خدمات مشاوره ارزيابي و مدیریت ريسك پروژه ها

۱-فرآیند تجزیه و تحلیل کیفی ریسک

   تجزیه و تحلیل کیفی ریسک، فرآیند تشخیص و ارزیابی احتمال تاثیر ریسک های شناسائی شده  می باشد. در این فرآیند رویداد های بالقوه مخاطره آمیز بنابر میزان اثرات بالقوه هر یک از آنها بر روی اهداف پروژه اولویت بندی می شوند. سپس نحوه پاسخ به آنها نیز تعیین می گردد. توجه شود که انتخاب چگونگی پاسخ به ریسک های مختلف در رجحان و اولویت آنها بسیار موثر می باشد. کیفیت و کمیت اطلاعات در دسترس نیز در تجزیه و تحلیل ریسک نقش تعیین کننده ای ایفا می نماید. احتمال وقوع و تبعاتی که از تحقق هر یک از ریسک ها پیش بینی می شود، اثر بسزایی در انتخاب روش ها و تکنیک های تجزیه و تحلیل کیفی ریسک دارد. به مرور و با تکرار تجزیه و تحلیل های کیفی و همچنین با توجه به نتایج متخذه، ضمن کسر تمایلات ناصواب احتمالی مندرج در برنامه پروژه، تجزیه و تحلیل های کیفی نیز بنا به مقتضیات پروژه و همچنین مراحل اجرای کار به روزآوری می گردند. نتایج حاصله حتی می تواند در تجزیه و تحلیل های کمی و همچنین برنامه ریزی واکنش به ریسک موثر واقع شود.

۲-فرآیند تجزیه و تحلیل کمی ریسک

تجزیه و تحلیل کمی ریسک فرآیند تجزیه و تحلیل های مقداری احتمال وقوع پیامدهای موثر بر اهداف پروژه می باشد. این فرآیند با استفاده از تکنیک های مقداری مانند شبیه سازی مونت کارلو و تجزیه و تحلیل تصمیم گیری حاوی نتایج ذیل است :

• تعیین درجه احتمال تحقق هر یک از اهداف پروژه
• محاسبه و تعیین ریسک پروژه و به تناسب آن زمان و هزینه های صرف شده مربوط به آن
• تعیین ریسک های اولویت دار
• تعیین اهداف هزینه ، زمانبندی یا محدوده پروژه بصورت واقع بینانه و قابل حصول
• تجزیه و تحلیل های کمی ریسک معمولا پس از تجزیه و تحلیل های کیفی ریسک و در پیروی و ادامه آنها انجام می پذیرند. البته اجرای همزمان آنها نیز امکانپذیر است.
• تجزیه و تحلیل های متوالی ، همزمان یا منفرد بنابر مقتضیات کاری ، زمان و هزینه های در اختیار قابل انجام می باشد.

۳-برنامه ریزی پاسخ به ریسک

برنامه ریزی پاسخ به ریسک فرآیند انتخاب و تعین اقدامات لازم برای افزایش فرصت ها و کاهش تهدیدهای احتمالی در رسیدن به اهداف پروژه می باشد.در این فرآیند باتوجه به شناخت کافی از ریسک ، نحوه اقدامات موردی و جمعی ، فردی یا گروهی برای پاسخ به ریسک های شناسایی شده تعیین می گردد.اثربخشی برنامه ریزی پاسخ به ریسک مستقیما در افزایش یا کاهش ریسک پروژه متبلور می شود.به همین منظور ضروری است این برنامه ریزی با دقت کافی انجام پذیرد. تاثیرات مالی این برنامه طی جلسات متعدد بحث و بررسی شده و برنامه ریزی به موقع ، واقع بینانه و مطابق با شرایط پروژه صورت پذیرد. هم چنین مسئولیت ها و اختیارات افراد ، گروه ها نیز به وضوح در برنامه ریزی پاسخ به ریسک تعیین و در نهایت بهترین گزینه از بین گزینه های ممکن بعنوان برنامه ریزی پاسخ به ریسک تهیه گردد.

۴-فرایند پیگیری و کنترل ریسک

پیگیری و کنترل ریسک ، فرایند مستمر وپیگیری ریسک های تعیین شده ، کنترل ریسک های باقیمانده وشناسایی ریسک های جدید در طول چرخه حیات پروژه و بمنظور اطمینان کامل از اجرای برنامه های ریسک و همچنین ارزیابی اثر بخشی تحقق این برنامه ها در کاهش ریسک پروژه می باشد .اجرای موفقیت آمیز این فرایند منتج به تهیه اطلاعات مناسب برای مساعدت به اخذ تصمیمات موثر و کارآمد در موارد و موقعیت های خاص ریسک پروژه می گردد. این موفقیت بدون ایجاد ارتباط کافی با همه متولیان و مجریان پروژه و اخذ مساعدت های دورهای و موردی در خصوص تعیین سطوح مورد قبول ریسک پروژه میسر و دست یافتنی نیست.همچنین هدف از اجرای این فرایند در گرو رعایت موارد ذیل است :

• انجام واکنش های ریسک مطابق برنامه
• رضایت مندی نسبی از اقدامات واکنش های ریسک
• معتبربودن مفروضات پیش بینی شده جهت اجرای پروژه
• تجزیه وتحلیل روند و تحقق کلیه تغییرات بر روی مبانی اولیه مصوب
• انجام کلیه فعالیت ها با محوریت دستورالعمل ها و رویه های مصوب

در حین اجرای فرایند پیگیری و کنترل ریسک ،انتخاب استراتژی های مختلف ، انجام اقدامات بر مبنای برنامه اقتضایی ، انجام اقدامات اصلاحی و برنامه ریزی مجدد پروژه اموری لازم و ضروری تلقی می شوند . لیکن کلیه این اقدامات و نتایج حاصله شامل و نه محدود بر اثر بخشی برنامه ها و اقدامات زود هنگام خارج از برنامه ، می بایستی بصورت دوره ای و منظم به مدیر پروژه و یامجری مدیریت ریسک پروژه گزارش و در خصوص ادامه کار کسب تکلیف گردد.

