قياس المخاطر الإلكترونية (CRQ)

يُقدّر قياس المخاطر الإلكترونية الأضرار المالية التي قد تتعرض لها مؤسستك نتيجة حالات تعرض إلكتروني محددة. 

على عكس التقييمات النوعية (التي تستخدم عادةً تصنيفات مثل مخاطر "عالية" أو "متوسطة")، تستخدم عملية قياس المخاطر الإلكترونية البيانات لإظهار الخسائر بالقيمة الفعلية بالدولار. ومن هنا يأتي الاختلاف في التقييم من خلال "القياس الكمي" لهذه الخسائر.

بفضل عملية قياس المخاطر الإلكترونية، يمكن لفرقك تنفيذ ما يلي:

• الإبلاغ عن المخاطر بلغة مالية لها صدى لدى القادة في مجالي المال والأعمال، بما يضمن مواءمة الأمن الإلكتروني مع الأهداف الأوسع نطاقًا للمؤسسة.
• المقارنة المستمرة للمخاطر عبر مختلف فئات الأصول أو الأقسام لمعرفة أماكن التعرض الأعلى للمخاطر والأماكن التي تكون فيها الضوابط أكثر فعالية.
• تحديد أولويات القرارات بشأن المعالجة والاستثمار استنادًا إلى الإجراءات التي توفر أكبر إمكانية للحد من المخاطر المالية الجسيمة.
• استخدام البيانات المنظمة لدعم جهود الامتثال وتوفير مدخلات يمكن الدفاع عنها لمهام مثل التخطيط للتأمين وعمليات الاكتتاب.

يتزايد وعي قادة الأمن الإلكتروني بضرورة الإبلاغ عن المخاطر الإلكترونية بلغة مالية، لدعم اتخاذ قرارات أكثر وضوحًا على مستوى الإدارة التنفيذية. ويشجع هذا التحول كبار موظفي أمن المعلومات على ربط مؤشرات المخاطر التقنية بالتأثير على الأعمال لتوجيه إستراتيجية المؤسسة.

يضغط هذا التحول أيضًا على الفرق لمواءمة إستراتيجياتها مع نتائج الأعمال وإثبات القيمة بما يتجاوز المقاييس التقنية. 

كيف يساعدك قياس المخاطر الإلكترونية؟ من خلال ما يلي:

• تقديم طرق متسقة وقابلة للتكرار لقياس المخاطر الإلكترونية لمقارنة مستوى التقدم وتتبع التغيرات بمرور الوقت.
• صياغة قرارات الأمن الإلكتروني بلغة مالية للمساعدة في تحديد أولويات الاستثمارات والإبلاغ عن المبادلات بلغة يفهمها المديرون التنفيذيون.
• تقديم تحليل موضوعي في مناقشات القيادة يتجاوز المصطلحات التقنية ويعزز توافق الآراء بشأن الأولويات.

تُعد أدوات قياس المخاطر الإلكترونية جزءًا لا يتجزأ من تحويل نتائج إدارة الثغرات الأمنية الأوسع نطاقًا إلى إجراءات مالية. اقرأ المزيد عن إدارة الثغرات الأمنية هنا.

تعتمد إستراتيجيات قياس المخاطر الإلكترونية الفعّالة على مستوى نضج مؤسستك والبيانات المتوفرة والالتزامات التنظيمية. ويوجد نهجان شائعان، وهما النوعي والكمي.

Qualitative approaches generally involve expert judgment, ordinal scoring systems and heat maps to evaluate risk. These methods are easier to implement and use when you don’t have detailed financial or incident data. However, subjectivity can limit precision and consistency.

Quantitative approaches use mathematical models, probability theory and financial analysis to estimate the likelihood and impact of specific threats. These models provide more rigorous outputs and are better suited for decision-making at the board level, especially related to investment prioritization or insurance planning.

