي از يك يا چند مورد زير :
فرايندهاي داخلي ناقص و يا مردود
افراد
سيستمها
وقايع خارجي
3. ريسك فناوري اطلاعات: عبارت است از عدم وجود سيستم هاي خود كار ، شبكه يا منابع اصلي ديگر فناوري اطلاعات كه روي فرآيندهاي كسب و كار تاثير منفي مي گذارد.
2-1مديريت ريسك
1-2-1 تعريف مديريت ريسك
براي مديريت ريسك نيز مانند واژه ريسك ، تعاريفي ارائه شده است كه البته همه در بر گيرنده مفهومي يكسان هستند و تمركز روي فرايند مديريت ريسك دارند و ما گذري بر مهمترين آنها خواهيم داشت :
مديريت ريسك فر آيند شناسائي ريسك ، كاهش آن تا سطحي قابل قبول و در نهايت ارزيابي نتايج روي سيستم است .[2]
ويليامز و هينز،مديريت ريسك را به صورت زير تعريف مي كنند:
مديريت ريسك ، فرايند شناسائي ،ارزيابي و كنترل ريسكهاي اتفاقي با لقوه اي است كه مشخصا پيامدهاي ممكن آن خسارت يا عدم تغيير در وضع موجود مي باشد. مديريت ريسك ، ريسكها را به وسيله كنترل آنها و تامين مالي خسارت هايي كه به رغم تلاشهاي كنترل خسارت ، اتفاق افتاده اند ،اداره مي كند. [1]
2-2-1 اهداف مديريت ريسك و اهميت آن
مهمترين هدف مديريت ريسك كمك به سازمان در مديريت بهتر ريسك هاي مر بوط به ماموريتش است. و هدف مدیریت ریسک IT ، مدیریت ریسکهای مربوط به ماموریتهای IT است و این از طرق زیر امکان پذیر است:
1) تامین امنیت بیشتر سیستم های IT که وظیفه ذخیره، پردازش و انتقال اطلاعات سازمانی را به عهده دارند.
2) کمک به مدیر در تصمیم گیریهای آگاهانه مربوط به ریسک و در نتیجه تعدیل مخارج که بخشی از بودجه مربوط به IT است.
3) کمک به مدیر در ارتقاء سیستم های IT به دلیل حمایتهای ناشی از عملیات مدیریت ریسک. [2]
به طور كلي ميتوان اهداف مدیریت ریسک را به صورت زير برشمرد:
• بقاء سازمان
• صرفه جویی در هزینه ها
• حفظ سطح قابل قبولی از نگرانی و اضطراب
• ثبات عایدات (درآمدها) ؛ از طریق محدود نمودن کاهشهای پیش بینی نشده یا جریانات نقدی ناشی از خسارات.
• عدم توقف عملیات به دنبال وقوع یک خسارت
• رشد مداوم سازمان
• ایفای مسئولیت های اجتماعی و محدود نمودن خسارت به خود سازمان. [1]
3-2-1فواید و اهمیت مدیریت ریسک
مدیریت ریسک به مدیران کمک می کند تا بتوانند هزینه های عملیاتی و اقتصادی خود را تعدیل کرده و آنها را در اتخاذ بهترین تصمیمات یاری می دهد.
یک شیوه مناسب مدیریت ریسک ، چنانچه به خوبی پیاده سازی شود ؛ می تواند به مدیران در شناسایی عوامل کنترلی مناسب کمک کند تا بتوانند امنیت لازم را در تحقق ماموریت سازمان پیاده کنند و در نتیجه می تواند بقای سازمان را تضمین کرده و سازمان را از خطر ریسکهای کوچک و بزرگ موجود مصون بدارد.
می توان به طور خلاصه فواید مدیریت ریسک را به شرح زیر برشمرد:
افزایش کارایی و اثربخشی، تسهیلات و روان سازی ، کاهش هزینه ، سرعت عمل و کاهش زمان انجام عملیات ،بهبود ارتباطات ،اطمینان از کنترل روی سیستم ، شناسایی تهدیدات مربوط به پروژه يا سیستم و کمک در تحقق به موقع اهداف.