مدیریت ریسک پروژه های فناوری اطلاعات

شکل زیر هفت مرحله مدیریت ریسک پروژه های IT را نشان می دهد.

مراحل مدیریت ریسک پروژه های IT

۱- برنامه ریزی ریسک

در این مرحله باید لیست ذینفعان  و تعهدات آنها برای مدیریت ریسک گرفته می شود.

۲- شناسایی ریسک

در این مرحله دسته بندی ریسک از نظر نوع اثر و منشا تولید آن و در نهایت لیست ریسکهای پیش بینی شده برای پروژه سیستم ارائه می شود.

ریسکها از نظر نوع تاثیر به سه دسته تقسیم بندی می شوند:

نوع اثر	شرح
پروژه	ریسکهایی که روی زمان بندی و منابع پروژه اثر گذارند
محصول	ریسکهایی که روی کیفیت و کارایی نرم افزار اثرگذارند
کسب و کار	ریسکهایی که در توسعه سازمان اثرگذارند

جدول۱: تقسیم بندی ریسکها از نظر نوع تاثیر

منشا و عواملی که برای ریسکهای پروژه های فناوری اطلاعات و نرم افزاری وجود دارند می توانند وابسته به عوامل مختلفی باشند:

منشا ریسک	شرح
Technology	ریسکهایی که در صورت ناکارامد بودن فناوری مانند نرم افزارها یا تجهیزات سخت افزاری حاصل می شوند
People	ریسکهای ناشی از افراد از جمله کاربران، تیم پروژه،کارمندان و …
Organizational	ریسکهایی که از سازمان ناشی می شود مانند عدم تعهد و تغییر در مدیریت و …
Tools	ریسکهای ناشی از ابزارهای مورد استفاده
Requirements	ریسکهای ناشی از عدم شناسایی درست نیازمندیها و تغییرات عمده در آنها
Estimation	ریسکهای ناشی از تخمین درست زمان و هزینه
Legal	ریسکهای ناشی از مسائل قانونی
Process	ریسکهای ناشی از فرایندهای ناصحیح
Environment	ریسکهای ناشی از محیط

جدول۲: منشا ریسک

در جدول زیر ۷ دسته بندی کلی برای ریسکهای ممکن در نظر گرفته شده و پس از آن لیست ریسک های پیش بینی شده آورده شده است:

ردیف		عنوان فاکتور ریسک	توصیف ریسک	اثرات ناشی از ظهور ریسک	روش‎های کاهش ریسک
	۱	ریسک دسترسی	منظور از ریسک دسترسی، خدشه«دسترسی غیر مجاز» به منابع اطلاعاتی، سخت افزار و نرم افزارهای کامپیوتری و (هر آنچه به عنوان سرمایه اصلی ذینفعان و متولی طرح می‎باشد) است که میزان اهمیت هر یک از اقلام سرمایه‎ای، می‎توان درجه ریسک آن را معین نمود	*از دست دادن اطلاعات محرمانه*از کار افتادن سخت افزار و نرم افزارهای کامپیوتری *از دست دادن فرصت‎های توسعه فناوری اطلاعات	*افزایش امنیت نرم‎افزاری و سخت‎افزاری*سطح بندی مناسب منابع سرمایه ای بر اساس اختیار افراد و تدوین سیاست‎های کنترلی
	۲	ریسک خدمت رسانی و پاسخگویی به  کاربران	چنانچه در ارائه خدمات به کاربران، نظارت و کنترلی صورت نپذیرد و میزان رضایت‎مندی یا دریافت خدمات توسط کاربران بررسی نشود، ریسک خدمت رسانی و پاسخگویی به کاربران رخ می‎دهد.	*نارضایتی کاربران و کاهش اعتبار سازمان‎ها*از دست دادن فرصت‎های بهره گیری مؤثر از فناوری اطلاعات	*پیش بینی دلایل شکست پاسخگویی به کاربران و تمهید راه حل‎های مناسب*دریافت فیدبک از کاربران و بهبود مستمر در روش ارائه خدمت به آنان
	۳	ریسک جامعیت داده	اگر برای گزارشات مدیریتی یا توسعه خدمات سازمان ها، از داده نادرست استفاده شود، ریسک جامعیت داده رخ می‎دهد. همچنین از منظر برون سازمانی نیز، چنانچه اطلاعات کاربران درست به سازمان‎ها ارائه نگردد یا داده نادرست به کاربران و ذینفعان ارائه گردد. نیز خود باعث برهم ریختگی و اختلال در خدمت‎رسانی سازمان‎ها گردیده و ریسک جامعیت داده رخ می‎دهد.	*از دست دادن فرصت‎های سازمان ها*ظاهر شدن ناکارآمدی در فرآیندهای خدمت رسانی سازمان ها *تاثیر منفی بر کاربران	*اختصاص راه‎حل امنیتی و سطح دسترسی به اقلام داده‎ای*کنترل و نظارت پیوسته بر یکپارچگی داده
	۴	ریسک سوءاستفاده	امکان اختلال در منابع سازمانی، یا دستکاری و از بین بردن رکورد‎های سازمانی به عنوان ریسک سوءاستفاده دیده می‎شود. از برون سازمان، افراد غیر مجاز نیز ممکن است به کانال‎های ارتباطی نفوذ نمایند و به اطلاعات محرمانه دسترسی پیدا کنند یا اینکه از منابع و دارایی‎های سازمان، استفاده نادرست نمایند که این امر خود منجر به وقوع ریسک سوءاستفاده خواهد شد.	*اختلال در ارائه خدمات سازمان‎ها*از دست دادن اطلاعات محرمانه و منابع با ارزش سازمانی *کاهش اعتبار و اعتماد سازمانی *از دست دادن فرصت‎های بهره‎گیری مؤثر از فناوری اطلاعات در خدمت ‎رسانی	*افزایش امنیت دسترسی به اطلاعات و منابع سازمانی*کنترل و نظارت پیوسته بر دسترسی به منابع سازمانی
	۵	ریسک حقوقی- قانونی	در ارائه خدمات دولتی بر بستر فناوری اطلاعات می‎بایست بررسی شود که نیازمندی‎های حقوقی-قانونی آن پوشش داده شود، در صورت عدم پوشش نیازمندی‎های حقوقی-قانونی، ریسک حقوقی-قانونی رخ می‎دهد.	*انحرافات حقوقی-قانونی*ایجاد مشکل در ارائه خدمات	*تعیین نیازمندی‎ها و بررسی وجود بستر حقوقی-قانونی قبل از ارائه خدمات و رفع موانع موجود
	۶	ریسک فرهنگی-آموزشی	آماده پذیری کارکنان داخل سازمان‎ها برای ارائه خدمات و همچنین کاربران برای دریافت خدمات، می‎بایست قبل از ارائه خدمات و همچنین همزمان با آن، مورد بررسی قرار گیرد که در صورت عدم وجود بستر فرهنگی ریسک فرهنگی-آموزشی مورد توجه قرار گیرد.	*تعلل و کندی در ارائه خدمات*عدم استقبال یا رضایت از ارائه خدمات	*بستر سازی فرهنگی و آموزش اختصاصی کارکنان سازمان برای ارائه خدمات*آموزش‎های عمومی کاربران و ایجاد فضای مناسب برای استقبال و پذیرش خدمات سازمان‎ها
	۷	ریسک صدمه پذیری (از کار افتادن) منابع سخت‎افزاری	این ریسک در صورتی رخ می‎دهد که منابع سخت‎افزاری که در دسترسی و استفاده کارکنان سازمان یا کاربران است، دچار وقفه یا خرابی گردد.میزان اهمیت تجهیزات سخت‎افزاری در ارائه خدمات، بحرانی بودن و نسبت درجه ریسک را مشخص می‎نماید.	*نا کارآیی در فرآیندهای ارائه خدمات*نارضایتی کاربران و کاهش اعتبار بهره‎گیری از فناوری اطلاعات در ارائه خدمات	*اخذ سیاست‎های تست منابع سخت‎افزاری و رفع خرابی‎ها*در نظر گرفتن نسخه‎های پشتیبانی برای سخت افزارها

جدول۳: دسته بندی کلی ریسک ها

۳- برآورد و تخمین ریسک

بعد از شناسایی ریسک ها در این مرحله احتمال وقوع و تاثیر آن بر روی پروژه باید بررسی شود که برای این منظور از روش کمی استفاده شده و یک سری پارامترهایی برای احتمال وقوع و اثر ریسک در نظر گرفته شده که جداول آن به صورت زیر می باشد و بعد با توجه به آنها درجه و رتبه ریسک مشخص شده است.

احتمال وقوع	مقدار عددی
Low	۱
Moderate	۲
High	۳

جدول ۵ : احتمال وقوع ریسک و مقدار عددی متناظر

اثر ریسک	مقدار عددی
ناچیز	۱
قابل تحمل	۲
خطرناک	۳
فاجعه انگیز	۴

جدول  ۶ : اثر ریسک و مقدار عددی متناظر

با توجه به جداول بالا رتبه ریسک به صورت زیر محاسبه می شود:

رتبه ریسک  :احتمال وقوع ریسک * تاثیر ریسک

که برای ریسک های پروژه مورد نظر احتمال وقوع و تاثیر ریسک و رتبه ریسک به صورت زیر خواهد بود.

ردیف	شرح ریسک	احتمال وقوع	تاثیر ریسک	رتبه ریسک
				تاثیر * احتمال

جدول ۷ :احتمال وقوع و تاثیر ریسک و رتبه ریسک

۴– استراتژی برخورد با ریسک

هدف این مرحله رسیدگی به ریسکهای مختلف می باشد که استراتژی و نحوه برخورد با ریسک باید مشخص شود که در کل چهار نوع استراتژی برای برخورد با ریسک وجود دارد که عبارتند از:

• قبول یا رد ریسک
• اجتناب کامل از ریسک
• کاهش احتمال یا اثر ریسک
• انتقال ریسک به یک فرد دیگر

که برای ریسکهای شناسایی شده مربوط به پروژه مربوطه استراتژی برخورد در جدول زیر ارائه شده است.

ردیف	شرح ریسک	استراتژی برخورد	نوع استراتژی

جدول ۸ : ریسک و استراتژی برخورد

۵– کنترل و نظارت ریسک

در این مرحله باید ریسک هایی که شناسایی شده اند نظارت و کنترل شوند که هر ریسکی Indicator های خاص خودش را دارد و همچنین ممکن است تاثیرات و احتمال وقوع آنها تغییر یابد بنابراین ممکن است در این مرحله تصمیمات جدیدی نسبت به برخورد با ریسکها گرفته شود.