يمكنك تقسيم النهج الكمي بشكل أكبر على النحو التالي:

• تحليل عوامل مخاطر المعلومات (FAIR) يعمل على تقسيم المخاطر إلى التواتر والتأثير لإنتاج تقديرات مالية. وقد تختار المؤسسات التي تحتاج إلى تقييمات مخاطر قابلة للدفاع عنها وقابلة للتكرار هذه الطريقة.
• النظام العام لنقاط الثغرات الأمنية (CVSS) هو نظام قياسي يسجل درجة الخطورة للثغرات الأمنية المعروفة. وعلى الرغم من أن النظام العام لنقاط الثغرات الأمنية تقني بطبيعته، فإن درجاته تدعم حسابات المخاطر الأوسع نطاقًا عند وضعها في السياق المناسب.
• النمذجة البايزية هي نهج قائم على البيانات يدمج عناصر عدم اليقين في توقعات المخاطر. وتناسب هذه التقنية البيئات الديناميكية حيث قد تتغير الافتراضات والمدخلات.
• النماذج الأكتوارية والإحصائية، مثل تلك التي تستخدمها شركات التأمين، وهي تُقدّر الخسائر استنادًا إلى البيانات التاريخية. وتدعم هذه النماذج التخطيط طويل المدى، لكنها قد لا تعكس التهديدات سريعة الحركة أو الفريدة.
• نماذج التعلم الآلي تستخدم خوارزميات تتعلم من كميات هائلة من البيانات لتحديد الاتجاهات والتنبؤ بالنتائج. وتعزز السرعة والنطاق، إلا أن موثوقيتها تعتمد بشكل كبير على جودة البيانات المدخلة.

يتميز كل نوع من النماذج بنقاط قوته وحدوده. ويعتمد اختيار النموذج المناسب (أو الجمع بين عدة نماذج) على أهداف مؤسستك المحددة والموارد المتوفرة.

هل تبحث عن معلومات حول إدارة الثغرات الأمنية بناءً على المخاطر؟ يمكنك الاطلاع على مبادئ إدارة الثغرات الأمنية بناءً على المخاطر لدينا هنا.

الإيجابيات والسلبيات لنماذج قياس المخاطر الإلكترونية الشائعة

نموذج تحليل عوامل مخاطر المعلومات

الإيجابيات:

• يوفر نهجًا منظمًا وقابلًا للتكرار لقياس المخاطر بلغة مالية
• مُعتمَد على نطاق واسع ويدعم التواصل على مستوى مجلس الإدارة

السلبيات:

• يتطلب تدريبًا وجمع كمية كبيرة من البيانات وتقديرها
• قد يستهلك الكثير من الموارد بالنسبة إلى الفرق الصغيرة

النظام العام لنقاط الثغرات الأمنية

الإيجابيات:

• يوفر طريقة قياسية لتقييم الثغرات الأمنية التقنية، وكما هو الحال في نموذج تحليل عوامل مخاطر المعلومات، يحظى بانتشار واسع في هذا المجال

السلبيات:

• يركز على الثغرات الأمنية الفردية بدلًا من النظر إلى مخاطر الأعمال الأوسع نطاقًا
• لا يأخذ بعين الاعتبار التأثير المالي

النمذجة البايزية

الإيجابيات:

• ممتازة في نمذجة حالات عدم اليقين وسيناريوهات التهديد المتطورة
• تعمل بشكل جيد عند التعامل مع مجموعات بيانات غير مكتملة أو متغيرة

السلبيات:

• قد تكون معقدة في البناء وصعبة التفسير
• غالبًا ما تتطلب معرفة إحصائية متخصصة

الإحصائية/الأكتوارية

الإيجابيات:

• مفيدة لتقدير الخسائر استنادًا إلى الأنماط الخاصة بالتواتر ودرجة الخطورة، لا سيّما عند استخدام بيانات تاريخية

السلبيات:

• تعتمد على الوصول إلى بيانات تاريخية ذات جودة، والتي قد لا تعكس دائمًا التهديدات الناشئة أو المتقدمة

التعلم الآلي (ML) / الذكاء الاصطناعي (AI)

الإيجابيات:

• يعالج كميات هائلة من البيانات لتحديد الأنماط المخفية والتنبؤ بالمخاطر المستقبلية بسرعة