4-2-1ابزارهای مدیریت ریسک
یک مدیر برای اعمال مدیریت ریسک نیاز به ابزارها و روشهای خاصی دارد که از جمله این ابزارها و روشها می توان به موارد زیر اشاره کرد:
1. اجتناب از ريسك: دور کردن ریسک با از میان برداشتن عامل و پیامدهای ریسک.
2. محدود كردن ريسك: کاهش احتمال وقوع خسارت ، یا در صورتی که اتفاق افتاد جلوگیری از توسعه دامنه آن.
3. انتقال ريسك: انتقال خسارات بالقوه به طرف دیگر(مانند شرکتهای بیمه یا شرکتهایی که در زمینه پذیرش ریسک فعالیت می نمایند).
4. تقبل ريسك : نگهداری یا تحمل این خسارات توسط خود شرکت یا سازمان (خود بیمه گری ) و ادامه عملیات سیستم ، با ریسک موجود یا سطح قابل قبول ریسک.
5. برنامه ريزي ريسك: انجام مدیریت ریسک با استفاده از یک برنامه کاهش ریسک که در آن به اولویت بندی ، اجرا و حفاظت از عوامل کنترلی پرداخته می شود.
6. تحقيق و شناسايي: کاهش دادن ریسک از طریق شناسایی نقاط آسیب پذیر و تحقیق در مورد کنترلهای موجود برای اصلاح نقاط آسیب پذیر.[1،2]
لازم به ذكر است كه مدیر ریسک در انتخاب مناسب ترین ترکیب از ابزارها، باید هزینه ها و سایر جنبه های استفاده از هر ترکیب را، مورد توجه قرار دهد.
5-2-1 حيطه مديريت ريسك
در فرايند شناسايي ريسك ، پس از تعيين اثر و احتمال ريسك ، بايستي آنها را روي يك طيف از بسيار بالا تا بسيار پايين طبقه بندي كرد . وسپس به اولويت بندي ريسكها پرداخت تا به مهم ترين آنها در اسرع وقت پاسخ گفته شود.
براي تصميم گيري روي اولويت بندي ريسك هاي شناسايي شده ، بايستي مطابق شكل زير ، با توجه به خصوصيات ، نوع عمليات و حساسيت منابع سازمان ، يك حد آستانه براي سطح ريسك سازمان تعريف كرده و براي سطوح بالاتر از آستانه ، اقدامات لازم صورت گيرد.
شكل 1: حيطه مديريت ريسك
3-1مديريت ريسك درفناوري اطلاعات
با ظهور فناوريهاي نوين اطلاعاتي و لزوم پاسخگوئي و همگامي سازمانها با اين فناوري ، لزوم به كا رگيري مديريت ريسك و روشهاي آن در ايجاد و نگهداري سيستم هاي مبتني بر اطلاعات كه با يكي از مهمترين منابع سازمان، يعني اطلاعات ، سرو كار دارند نمايانتر شده است.
در واقع مديريت ريسك فناوري اطلاعات به معناي شناسائي ، ارزيابي و كاهش ريسك هاي موجود در ايجاد و به كار گيري سيستم هاي اطلاعاتي تا سطح مورد قبول است .
براي ايجاد و توسعه سيستم هاي اطلاعاتي روشهاي گو ناگوني وجود دارد كه برخي از آنها عيارتنداز :
چرخه عمر ايجاد و توسعه سيستم
الگو سازي
استفاده از بسته هاي نرم افزاري آماده
توسعه سيستم تو سط كار بر
خريد يا استفاده از توليد كنندگان بيروني .
در استفاده از هر يك از روشهاي فوق بايستي انواع تكنيكهاي مديريت ريسك، بسته به روش استفاده در ايجاد سيستم مورد استفاده قرار گيرند و ريسكهاي موجود شناسائي ، ارزيابي و مديريت شوند. مثلا در مورد استفاده از توليد كنندگان خارجي و يا خريد سيستم اطلاعاتي ، بايد ريسك در دسترس قرار گرفتن اطلاعات عملياتي سازمان را در نظر داشته و آن را مديريت كرد .