ردیف	شرح ریسک	Indicator

جدول۹ : شاخص

۶- پاسخ به ریسک

بعد از کنترل و مانیتور کردن ریسکها در این مرحله مالکان ریسک باید عملکرد لازم برای ریسک را که متعهد شده اند انجام دهند و همچنین منابع لازم را در اختیار بگذارند که در جدول زیر مالکان ریسک مربوط به پروژه فوق ذکر شده اند.

ردیف	شرح ریسک	Risk Owner
۱

جدول ۱۰ : مالکان ریسک

۷– ارزیابی ریسک

در این مرحله باید ریسکها و عملکرد ها ی مربوط به آنها مستند سازی شوند تا بتوان از انها برای انجام عملکرد بهتر در پروژه های بعدی استفاده کرد.

مدیریت ریسک در روش SDLC تولید نرم افزار

در این قسمت به بررسی مراحل پیاده سازی سیستم با استفاده از روش SDLC ، که یکی ار جامع ترین ، قدیمی ترین و پر کاربردترین روشهای ایجاد سیستم است ، پرداخته شده و چگونگی اعمال مدیریت ریسک، در هر یک از گامهای این روش مد نظر قرار می گیرد .

چرخه عمر ایجاد و توسعه سیستم(SDLC)

چرخه ایجاد یک سیستم مکانیزه به طور کلی شامل ۵ مرحله است:

شروع یا برنامه ریزی

ایجاد و تهیه سیستم

پیاده سازی سیستم

عملیات و تعدیل

حفاظت و واگذاری

در مرحله اول، نیاز به سیستم اطلاعاتی ، اهداف آن ،حوزه تحت پوشش سیستم مورد نظرو منابع و ابزار لازم مشخص و مستند می شود .

در مرحله دوم ، سیستم مورد نظر تحت مطالعات امکان سنجی قرار گرفته ودر نهایت طراحی ، برنامه ریزی،تولید یا خریداری می شود .

در مرحله سوم، سیستم پیاده سازی شده و ویژگیهای امنیتی سیستم ایجاد ، آزمایش و تصدیق می شوند. سپس مدل منطقی سیستم با مدل فیزیکی و ساختارهای فیزیکی سیستم، با در نظر گرفتن ویژگیهای امنیتی مطابقت داده می شود.

در مرحله چهارم، سیستم عملیاتی شده و شروع به انجام وظایف محوله خود می کند. در این مرحله سیستم به صورت مداوم از طریق افزودن یا کاستن سخت افزار و نرم افزار و یا تغییر در فرآیند ها ،رویه ها ، و سیاستهای سازمان،آموزش پرسنل و… مورد تعدیل و باز بینی قرار می گیرد .

در مرحله پنجم، اطلاعات،سخت افزار و نرم افزارها در دسترس قرارداده می شوند و عملیات سیستم تحت نظارت مداوم قرار گرفته و خطاها و نیاز به بهبود شناسائی می شوند . در این مرحله ممکن است فعالیتهای چون جا به جائی ،حذف، دسته بندی یا تخریب اطلاعات صورت گیرد.

مراحل مدیریت ریسک

همانطور که در تعریف مدیریت ریسک عنوان شد،فر آیند مدیریت ریسک شامل سه گام شناسائی ریسک،کاهش،تا یک سطح قابل قبول و در نهایت ارزیابی آن است.در پیاده سازی مدیریت ریسک، این گامها به صورت جزئی تری بررسی می شوند.در برخی از منابع در ۵ گام و در برخی دیگر در ۶ گام این فر آیند را پیاده سازی می کنند.

به عنوان مثال یک فر آیند شش گامی در مدیریت ریسک به شرح زیر می باشند :

• ۱) تشخیص و تعریف اهداف سازمان یا سیستم؛ مهمترین این اهداف بقاء سازمان ، در آمد با ثبات ، هزینه های کم در بلند مدت و آرامش خاطر است.که البته باید سطح معینی از هر یک از این اهداف را در نظر گرفت و بین آنها یک مصالحه منطقی ایجاد کرد.
• ۲) شناسائی ریسک های سازمان : این مرحله مشکل ترین وظیفه مدیریت ریسک است.
• ۳) ارزیابی ریسک؛ در این گام خسارات بالقوه در طول دوره برنامه ریزی شده مر تبط با این ریسکها ارزیابی می شوند این ارزیابی شامل تعیین :

الف) احتمال یا شانس وقوع خسارت

ب) اثری که این خسارتها بر روی وضعیت مالی سازمان خواهند داشت .

ج) توانائی پیش بینی خساراتی که واقعا اتفاق خواهند افتاد،

می باشد.

در این مرحله اولویت بندی ریسکها مشخص شده و آنها که اقدام فوری تری می طلبند، مشخص می شوند.

۴)انتخاب یکی از ابزارهای مدیریت ریسک برای پاسخگوئی به ریسک های موجود.

۵) اجرای تصمیمات اتخاذ شده در خصوص انتخاب ابزار و نحوه پاسخگوئی به ریسک.مثلا در حالت انتقال ریسک،باید منطقی ترین نرخ و انتخاب بیمه گر مد نظر قرار گیرد.

۶) ارزیابی مراحل گذشته و اینکه آیا ریسکها به درستی پاسخ داده شده اند یا خیر.

در جائی دیگر مراحل ۴ و ۵ از بالا در یک مرحله خلاصه شده اند . به عنوان مثال مراحل مدیریت ریسک یک سیستم نرم افزاری به شرح زیر است :

• تعیین اهداف نرم افزاری، به طوری که همسو با اهداف کسب و کار باشند.۷ هدف اصلی نرم افزاری را که به قرار زیر است می توان در نظر گرفت :
• اثر بخشی
• کارایی
• قابلیت اطمینان
• انسجام
• در دسترس بودن
• برآورده کردن نیاز
• قابلیت اعتماد
• شناسائی ریسک:به مفهوم شناخت تمام چیزهایی است که روی توان رسیدن به اهداف بالا تاثیر می گذارد. مانند ریسک ناشی از افراد ،فر آیندها، تکنولوژی، ریسکهای داخلی وخارجی و کلیه ریسک هایی که در بخش انواع ریسک اشاره شد.