السلبيات:

• يتطلب بيانات مدخلات واسعة النطاق وعالية الجودة ليكون موثوقًا
• قد يطرح تحديات في قابلية التفسير لأصحاب المصلحة

بمجرد أن تختار نموذجًا (نماذج) لقياس المخاطر الإلكترونية ترغب في استخدامه، تأتي الخطوة التالية وهي تطبيق ذلك النموذج عمليًا. وعادةً ما تنطوي هذه العملية على أنشطة منظمة تشكل أساس برنامج قياس المخاطر الإلكترونية القابل للتكرار.

من الجدير بالذكر أن النظام العام لنقاط الثغرات الأمنية هو نظام تسجيل درجات أكثر تقنية، وقد لا يتبع هذه الخطوات بالكامل، إلا إذا دمجته ضمن إطار عمل قياس المخاطر الإلكترونية الأوسع نطاقًا لديك. 

وبالمثل، قد تتناول النماذج الخاصة بالتعلم الآلي والذكاء الاصطناعي بعض الخطوات بشكل مختلف. وغالبًا ما تستنتج تلك النماذج الأنماط بدلًا من تحديد المدخلات بشكل صريح. 

لكن بشكل عام، تنطبق هذه الخطوات على معظم برامج قياس المخاطر الإلكترونية على النحو التالي:

1. تحديد الأصول وتصنيفها

ابدأ بتخطيط بصمتك الرقمية. خذ بعين الاعتبار قواعد البيانات الحساسة والتطبيقات الموجهة للعملاء والبنية التحتية السحابية، وأنظمة الأعمال الداخلية. امنح كل أصل قيمة مالية استنادًا إلى تكاليف وقت التعطل المحتملة أو فقدان البيانات أو تعطل العمليات. فعلى سبيل المثال، قد تحمل بوابة العملاء المرتبطة بالإيرادات مزيدًا من المخاطر مقارنة ببيئة الاختبار.

2. تقييم التهديدات والثغرات الأمنية

يمكنك تقييم طريقة مهاجمة ممثلي التهديد للأنظمة. استخدم أدوات فحص الثغرات الأمنية وسجل الحوادث لفهم أي الأصول أكثر عرضة للمخاطر. فعلى سبيل المثال، يشكل نظام تشغيل غير مصحح يحتوي على ثغرة أمنية حرجة وحالات استغلال نشطة مخاطر أكبر بكثير من خادم داخلي به نتائج منخفضة الخطورة.

3. تحليل التأثيرات المحتملة

فكّر في كلٍ من التكاليف الواضحة (الغرامات التنظيمية، نفقات الاسترداد) وكذلك التأثيرات الأصعب قياسًا (السمعة المتضررة، فقدان العملاء للثقة). وعند نمذجة هذه التأثيرات عبر سيناريوهات الهجوم المختلفة، يساعد ذلك مجلس الإدارة لديك على إدراك التكلفة الفعلية للحوادث الإلكترونية على الأعمال. 

4. حساب المخاطر وتجميعها

أدخل البيانات في نموذج قياس المخاطر الإلكترونية لديك لتقدير حجم التعرض للخسائر لكل زوج من التهديدات والأصول. ويمكنك تجميع النتائج لتحديد المخاطر الإجمالية عبر الأقسام أو وحدات العمل. يساعد هذا التجميع في تحديد أولويات استثمارات الأمن الإلكتروني استنادًا إلى التأثير المالي.

البيانات غير المكتملة أو غير المتسقة

يبدأ قياس المخاطر الإلكترونية الفعّال بوجود بيانات جيدة. فإذا كانت عملية جرد الأصول لديك قديمة أو كانت تقارير الحوادث غامضة للغاية، فلن تتمكن من الحصول على تقديرات دقيقة للخسائر. ويؤدي ذلك إلى إفساد نماذج المخاطر لديك، ويجعل تركيزك موجهًا نحو أولويات أمنية خاطئة.