در اين مقاله به بررسي مراحل پياده سازي سيستم با استفاده از روش SDLC ، كه يكي ار جامع ترين ، قديمي ترين و پر كاربردترين روشهاي ايجاد سيستم است ، پرداخته شده و چگونگي اعمال مديريت ريسك، در هر يك از گامهاي اين روش مد نظر قرار مي گيرد .
چرخه عمر ايجاد و توسعه سيستم(SDLC)
چرخه ايجاد يك سيستم مكانيزه به طور كلي شامل 5 مرحله است:
شروع يا برنامه ريزي ايجاد و تهيه سيستم پياده سازي سيستم عمليات و تعديل حفاظت و واگذاري .
در مرحله اول، نياز به سيستم اطلاعاتي ، اهداف آن ،حوزه تحت پوشش سيستم مورد نظرو منابع و ابزار لازم مشخص و مستند مي شود .
در مرحله دوم ، سيستم مورد نظر تحت مطالعات امكان سنجي قرار گرفته ودر نهايت طراحي ، برنامه ريزي،توليد يا خريداري مي شود .
در مرحله سوم، سيستم پياده سازي شده و ويژگيهاي امنيتي سيستم ايجاد ، آزمايش و تصديق مي شوند. سپس مدل منطقي سيستم با مدل فيزيكي و ساختارهاي فيزيكي سيستم، با در نظر گرفتن ويژگيهاي امنيتي مطابقت داده مي شود.
در مرحله چهارم، سيستم عملياتي شده و شروع به انجام وظايف محوله خود مي كند. در اين مرحله سيستم به صورت مداوم از طريق افزودن يا كاستن سخت افزار و نرم افزار و يا تغيير در فرآيند ها ،رويه ها ، و سياستهاي سازمان،آموزش پرسنل و… مورد تعديل و باز بيني قرار مي گيرد .
در مرحله پنجم، اطلاعات ، سخت افزار و نرم افزارها در دسترس قرارداده مي شوند و عمليات سيستم تحت نظارت مداوم قرار گرفته و خطاها و نياز به بهبود شناسائي مي شوند . در اين مرحله ممكن است فعاليتهاي چون جا به جائي ، حذف، دسته بندي يا تخريب اطلاعات صورت گيرد.[2]
3- مراحل مديريت ريسك
همانطور كه در تعريف مديريت ريسك عنوان شد ، فر آيند مديريت ريسك شامل سه گام شناسائي ريسك ، كاهش ، تا يك سطح قابل قبول و در نهايت ارزيابي آن است .
در پياده سازي مديريت ريسك، اين گامها به صورت جزئي تري بررسي مي شوند . در برخي از منابع در 5 گام و در برخي ديگر در6 گام اين فر آيند را پياده سازي مي كنند .
به عنوان مثال يك فر آيند شش گامي در مديريت ريسك به شرح زير مي باشند :
1) تشخيص و تعريف اهداف سازمان يا سيستم؛ مهمترين اين اهداف بقاء سازمان ، در آمد با ثبات ، هزينه هاي كم در بلند مدت و آرامش خاطراست . كه البته بايد سطح معيني از هر يك از اين اهداف را در نظر گرفت و بين آنها يك مصالحه منطقي ايجاد كرد.
2) شناسائي ريسك هاي سازمان : اين مرحله مشكل ترين وظيفه مديريت ريسك است.
3) ارزيابي ريسك؛ در اين گام خسارات بالقوه در طول دوره برنامه ريزي شده مر تبط با اين ريسكها ارزيابي مي شوند اين ارزيابي شامل تعيين :
الف) احتمال يا شانس وقوع خسارت
ب) اثري كه اين خسارتها بر روي وضعيت مالي سازمان خواهند داشت .و
ج) توانائي پيش بيني خساراتي كه واقعا اتفاق خواهند افتاد،
مي باشد.
در اين مرحله اولويت بندي ريسكها مشخص شده و آنها كه اقدام فوري تري مي طلبند، مشخص مي شوند .
4)انتخاب يكي از ابزارهاي مديريت ريسك براي پاسخگوئي به ريسك هاي موجود .