از ریسک هایی که ممکن است روی اثر بخشی و کارایی سیستم اثر بگذارد، می توان به مدیریت ضعیف ، نوع تکنولوژی و یا مهارت کار بران سیستم اشاره کرد .همچنین فقدان تدابیر امنیتی سیستم ،عدم آگاهی کاربران،ویروسها و هکرها می توانند روی قابلیت اعتماد سیستم تاثیر گذارند.بعلاوه،از نقاط ضعف مربوطه که میزان در دسترس بودن سیستم را تحت تاثیر قرار می دهند، می توان به طراحی ضعیف سیستم و شبکه ، خرابی سخت افزار ، خرابکاری عمدی در سیستم و عدم وجود نسخه پشتیبان از سیستم اشاره کرد.

از جمله ریسکهای مرتبط با تامین نیازها، می توان به عدم آگاهی از قوانین و اصول استفاده  ویا نظارت ناکافی اشاره کرد.

طراحی ضعیف ورودی و خروجی سیستم، دسترسی های غیر مجاز، وجود هکرها و… نیز از جمله خطرات و خسارتهای احتمالی است ، که منجر به عدم اطمیتان و انسجام سیستم می شود.

۳- ارزیابی ریسک: در این مرحله بایستی احتمال و اثر هر رخداد را روی اهداف سیستم اطلاعاتی مورد نظر، تعیین کرده، و این اثرات را در هر دو سطح ریسکهای ذاتی و ریسکهای باقیمانده مدیریت کرد ،تا بتوان اقدامات لازم را برای رساندن ریسک موجود به سطح قابل قبول انجام داد.

برای بررسی اثرات ممکن روی سیستم، بایستی اثرات مالی ،اثر روی اعتبار سازمان ( به دلیل سیستم های ناامن) و عملیات کسب و کار ، تخریب دارائیهای با ارزش مثل داده ها و تاخیر در تصمیم گیری را در نظر گرفت .و برای مطالعه احتمال رخداد  هر واقعه، باید به بررسی صنعت حاکم بر سازمان ، ساختار و فرهنگ سازمانی، نوع سیستم و کنترلهای موجود پرداخت .

۴ـ پاسخگوئی به ریسک

چنانچه ریسک باقیمانده هنوز بیش تر از سطح قابل قبول ریسک است ؛ مجددا باید اقداماتی برای کاهش ریسک صورت گیرد .

۵-نظارت:شامل بررسی کلیه مراحل بالاست.

۶- مدیریت ریسک و چرخه ایجاد سیستم

در هر یک از مراحل ایجاد و توسعه یک سیستم، ریسک ها و خطراتی احتمالی نهفته است که برای بهبود سیستم و پیاده سازی بهینه سیستم لازم است که به شناسایی این خطرات و نقاط ضعف پرداخته و برای کاهش آنها اقدامات لازم صورت بگیرد.

مدیریت ریسک مطابق با روش ISO13000 و ISO27005

سیکل حیات پیشرفته سیستم (IT system Development Life Cycle) دارای ۵ فاز است:

• گشایش
• پیشرفت یا اکتساب
• پیاده سازی
• عملیات  یا نگه داری
• مصرف

1. ارزیابی ریسک: برای تعیین مقدار بالقوه تهدید و ریسک مرتبط با یک سیتم در چرخه حیات نه گام در نظر گرفته شده است:

۱) مشخصات سیستم

۲) شناسایی تهدید

۳) شناسایی قابلیت آسیب پذیری

۴) تجزیه و تحلیل کنترل

۵)  تعیین درست نمایی (Likelihood)

۶) تجزیه و تحلیل برخورد

۷) تعیین ریسک

۸) پیشنهادات کنترلی

۹) مستند سازی نتایج

قابل ذکر است که مراحل ۲،۳،۴،۶ می تواند از تمام مرحله تحت به صورت موازی اجرا شوند.

۱.۱. مشخصات سیستم: تعریف محدوده تاثیر و شناسایی مرزهای سیستم نرم افزاری با منابع و اطلاعات تشکیل دهنده آن (شامل سخت افزار، نرم افزار، اتصال سیستم، پرسنل پشتیبان و واسط های سیستم، داده و اطلاعات، افرادی که از سیستم استفاده و از آن پشتیبانی می کنند و…)

۱.۲.شناسایی تهدید:تهدید: پتانسیلی جهت اجرای یک آسیب پذیری خاص عمدی یا تصادفی.

۱.۲.۱. شناسایی منشا تهدید (Threat-Source) : هر شرایط یا رخداد بالقوه ای که منجر به زیان ( انسانی ، طبیعی یا محیطی ) به سیستم شود.

۱.۲.۲. انگیزه ها و اعمال تهدید :

انگیزه ها و منابع تهدید ممکن، انسان ها را به صورت بالقوه منابع تهدید خطرناکی معرفی کند. بررسی سوابق شکست های سیستم، گزارش های خطاهای امنیتی، گزارش های رویدادها و مصاحبه  با مدیران سیستم ها، به پرسنل پشتیبانی و جامعه کاربران در طی جمع آوری اطلاعات ( از طریق پرسشنامه ها، مصاحبه ها، بررسی سند و غیره.) کمک خواهد کرد که منابع تهدید انسانی دارای پتانسیل صدمه زنی به سیستم و داده های آن را شناسایی کنیم.