تغير مشهد التهديدات

تتطور التهديدات الإلكترونية باستمرار. ودائمًا ما تظهر ناقلات هجوم وثغرات أمنية جديدة. وإذا لم تقم بتحديث نماذج قياس المخاطر الإلكترونية لديك بانتظام، فستصبح قديمة بسرعة أو حتى مضللة. لذا استمر في تغذية النماذج بالتحليل الذكي الجديد للتهديدات وتحديثها لتتوافق مع ما يحدث بالفعل في بيئتك.

صعوبة قياس التأثيرات غير الملموسة

يصعب قياس العواقب الأكثر ضررًا للحوادث الإلكترونية على الفور، مثل فقدان ثقة العملاء بالعلامة التجارية أو تأثيرها على سعر السهم، أو الإضرار بالسمعة طويل المدى. 

يمكنك استخدام مؤشرات مالية تقريبية، لكن هذه التقديرات بطبيعتها تنطوي على قدر من عدم اليقين. ومع ذلك، فإن إغفالها تمامًا قد يؤدي إلى التقليل من تقدير حجم المخاطر الفعلية.

تعتمد عملية قياس المخاطر الإلكترونية أيضًا على الأدوات المناسبة لتطبيق النماذج وعرض النتائج.

توفر شركة Tenable دعمًا أساسيًا لقياس المخاطر الإلكترونية من خلال ما يلي:

• إدارة الثغرات الأمنية تمنحك رؤية واضحة لجميع أصولك لتحديد أماكن التعرض الأعلى للمخاطر. ويمكنك استخدامها لإنشاء خط أساس لحساب المخاطر بطريقة مجدية.
• Tenable One هي منصة موحدة لإدارة التعرض للمخاطر، إذ تجمع البيانات الخاصة بالثغرات الأمنية والأصول والسحابة والهوية. وتمنح فرق الأمن لديك السياق اللازم لقياس المخاطر والحد منها بلغة مالية.

تتكامل منصة Tenable One أيضًا مع الحزم التقنية الحالية (مثل قواعد بيانات إدارة التكوين (CMDB) ومنصات اكتشاف نقاط النهاية والاستجابة لها (EDR) وأنظمة إدارة معلومات النظام والأحداث (SIEM) والأنظمة السحابية الأصلية وأدوات تنسيق الأمن والأتمتة والاستجابة (SOAR)) لتحديث النماذج بشكل مستمر.

تؤكد أكثر المعايير التنظيمية شيوعًا على الحاجة إلى أساليب لتقييم المخاطر تكون قابلة للقياس ومعتمدة على البيانات. 

تساعد عملية قياس المخاطر الإلكترونية مؤسستك على جمع الأدلة حول كيفية اكتشافك للمخاطر وتحديدك لأولوياتها. ويُعد ذلك أمرًا ضروريًا للسياق التنظيمي ولتحقيق الشفافية والمساءلة. 

أمثلة على ذلك:

• يعمل إطار عمل الأمن الإلكتروني للمعهد الوطني للمعايير والتكنولوجيا و800-53 على الترويج لاتخاذ القرارات بناءً على المخاطر والدعوة إلى التقييم المستمر للضوابط الأمنية.
• يشجع معيار ISO 27005 على اتباع نهج منظم لإدارة مخاطر أمن المعلومات، ويفضل الاعتماد على رؤى قابلة للقياس.
• يفرض قانون قابلية نقل التأمين الصحي والمساءلة (HIPAA) واللائحة العامة لحماية البيانات (GDPR) ومعيار أمان البيانات في مجال بطاقات الدفع (PCI DSS) التقييم والتوثيق لمخاطر البيانات الحساسة وإظهار فاعلية الضوابط.
• تُسلط ضوابط مركز أمن الإنترنت (CIS Controls) الضوء على أهمية إجراء تقييمات رسمية للمخاطر باعتبارها جزءًا من الممارسات الأساسية لسلامة الأمن الإلكتروني.

المحافظة على تحديث النماذج.

مع تطور مشهد الأصول لديك أو كشف التحليل الذكي للتهديدات لمخاطر جديدة، يصبح من الضروري تحديث نماذجك باستمرار. 

