تعریف ارزیابی ریسک با تکیه بر دارایی ها
ارزیابی ریسک فرآیندی است که در آن خطرات و عوامل ریسکی که توانایی ایجاد آسیب را دارند، شناسایی، تجزیه و تحلیل و ارزیابی میشوند. این فرآیند به سازمانها کمک میکند تا خطرات احتمالی که میتواند بر عملیات آنها تأثیر بگذارد را کاهش دهند.
ارزیابی ریسک میتواند شامل دو جزء اصلی باشد: ۱- شدت پیامدِ رخداد ۲- احتمالِ روی دادن آن رخداد
این دو جزء میتوانند به صورت کمّی، کیفی یا نیمه کمی ارزیابی شوند. در این مقاله ارزیابی ریسک از منظر دارایی های تصویری را موشکافانه بررسی می کنیم.
مراحل انجام ارزیابی ریسک
به طور کلی، ارزیابی ریسک شامل مراحل زیر است:
- شناسایی دارایی ها: تعیین دارایی هایی که ممکن است در معرض خطر قرار گیرند.
- شناسایی تهدیدها: تعیین خطراتی که ممکن است به داراییها آسیب برسانند.
- شناسایی آسیب پذیری ها: تعیین نقاط ضعفی که ممکن است توسط خطرات مورد استفاده قرار گیرند.
- تعیین احتمال و شدت: ارزیابی احتمال وقوع خطر و شدت پیامدهای آن.
- تعیین سطح ریسک: ترکیب احتمال و شدت برای تعیین سطح کلی ریسک.
- توصیه های کنترلی: تعیین اقداماتی برای کاهش یا حذف ریسک.
قدم اول : شناسایی دارایی ها
شناسایی دارایی ها یکی از مراحل اولیه و کلیدی در فرآیند ارزیابی ریسک است. این مرحله شامل تعیین و فهرست بندی تمام دارایی هایی است که برای سازمان ارزشمند هستند و ممکن است در معرض خطرات مختلف قرار گیرند.
دارایی ها میتوانند شامل موارد زیر باشند:
• دارایی های فیزیکی: مانند ساختمان ها، تجهیزات، موجودی ها و منابع انسانی.
• دارایی های اطلاعاتی: مانند داده ها، پایگاه های داده، اسناد محرمانه و نرم افزارها.
• دارایی های مالی: مانند سرمایه ها، سهام و اوراق بهادار.
• دارایی های نامشهود: مانند برند، حسن شهرت و ارتباطات تجاری.
پس از شناسایی دارایی ها، باید ارزش هر دارایی تعیین شود تا بتوان اولویت بندی مناسبی برای مدیریت ریسک انجام داد. همچنین، باید آسیب پذیری های مرتبط با هر دارایی شناسایی شوند تا بتوان تهدیدات احتمالی را که میتوانند به این دارایی ها آسیب برسانند، بهتر درک کرد.
این فرآیند به سازمان کمک میکند تا بتواند استراتژی های مدیریت ریسک را بر اساس ارزش و اهمیت دارایی ها طراحی کند و اقدامات کنترلی مناسبی را برای حفاظت از آنها در برابر خطرات مختلف اتخاذ نماید.
در رشته مقاله مرتبط با ارزیابی ریسک و امنیت اطلاعات و شبکه ؛ به بیان و روشنگری خاصی از نظر وقایع رخداده در گذشته ( و قطعا در آینده) می پردازیم.
برای نمونه یکی از دارایی های هر سازمان فایلهای آن می باشد. فایل می تواند پایگاه داده؛ گزارش متنی؛ مستندات تصویری و سایر موارد مشابه باشد که با پیشرفت تکتولوژی های ردیابی و رخنه ؛ امکان دستکاری و یا حتی استخراج اطلاعات مهم در آن غیرقابل انکار است.
در این بخش از ابزار GeoSpy AI صحبت می کنیم که یکی از موارد به ظاهر ساده با کارکرد ساده تر در جهت تسهیل گرداوری اطلاعات هست. البته این ابزار از جهت و نگاهی دیگر؛ ناقض قوانین مربوط به حریم خصوصی (Privacy Protect) هم میباشد.
GeoSpy AI یک ابزار تحلیل مکان تصاویر است که به شما امکان میدهد تا با بارگذاری یک تصویر، مکان احتمالی آن راکشف کنید.. این سرویس شامل یک خلاصه از مکان تخمینی به همراه توضیحات مختصر و مختصات تقریبی است.
این ابزار از الگوریتمهای پیشرفته برای تجزیه و تحلیل تصویر و شناسایی ویژگیهای کلیدی مانند ساختمان ها، علائم و نورپردازی استفاده می کند و توسط تیم Graylark.io توسعه یافته که برای کارشناسان در تحقیقات OSINT و هم برای علاقه مندان به جغرافیا مناسب است.
همچنین این هوش مصنوعی که در حال رشد و یادگیری است (در زمان نگارش این مقاله تابستان ۱۴۰۳) ، میتواند در کشف الگوها، ارتباطات و همبستگی ها در مقادیر زیادی از داده ها، از جمله دقت مکان تصاویر و ردیابی افراد در آنها، به کاربران کمک کند.
شخصا برای تست این ابزار دو تصویر بارگذاری کردم . اولی تصویر طبیعتی از آذربایجان شرقی و دیگری تصویر کودکی در حال بازی در پارک. نتایج تخمین و تحلیل این ابزار جالب بوده است که در ادامه بیشتر به آن می پردازیم.