۱.۳. آسیب پذیری : ضعف هایی می تواند به صورت تصادفی به منابع و اطلاعات صدمه برساند.

روش های پیشنهادی برای شناخت آسیب پذیری سیستم، استفاده از منابع آسیب، انجام امنیت های سیستم و پیشرفت دادن لیست مورد نیاز است.

۱.۳.۱. انواع آسیب پذیری های در سیکل حیات پیشرفته سیستم عبارتست از:

– اگر طراحی سیستم آغاز نشده است ، جستجو برای آسیب ها باید بر سیاست های سازمان، روال های مطرح ، تعاریف مورد نیاز سیستم و غیره متمرکز شود.

– در صورتی که سیستم در حال اجرا است، شناخت این آسیب ها باید برای توسعه اطلاعات مشخص بیشتر مانند مشخصه های طرح و تعریف شده در سند طراحی و نتایج تست تائید سیستم و ارزیابی توسعه یابد.

– اگرسیستم عملی باشد، پروسه شناسایی آسیب باید شامل یک تجزیه و تحلیل جنبه ها و کنترل های سیستم باشد.

۱.۳.۲. منابع آسیب:

آسیب پذیری های تکنیکی و غیر تکنیکی مرتبط با محیط پردازش سیستم می توانند با تکنیک های جمع آوری اطلاعات (که پیشتر ذکر شد) شناسایی شوند.

۱.۴. تجزیه و تحلیل کنترل:

تجزیه و تحلیل تهدید سیستم باید شامل یک تجزیه و تحلیل آسیب پذیری مرتبط با محیط سیستم باشد. هدف این گام گسترش دادن لیستی از آسیب پذیری های سیستم (کاستی ها یا ضعف ها) می باشد که بتوانند توسط منابع تهدید بالقوه به خدمت گرفته شوند.

• تست امنیت سیستم :

از تست سیستم مشغول به کار می تواند به طور موثری برای شناسایی آسیب پذیری ها، بسته به بحرانی بودن سیستم و منابع موجود (مانند سرمایه اختصاصی یافته، فناوری ممکن، افراد متخصص برای هدایت تست) استفاده شود.

۱.۴.۲. روش های تست:

– ابزارهای خودکار وارسی آسیب پذیری که برای وارسی یک گروه از میزبان ها و شبکه جهت شناسایی سرویس های آسیب پذیر (مانند سیستم هایی که به پروتکل تبادل فایل (FTP) بی نام اجازه عمل می دهند و غیره)

– ارزیابی و تست امنیت (ST & E) شامل پیشرفت و اجرای تست (برای نمونه متن سند تست، روال های تست و نتایج تست مورد نظر) می باشد. هدف از این تست، تست کارا بودن کنترل های امنیت یک سیستم که در یک محیط عملیاتی به کار گرفته می شود می باشد. به عبارت دیگر هدف،تضمین آن است که کنترلی که به کار گرفته شده با مشخصات امنیتی تصویب شده برای نرم افزار و سخت افزار سازش داشته باشد و اجرای سیاست امنیت سازمان یا بدست آوردن استانداردهای صنعتی است .

۱.۴.۳. تست نفوذ:

می تواند برای ایفای نقش مکمل بررسی کنترل های امنیت استفاده شود و تضمین کند که رویه های مختلف سیستم امن است. تست نفوذ زمانی که درپروسه ارزیابی ریسک بکار گرفته شود می تواند برای ارزیابی توانایی های یک سیستم بکار رود. هدف آن، تست سیستم از منظر یک منبع تهدید و شناسایی شکست بالقوه طرح های حفاظت سیستم است.

۱.۴.۴. پیشرفت لیست نیازمندی ها:

در طی این گام پرسنل ارزیابی ریسک، نیازمندی های سیستم ها را تعیین می کنند. یک لیست نیازمندی ها شامل استانداردهای پایه می تواند به طور سیستماتیک برای ارزیابی و شناسایی آسیب پذیری دارایی ها (افراد، نرم افزار، سخت افزار و اطلاعات)، روال های غیر خودکار ،پروسه ها،انتقال اطلاعات مرتبط با سیستم در زمینه های زیر بکار رود.

– مدیریت

– عملیات

– فنی

نتیجه این پروسه، لیست نیازمندی ها است. منابع می تواند در گردآوری هایی مانند لیست استفاده شود اما بدان محدود نباشد. نتایج یک لیست یا پرسشنامه می تواند بعنوان ورودی برای ارزیابی مطلوبیت یا عدم مطلوبیت بکار رود. این پروسه، سیستم و ضعف های روندی که آسیب پذیری بالقوه را به نمایش می گذارند را تعیین می کند.

۱.۴.۵ هدف:

تجزیه و تحلیل کنترل های طراحی شده برای اجرا توسط سازمان، در راه نیل به کمینه کردن یا برطرف نمودن درست نمایی (یا احتمال) تهدیدی است که موجب آسیب پذیری سیستم می شود.

برای نتیجه گیری از یک سنجش کلی درست نمایی و احتمال آنکه یک آسیب پذیری ممکن است اجرا شود ،اجرای کنترل های جاری یا طرح ریزی شده در درون محیط تهدید مرتبط باید بررسی شود.

• روشهای کنترل:

کنترل ها شامل استفاده از متدهای غیر تکنیکی و تکنیکی هستند. کنترل تکنیکی محافظ هایی هستند که در نرم افزار، سخت افزار وجود دارد.