5) اجراي تصميمات اتخاذ شده در خصوص انتخاب ابزار و نحوه پاسخگوئي به ريسك . مثلا در حالت انتقال ريسك ، بايد منطقي ترين نرخ و انتخاب بيمه گر مد نظر قرار گيرد .
6) ارزيابي مراحل گذشته و اينكه آيا ريسكها به درستي پاسخ داده شده اند يا خير.[1]
در جائي ديگر مراحل 4 و 5 از بالا در يك مرحله خلاصه شده اند . به عنوان مثال مراحل مديريت ريسك يك سيستم IT به شرح زير است :
1) تعيين اهداف IT، به طوري كه همسو با اهداف كسب و كار باشند.7 هدف اصلي IT را كه به قرار زير است مي توان در نظر گرفت :
اثر بخشي
كارايي
قابليت اطمينان
انسجام
در دسترس بودن
برآورده كردن نياز
قابليت اعتماد
2) شناسائي ريسك :به مفهوم شناخت تمام چيزهايي است كه روي توان رسيدن به اهداف بالا تاثير مي گذارد. مانند ريسك ناشي از افراد ، فر آيندها ، تكنولوژي، ريسكهاي داخلي وخارجي و كليه ريسك هايي كه در بخش انواع ريسك اشاره شد.
از ريسك هايي كه ممكن است روي اثر بخشي و كار ايي سيستم اثر بگذارد، مي توان به مديريت ضعيف ، نوع تكنولوژي و يا مهارت كار بران سيستم اشاره كرد .همچنين فقدان تدابير امنيتي سيستم ،عدم آگاهي كار بران ، ويروسها و هكرها مي توانند روي قابليت اعتماد سيستم تاثير گذارند.بعلاوه، از نقاط ضعف مر بوطه كه ميزان در دسترس بودن سيستم را تحت تاثير قرار مي دهند، مي توان به طراحي ضعيف سيستم و شبكه ، خرابي سخت افزار ، خرابكاري عمدي در سيستم و عدم وجود نسخه پشتيبان از سيستم اشاره كرد.
از جمله ريسكهاي مرتبط با تامين نيازها، مي توان به عدم آگاهي از قوانين و اصول استفاده ويا نظارت ناكافي اشاره كرد.
طراحي ضعيف ورودي و خروجي سيستم، دسترسي هاي غير مجاز، وجود هكرها و… نيز از جمله خطرات و خسارتهاي احتمالي است ، كه منجر به عدم اطميتان و انسجام سيستم مي شود.
3- ارزيابي ريسك : در اين مرحله بايستي احتمال و اثر هر رخداد را روي اهداف سيستم اطلاعاتي مورد نظر، تعيين كرده، و اين اثرات را در هر دو سطح ريسكهاي ذاتي و ريسكهاي باقيمانده مديريت كرد ،تا بتوان اقدامات لازم را براي رساندن ريسك موجود به سطح قابل قبول انجام داد.
براي بررسي اثرات ممكن روي سيستم، بايستي اثرات مالي ،اثر روي اعتبار سازمان ( به دليل سيستم هاي ناامن)و عمليات كسب و كار ، تخريب دارائيهاي با ارزش مثل داده ها و تاخير در تصميم گيري را در نظر گرفت .و براي مطالعه احتمال رخداد هر واقعه، بايد به بررسي صنعت حاكم بر سازمان ، ساختار و فرهنگ سازماني، نوع سيستم و كنترلهاي موجود پرداخت .
4ـ پاسخگوئي به ريسك
چنانچه ريسك باقيمانده هنوز بيش تر از سطح قابل قبول ريسك است ؛ مجددا بايد اقداماتي براي كاهش ريسك صورت گيرد .
5) نظارت :شامل بررسي كليه مراحل بالاست .[4]
4- مدیریت ریسک و چرخه ایجاد سیستم
در هر یک از مراحل ایجاد و توسعه یک سیستم، ریسک ها و خطراتی احتمالی نهفته است که برای بهبود سیستم و پیاده سازی بهینه سیستم لازم است که به شناسایی این خطرات و نقاط ضعف پرداخته و برای کاهش آنها اقدامات لازم صورت بگیرد.