همانطور که می بینید هوش مصنوعی GeoSpy با تکیه بر یادگیری ماشین و تاریخچه جستجو های انجام شده؛ تصویر اول را به درستی تحلیل کرده است. این تحلیل بر اساس وجود نوع و بافت ساختمان؛ فضا و همچنین افراد حاضر در عکس ( بانوان با حجاب) انجام گرفته است.
نکته: ارزیابی ریسک در این سناریو به این صورت است که فایلهای سازمان نباید در هر شرایطی در معرض عموم قرار بگیرد. متادیتای هر فایل خصوصا در فایل تصویری عامل ساده جهت جمعآوری اطلاعات و مستندسازی برای شروع یک رخنه و نفوذ بزرگ تر است. وظیفه تیم قرمز ، بررسی عملکرد تیم تست نفوذ – در مرحله ارزیابی ریسک دارایی ها- می باشد. رویکرد ارزیابی ریسک در این سناریو ؛ بررسی تک به تک فایلهای در معرض عموم و فایلهای قابل انتقال در بستر شبکه سازمان می باشد. این بررسی طوری انجام می شود که ردیابی کوچک ترین دیتای سازمان مدنظر قرار گرفته و از منظر فناوری اطلاعات تدابیری اخذ میشود که به این مقصود نرسند.
قدم دوم: تعیین ارزش دارایی ها
تعیین ارزش دارایی ها در فرآیند ارزیابی ریسک یک مرحله حیاتی است که به شما کمک میکند تا بفهمید کدام دارایی ها بیشترین اهمیت را دارند و چگونه باید از آنها محافظت کنید.
برای دارایی های اطلاعاتی، ارزشگذاری بر اساس سه پارامتر محرمانگی (Confidentiality)، صحت (Integrity)، و دسترس پذیری (Availability) انجام میشود که در این طبقه بندی؛ فایلهای حاوی اطلاعات هم قرار می گیرند.
تصویر و فایلهای تصویری یکی از دارایی هایی است که در سازمان می تواند مورد سواستفاده قرار بگیرد. تیم امنیتی و محافظتی سازمان معمولا با تدابیر هوشمندانه و استفاده از بهروش های مرتبط می توانند ریسک به چالش کشیده شدن داراریی ها را کاهش دهند.
سایر پارامترهای تعیین ارزش دارایی ها:
1. ارزیابی مالی: تعیین ارزش مالی دارایی ها بر اساس هزینه جایگزینی، درآمد از دست رفته، یا هزینه های مستقیم و غیرمستقیم ناشی از از دست دادن دارایی
2. ارزیابی کیفی: تعیین ارزش دارایی ها بر اساس اهمیت استراتژیک، حسن شهرت، و تأثیر بر روابط با مشتریان و شرکای تجاری
3. تحلیل سود و هزینه: مقایسه هزینه های محافظت از دارایی با هزینه های احتمالی ناشی از بروز ریسک.
4. استفاده از معیارهای استاندارد: مانند استاندارد ایزو 27005 که معیارهای مختلفی برای ارزشگذاری دارایی ها ارائه میدهد.
5. بررسی تأثیر بر عملیات: ارزیابی تأثیر احتمالی نقض دارایی بر عملیات روزانه و پیوستگی کسب و کار.
6. ارزش در معرض ریسک (Value at Risk): تعیین حداکثر زیان مورد انتظار برای دارایی در یک دوره زمانی مشخص و با سطح اطمینان معین
با استفاده از این روشها، میتوانید ارزش دارایی های خود را به صورت دقیق تری تعیین کرده و برنامه ریزی مناسبی برای مدیریت ریسک های مرتبط با آنها انجام دهید.
نکته مهم : این فرآیند باید به صورت مداوم انجام شود تا از تغییرات در ارزش دارایی ها و شرایط محیطی آگاه باشید و بتوانید به طور موثر به مدیریت ریسکها بپردازید.
نحوه انجام ارزیابی ریسک در سازمان
1. گشتزنی در محل کار: برای شناسایی ریسکها و خطرات احتمالی.
2. بررسی کارکنان: تعیین اینکه چه کسی ممکن است آسیب ببیند.
3. ارزیابی ریسک: تجزیه و تحلیل ریسکها و تعیین اقدامات احتمالی و نتایج.
4. ثبت یافته ها: مستندسازی ارزیابی ها و تصمیمات.
5. بررسی و به روزرسانی: ارزیابی ریسک را به طور مداوم بررسی و در صورت لزوم به روز کنید.
این فرآیند باید به صورت سیستماتیک و با استفاده از ابزارها و روشهای مناسب انجام شود تا اطمینان حاصل شود که تمامی جنبه های مرتبط با ریسک در نظر گرفته شده اند
همچنین، مهم است که این فرآیند به صورت یکپارچه و جامع باشد تا نتایج سازگار و قابل مقایسه ای به دست آید. استفاده از چارچوبهای استاندارد مانند ISO 31000 میتواند به شما کمک کند تا یک برنامه مدیریت ریسک موثر و متناسب با سازمان خود ایجاد کنید. این چارچوب شامل اصول، فرآیندها و روشهایی است که به شما در شناسایی، ارزیابی، کنترل و کاهش ریسکها کمک میکند.
به یاد داشته باشید که ارزیابی ریسک باید به صورت مداوم انجام شود تا از تغییرات در شرایط کاری و محیطی آگاه باشید و بتوانید به طور موثر به مدیریت ریسکها بپردازید