کنترل غیرتکنیکی، کنترل های عملیاتی و مدیریت مانند سیاست ها هستند؛ روال های عملی، روال های پرسنل و …

۱.۴.۷. طبقات کنترل:

هر دو روش تکنیکی و غیرتکنیکی می تواند تحت عنوان پیشگیرانه یا تشخیص دهنده طبقه بندی گردد.

اجرای چنین کنترل هایی در طول پروسه کاهش ریسک، نتیجه مستقیم شناسایی نقایص در جریان یا کنترل های طرح شده در طول پروسه ارزیابی ریسک است.

۱.۴.۸.تکنیک تجزیه و تحلیل کنترل:

نیازمند های لیست می تواند برای تائید نامطلوبیت همانند مطلوبیت استفاده شود.بنابراین ضروری است که چنین فهرست هایی را به روز کنیم تا تغییرات در یک محیط کنترل سازمانی را منعکس نماید ( برای نمونه تغییرات در سیاست ها و نیازمندی ها) تا اعتبار فهرست را تضمین نماید.

۱.۵. تعیین درست نمایی (Likelihood): برای استنتاج یک بخش درست نمایی کلی که اشاره می کند که احتمال یک آسیب پذیری بالقوه ممکن است در درون محیط تهدید مرتبط اعمال شود، عوامل زیر باید بررسی شوند:

– انگیزه و قابلیت منابع تهدید

– طبیعت آسیب پذیری

– وجود یا تاثیر کنترل های حاضر

درست نمایی که یک آسیب پذیری بالقوه می تواند اعمال کند توسط یک منبع تهدید معین می تواند به صورت زیاد، متوسط و کم توصیف شود.

–  زیاد: منبع تهدید بسیار زیاد تحریک شده است و به اندازه کافی توانایی دارد و کنترل های جلوگیری آسیب پذیری نا کارا هستند.

– متوسط : منبع تهدید بسیار تحریک شده است و توانایی نیز دارد، اما کنترل هایی موجود ممکن است از آسیب پذیری موفق جلو گیری بعمل آورند.

– کم: منبع تهدید دارای کمبود تحریک و توانایی است یا کنترل های مانع محل حضور دارند و یا حداقل به طور قابل ملاحظه ای از آسیب پذیری جلوگیری بعمل آورده اند.

۱.۶. تجزیه و تحلیل برخورد : تعیین نتیجه گیری برخور مضر از یک آعمال آسیب موفق است.

پیش از شروع تجزیه و تحلیل برخورد لازم است که اطلاعات ضروری زیر کسب گردد:

– مأموریت سیستم (برای نمونه پروسه هایی که توسط سیستم اجرا می شوند)

– وخامت داده و سیستم (برای نمونه ارزش یا اهمیت سیستم برای سازمان)

۱.۶.۱. حساسیت داده وسیستم:

اطلاعات می تواند از اسناد سازمانی موجود مانند گزارش های تجزیه و تحلیل برخورد پروژه یا گزارش ارزیابی بحران بدست آید.

۱.۶.۲. کمیت در مقابل کیفیت ارزیابی:

در هدایت تجزیه برخورد، بررسی باید از نظر سودها، مضرات و ارزیابی بی کیفیتی در مقابل کیفیت بررسی شود. سود اصلی تجزیه و تحلیل برخورد کیفی، ریسک ها را اولیت بندی و نوایحی برای بهبود فوری در آدرس دهی آسیب پذیری ها را شناسایی می کند

سود عمده این تجزیه تحلیل مهیا کردن بخشی برای دامنه برخورد است که می تواند در تجزیه وتحلیل سود و زیان کنترل های پیشنهاد شده بکار رود. اشکال این روش آن است که به نوایح عددی که به عنوان ابزار سنجش به کار می روند بستگی دارد. از این رو معنای تجزیه و تحلیل برخورد کمی غیر واضح است و به نتایج برای تفسیر حالت کیفی نیازمند است. عوامل اضافی که باید برای تعیین دامنه برخورد استفاده شود:

• تخمین فراوانی اعمال آسیب از منابع تهدید در یک دوره زمانی خاص.
• عامل مهم برپایه تجزیه و تحلیل ذهنی برخورد مربوط به اعمال تهدید و آسیب خاص.
• هزینه تقریبی برای هر رخداد اعمال آسیب از منبع تهدید.

۱.۷.تعیین ریسک: هدف این گام ارزیابی سطح ریسک سیستم است . تعیین ریسک برای جفت تهدید- آسیب خاص می تواند بیان بعنوان یک تابع از:

• درست نمایی منبع تهدیدی معینی که تلاش می کند تا آسیبی خاص را اعمال کند.
• کفایت کنترل های امنیت موجود یا طرح ریزی شده برای کاهش یا دفع ریسک.

۱.۸.پیشنهادات کنترل:

هدف این پیشنهادات کاهش سطحی ریسک سیستم و داده ها به سطحی قابل قبول است. عوامل زیر کنترل های پیشنهادی و راه حل های دیگر باید بررسی شوند تا ریسک شناخته شده بکاهند یا آن را از میان بر دارند:

• کارایی گزینه ای پیشنهادی
• قانون گذاری و مقررات
• سیاست سازمانی
• برخورد عملیاتی
• ایمنی و اعتماد

پیشنهادات کنترل، نتایج پروسه ارزیابی ریسک هستند که ورودی برای پروسه کاهش ریسک را مهیا می کنند.

۱.۹. مستند سازی نتایج :

پس از ارزیابی ریسک، نتایج باید در یک گزارش رسمی و مختصر ارزیابی مستند سازی شود.یک گزارش ارزیابی ریسک ، گزارشی است که به مدیریت ارشد ، دارندگان مأموریت کمک می کند تا تغییر برسیاست، بودجه، روندها مدیریت و عملیات سیستم تا تصمیم گیری کنند. برخلاف یک گزارش ممیزی یا وارسی که در جستجوی خطا کاری است، گزارش ارزیابی ریسک نه در حالت اتهامی بلکه به صورت رهیافت آنالیزی وسیماتیک به ارزیابی ریسک باید مطرح شود.