در جدول زیر، هر یک از مراحل چرخه ایجاد سیستم (SDLC)، و اقدامات لازم برای پیاده سازی مدیریت ریسک در هر مرحله خلاصه شده است:[2]
5- نقشهای کلیدی و عوامل موفقیت در فرایند مدیریت ریسک
از جمله کسانی که نقش فعال در پیاده سازی مدیریت ریسک در سیستم های فناوری اطلاعات دارند، می توان به افراد زیر اشاره کرد:
مدیر ارشد سازمان، مدیر ارشد اطلاعاتی ،صاحبان و مسئولان سیستم و اطلاعات آن، مدیران عملیاتی،مدیر امنیت اطلاعات و تعلیم دهندگان مسائل امنیتی سیستم. [2]
بعلاوه از دیگر فاکتورهایی که در فرآیند مدیریت ریسک بایستی مد نظر قرار گیرند ، عبارتند از:
مشتریان، کاربران، ،تیم پروژه،پروژه های مرتبط و تامین کنندگان.
همانطور که مشخص است فرایند مدیریت ریسک ، فرایندی مبتنی بر ارتباطات بین فاکتورهای عنوان شده در بالا می باشد و لذا فناوری اطلاعات به عنوان یک عامل کلیدی در این فرایند می باشد. خواه مدیریت ریسک روی پروژه های مبتنی بر IT باشد یا نباشد.
عوامل موفقیت مدیریت ریسک
یک برنامه موفق در مدیریت ریسک فناوری اطلاعات بستگی به عوامل زیر دارد:
o تعهد مدير ارشد در خصوص زمان و منابع
o پشتيباني و همكاري همه جانبه گروه
o صلاحيت تيم مديريت ريسك IT
o آگاهي و مشاركت كاربران سيستم
o ارزيابي مستمر و شناسايي مداوم ريسكهاي مربوط به ماموريت فناوري اطلاعات. [2]
6- نتيجه گيري
در اين مقاله به معرفي انواع ريسك و نحوه مديريت آنها در سيستم هاي مختلف و من جمله سيستم هاي اطلاعاتي پرداخته شد و مراحل شناسايي ، كاهش و ارزيابي به تفصيل بحث شد. اما همانگونه كه قبلا نيز عنوان شد، زماني كه از فناوري اطلاعات صحبت به ميان مي آيد، بايد بدانيم كه در حيطه اي قدم گذاشته ايم كه بسيار پويا و حساس مي باشد ، چراكه با مهمترين منابع سازمان يعني اطلاعات سرو كار داريم .بعلاوه، مرتبا با يك فناوري جديد ، با ويژگيها ، مزايا و چالشهاي جديدي روبه رو مي شويم كه الزاما نمي توان از آن اجتناب كرد. لذا در چنين محيطي ، فرايند مديريت ريسك مانند يك سيكل بايد مرتبا تكرار شود تا بتواند براي مديران سازمان ، بهره گيري از تكنولوژيهاي جديد را با اطمينان خاطر توام نمايد. ولي لازم است توجه شود كه هر سازماني بسته به نوع فعاليت و ميزان حساسيت دارائيهاي خود ، با سطوح متفاوتي از ريسك مواجه است كه بايستي فرايند مديريت ريسك براي آن پياده سازي شود.
منابع:
1. سي آرتور ويليامز،جي آر-ريچاردام هينز، مديريت ريسك، مترجمان: داور ونوس،ججت اله گودرزي، نشر نگاه دانش،1382 .
2. Gary Stoneburner, Alice Goguen, and Alexis Feringa, ‘Risk Management Guide for
Information Technology Systems’, National Institute of Standards and Technology, July, 2002.
http://www.csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf
3.’Information Security Risk Assessment Practices of Leading Organizations’, United States general accounting office (GAO), November, 1999.
http://www.gao.gov/cgi-bin/getrpt?GAO/AIMD-00-33
4.’IT Risk Management’, prince water house coopers, 2005
http://www.swpark.or.th/itsec2003
5. Michael S. Gibson, ‘ The Implications of Risk Management Information Systems for the Organization of Financial Firms’, 1997.
http://ideas.repec.org/p/fip/fedgif/632.html