إشراك أصحاب المصلحة المناسبين.

تواصل مع أصحاب المصلحة من أقسام إدارة المخاطر والشؤون المالية والامتثال وتكنولوجيا المعلومات، لضمان أن يعكس نهجك في قياس المخاطر الإلكترونية الأولويات الفعلية. 

النظر في الاستعانة بجهة خارجية لإجراء مراجعة.

يمكن أن يكشف التقييم الخارجي لنماذج قياس المخاطر الإلكترونية لديك عن النقاط العمياء، ويتحقق من صحة الافتراضات، ويعزز ثقة المديرين التنفيذيين في نتائجك. ويعزز التحقق المستقل أيضًا عمليات التدقيق الداخلي، ويدعم استفسارات الجهات التنظيمية.

مواءمة قياس المخاطر الإلكترونية مع أهداف الأعمال.

اربط مخرجات قياس المخاطر الإلكترونية بأهداف عمل محددة مثل وقت التشغيل أو الامتثال التنظيمي أو سمعة العلامة التجارية.

استخدام قياس المخاطر الإلكترونية للتخطيط الإستراتيجي.

بدلًا من حصر قياس المخاطر الإلكترونية في اتخاذ القرارات التقنية فقط، يمكنك استخدام مخرجاته لتوجيه التخطيط طويل المدى، فيما يتعلق بالميزانيات والتأمين والاستثمار.

سيصبح قياس المخاطر الإلكترونية حجر الأساس في الأمن الإلكتروني. ستستخدم المزيد من المؤسسات عملية قياس المخاطر الإلكترونية لتبرير الميزانيات ودفع الاستثمارات استنادًا إلى الخسائر المحتملة.

المزيد من الأتمتة والذكاء الاصطناعي التوليدي. ستستمر أدوات قياس المخاطر الإلكترونية الحديثة في دمج الأتمتة والذكاء الاصطناعي، لتحليل البيانات بسرعة أكبر ومحاكاة النتائج. وستعمل هذه القدرات على تبسيط العمليات اليدوية ومساعدة الفرق على اتخاذ إجراءات أكثر تأثيرًا.

التحول نحو القياس المستمر للمخاطر. سيتحول قياس المخاطر الإلكترونية ليصبح قدرة مستمرة، وليس مجرد عملية يتم إعدادها مرة واحدة ثم تُنسى.

المزيد من التركيز على المخاطر المتعلقة بالجهات الخارجية وسلاسل التوريد. ستستخدم المزيد من المؤسسات عملية قياس المخاطر الإلكترونية لتقييم المخاطر المالية، التي يشكلها أصحاب المصلحة الخارجيون، مما يساعد فرقك في مجالي الأمن والمشتريات على تحديد أولويات تخفيف التعرض للمخاطر.

ما المقصود بقياس المخاطر الإلكترونية؟
يُقدّر قياس المخاطر الإلكترونية (CRQ) الخسائر المالية الناتجة عن تهديدات الأمن الإلكتروني. ويستخدم البيانات المنظمة والنمذجة لمساعدة المؤسسات على فهم التعرض المحتمل للمخاطر لديهم بلغة الأعمال.

لماذا يُعد قياس المخاطر الإلكترونية مفيدًا؟
يربط قياس المخاطر الإلكترونية بين مخاطر الأمن الإلكتروني ونتائج الأعمال، مما يتيح لك تحديد أولويات الإجراءات وتبرير تخصيص الموارد من خلال تأثير قابل للقياس.

ما الفرق بين قياس المخاطر الإلكترونية والتقييم القياسي للمخاطر؟
يعمل قياس المخاطر الإلكترونية على قياس المخاطر بلغة مالية، بدلًا من الاعتماد فقط على التقييمات الثابتة لدرجات الثغرات الأمنية مثل "عالية" أو "منخفضة" لتقديم رؤى أوضح تدعم اتخاذ القرار.