2. کاهش ریسک :

دومین پروسه مدیریت ریسک شامل اولیت بندی، ارزیابی واجرای پیشنهادات کنترلی جهت کاهش ریسک مناسب از پروسه ارزیابی ریسک است.بدلیل آن که نابود کردن تمامی ریسک ها معمولا غیر عملی یا نزدیک به محال است، برعهده مدیر ارشد، عملیاتی یا تجاری است که از این رهیافت های حداقل هزینه، سود برد و مناسب ترین کنترل ها را برای کاهش ریسک مأموریت به سطحی قابل قبول با حداقل  برخورد  زیانبار منابع و مأموریت سازمان اجرا کند.

۲.۱.  گزینه های کاهش ریسک :

• پنداشت ریسک: برای پذیرفتن ریسک بالقوه و ادامه اجرای سیستم یا برای اجرای کنترل ها برای کاهش ریسک به سطحی قابل قبول.
• اجتناب از ریسک: توسط حذف منشاء ریسک و یا نتایج آن. (برای مثال چشم پوشی از توابع قطعی سیستم یا کاوش کردن سیستم و زمانی که ریسک شناخته شد.)
• محدودیت ریسک: برای محدود کردن ریسک با اجرای کنترل ها که برخورد زیانبار تهدیدی که آسیب و اعمال را می کند کمینه می کند. (برای مثال استفاده از کنترل های پشتیبانی، پیشگرانه و تشخیص.)
• طرحی ریزی ریسک: برای مدیریت ریسک با پیشرفت دادن یک طرح کاهش ریسک که کنترل ها را اولیت بندی، اجرا و نگهداری می کند.
• پژوهش و تصدیق: برای کاهش ریسک زیان با تصدیق آسیب پذیری یا نقص. و جستجو کردن کنترلی برای تصحیح آسیب.
• انتقال ریسک: با استفاده از سایر اهداف و ومأموریت های سازمان در انتخاب هر یک از این گزینه های کاهش ریسک باید بررسی شود. ممکن است عملی نباشد که تمامی ریسک های شناخته شوند، پس باید اولیت های به سطوح تهدید و آسیب  که دارای توان بالقوه تولید زیان یا برخورد مأموریت را دارند،داده شود. همچنین در حفاظت از مأموریت سازمان و سیستم های آن، بدلیل محیط و اهداف یکتای هر سازمان، گزینه استفاده شده برای کاهش ریسک و روش های مورد استفاده برای اجرای کنترل ها ممکن است متفاوت باشد.

۲.۲. استراتژی کاهش ریسک :

ممکن است این پرسش برای مدیران ارشد، صاحبان مآموریت مطرح باشد که از ریسک های پیشنهادات بالقوه کنترلی آگاهند به وجود آید که چه زمان و تحت چه شرایطی باید وارد عمل شد؟ چه زمانی باید این کنترل را برای کاهش ریسک و حفاظت از سیستم اجرا کنیم؟

این استراتژی در دستور العمل زیر آمده است :

• چه زمانی آسیب ( نقض یا ضعف) وجود دارد؟ تکنیک ها برای کاهش درست نمایی آسیب های اعمال شده را اجرا کنید.
• چه زمانی آسیب اعمال شود؟ معماری و کنترل های اجرایی را برای کاهش ریسک و پرهیز از رخداد آن به کار ببیندید.
• چه زمانی زیان، عظیم است ؟ اصول طراحی، طراحی های معماری و اصول تکنیکی را برای محدوده کردن اندازه زیان ربسک

۲.۳. طبقه های کنترل:

این بخش کنترل های عملیاتی، مدیریتی یا تکنیکی را یا ترکیبی از چنین کنترلی هایی  را باید بررسی کند، تا کارایی کنترل ها برای سیستم را پیشینه کند. پروسه کنترل شامل یک گزینش از میان ترکیبی از کنترل های عملیاتی، مدیریتی یا تکنیکی برای بهبود اوضاع پروژه است. یک کنترل روند ممکن است به آسانی به یک وسیله یک آرایش برای تمامی افراد مرتبط اجرا شود اما تخمین آن که کاربران آگاهانه از آن ها پیروی کند دشوار و نیازمند آموزش و آگاهی و پذیرش کابران خواهد بود.

کنترل مدیریت :

برای مدیریت و کاهش ریسک زیان به مورد اجرا گذاشته می شود و از ماموریت پروژه حفاظت می کند.کنترل های مدیریتی بر سیاست،رهنمود ها و استانداردها در اطلاعات تمرکز می کند که اهداف و مأموریت های پروژه را صورت می دهند.

کنترل عملیاتی:

باید مجموعه ای از کنترل ها و راهنماها را برای تضمین روال های پروژه ناظر بر استفاده از دارایی و منابع تولید نماید. در این مورد مدیریت نقش حیاتی در سرپرستی سیاست، اجرا و تضمین کنترل های عملیاتی مناسب برقرار شده باز می کند.

3. تجزیه و تحلیل سود و زیان:

برای اختصاص دهی منابع و اجرای کنترل های کارا بر روی هزینه، پس از شناخت تمامی کنترل های ممکن و ارزیابی امکان پذیری و کارای آن ها باید یک تجزیه و تحلیل سود و زیان برای هر کنترل پیشنهاد شده انجام گردد تا تضمین شود کدام کنترل ها مناسب و مورد نیاز شرایط آن ها است.