ما البيانات اللازمة لقياس المخاطر الإلكترونية؟
يعتمد قياس المخاطر الإلكترونية على مدخلات متنوعة: جرد الأصول والثغرات الأمنية المعروفة والتحليل الذكي للتهديدات وسجل الحوادث والتأثير المُقدّر على الأعمال.

هل يمكنك حقًا قياس المخاطر الإلكترونية بالدولار؟
نعم. على الرغم من تفاوت التقديرات، يمنحك قياس المخاطر الإلكترونية طريقة عرض توجيهية للخسائر المحتملة، تدعم عمليتي التخطيط والإبلاغ بناءً على المخاطر.

ما المقصود بنموذج تحليل عوامل مخاطر المعلومات؟
يمثل نموذج تحليل عوامل مخاطر المعلومات إطار عمل مستخدم على نطاق واسع، يُقسّم المخاطر إلى عنصرين أساسيين: تواتر الأحداث والتأثير المالي. ويساعد في توحيد النهج الذي تتبعه في تحليل المخاطر الإلكترونية.

ما مدى دقة قياس المخاطر الإلكترونية؟
تعتمد دقة قياس المخاطر الإلكترونية على جودة بياناتك واكتمالها، وكذلك على مدى تكرار تحديث النماذج. وتسهم الشفافية والتكرار في تحسين النتائج.

ما الأدوات التي تساعد في قياس المخاطر الإلكترونية؟
يمكن أن تساعدك منصات مثل Tenable One في تجميع بيانات التعرض للمخاطر وتحديد أولويات المخاطر ودعم عملية قياس المخاطر الإلكترونية من خلال رؤى محدثة ومتوافقة مع أهداف الأعمال.

من يجب إشراكه في عمليات قياس المخاطر الإلكترونية؟
تتطلب عمليات قياس المخاطر الإلكترونية إسهامًا متعدد الوظائف من فرق الأمن وتكنولوجيا المعلومات والمخاطر والشؤون المالية والإدارة التنفيذية، لضمان فهم مشترك للأولويات وحالات التعرض للمخاطر.

كم مرة يجب علينا إجراء قياس المخاطر الإلكترونية؟
يجب إجراء قياس المخاطر الإلكترونية بانتظام (الشائع هو كل ثلاثة أشهر) أو بعد حدوث تغييرات كبيرة في مشهد التهديدات أو بيئة تكنولوجيا المعلومات لديك.

ما الذي يجعل قياس المخاطر الإلكترونية صعب التنفيذ؟
تواجه بعض المؤسسات صعوبة بسبب محدودية رؤية البيانات وعدم اتساق المسؤوليات وصعوبة تحويل المخاطر التقنية إلى تأثير ملموس على الأعمال.

هل يساعد قياس المخاطر الإلكترونية في تحقيق الامتثال؟
نعم. يدعم قياس المخاطر الإلكترونية تحقيق الامتثال من خلال مواءمة الضوابط الأمنية مع المخاطر المالية لتحسين التحضير لإجراء التدقيق وإعداد التقارير.

كيف يدعم قياس المخاطر الإلكترونية المناقشات المتعلقة بالتأمين؟
يوفر قياس المخاطر الإلكترونية لشركات التأمين رؤية أوضح لحالات التعرض للمخاطر المحتملة، حتى تتمكن من التفاوض للحصول على شروط وتغطية أفضل تتوافق مع ملف تعريف المخاطر الخاص بك.

تعمل شركة Tenable على تبسيط عملية قياس المخاطر الإلكترونية من خلال قدرات تدعم جمع البيانات ونمذجة المخاطر وإعداد التقارير المتوافقة مع أهداف الأعمال. وتجمع منصة Tenable One بيانات التعرض للمخاطر من الثغرات الأمنية والأصول والبيئات السحابية والهويات، لتقديم رؤية شاملة للمخاطر الإلكترونية لديك. وتستند إلى القدرات الأساسية مثل إدارة الثغرات الأمنية وإدارة التعرض للمخاطر، لتمنح فرقك الرؤية اللازمة لإجراء قياس المخاطر الإلكترونية بطريقة يمكن الدفاع عنها.