شهادة Security Plus الفصل 19: تلخيص مفاهيم إدارة المخاطر(Summarizing Risk Management Concepts)

سنتكلم اليوم بخصوص الادارين او ال Risk Management , واللي بيكونوا هم المختصين بالخطط اللي بتكون ضد ال Risk 

RISK MANAGEMENT PROCESSES : 

ال Risk management  او إدارة المخاطر هي عملية لتحديد وتقييم وتخفيف نقاط الضعف والتهديدات للوظائف الأساسية التي يجب أن تؤديها الشركة لخدمة عملائها. 

يمكنك التفكير في هذه العملية على أنها تتم على خمس مراحل : 

 

 Identify mission essential functions :

مكن أن ينطوي التخفيف من المخاطر على قدر كبير من النفقات ، لذلك من المهم تركيز الجهود ، ويجب أن تركز الإدارة الفعالة للمخاطر على المهام الأساسية للمهمة التي قد تتسبب في فشل الأعمال بأكملها إذا لم يتم تنفيذها , يعني نركز على الخسائر اللي هتاتي من وراء هذه الهجمات , ونقوم بحماية الاجهزة المهم مثل السيرفرات وغيره 

 Identify vulnerabilities : 

تحديد نقاط الضعف - لكل وظيفة أو سير عمل (بدءًا من الأكثر أهمية) ، وتحليل الأنظمة والأصول لاكتشاف وإدراج أي نقاط ضعف أو نقاط ضعف قد تكون عرضة لها , يعني اي نقطة ضعف صغيرة او كبيرة لا بد اني اركز عليها جيدا جدا , بحيث اقوم بتحديث كل التحديثات لازالة اي نقطة ضعف مكتشفة 

Identify threats : 

تحديد التهديدات - لكل وظيفة أو سير عمل ، حدد مصادر التهديد والجهات الفاعلة التي قد تستفيد من الثغرات الأمنية أو تستغلها أو تثيرها عن طريق الخطأ.

Analyze business impacts : 

تحليل تأثيرات الأعمال - احتمالية تفعيل الثغرة الأمنية كحادث أمني بواسطة تهديد وتأثير ذلك الحادث على الأنظمة الحرجة هي العوامل المستخدمة لتقييم المخاطر , يعني اعمل تحليل وتفكير ايه اللي هيحصل لو السيرفرات وقفت وايه الخسائر وازاي نقدر نرجع , لازم دوما تكون واخد 5 خطواط لقدام وتكون فاهم كل شئ حصل وبيحصل وهيحصل 

 Identify risk response : 

وهي الاحتياطيات اللي انت تكون مجهزة ضد اي risk لانك انت كشركة لديك استثمار ولو في سيرفر واحد فقط وقع ممكن الشركة كلها تقع معاه لو مش كان في البديل والاحتياطي , يكون لديك سيرفر احتياطي , راوتر احتياطي firewall احتياطي كل شئ يكون لديك البديل ويكون ضد ال risk  , حتى لا تكون النهاية الحاتمة لشركتك 

RISK TYPES : 

External : خارجي 

✓ الجهات الفاعلة في التهديد الخارجي هي أحد مصادر المخاطر المرئية للغاية.

✓يجب عليك أيضًا التفكير في التهديدات الأوسع نطاقاً من تلك المتعلقة بالهجوم الإلكتروني.

توضح الكوارث المصتنعة، مثل جائحة COVID-19 ، الحاجة إلى وجود أنظمة تكنولوجيا المعلومات وتدفقات العمل التي تكون قادرة على الصمود أمام الاضطراب الواسع الانتشار.

النوع الأكثر خطورة هو التأثير الذي قد يؤدي إلى خسائر في الأرواح أو إصابات خطيرة. تأتي أكثر المخاطر وضوحًا على الحياة والسلامة من الكوارث الطبيعية ، والكوارث التي من صنع الإنسان ، والحوادث ، مثل الحرائق.

بحيث تمتاز بالترتيب الشديد ودراسة كل شئ عن الشركة بالتفصيل وبتكون اشرس 

 Internal : داخلي 

وهي تكون من موظفين داخلين , بهدف بقا الانتقام الغلاسة اي حاجة , وبيكون معاه معلومات اكثر وافضل واسرع 

 Multiparty : 

✓ مخاطر تعدد الأحزاب حيث يؤثر الحدث الضار على العديد من المنظمات.

عادة ما تنشأ مخاطر تعدد الأطراف من علاقات الموردين

مثال لدينا شركة Microsoft الكثير من الشركات تستخدم انظمتها اللي هي ال Windows , فلو تم اصابة microsoft بسوء سيكون الضرر ايضا على الشركات اللي تستخدم النظام 

Intellectual Property (IP) Theft : 

 سرقة الملكية الفكرية 

✓الملكية الفكرية (IP) هي بيانات ذات قيمة تجارية مملوكة للمنظمة.

✓ يمكن أن يعني هذا المواد المحمية بحقوق الطبع والنشر للبيع بالتجزئة (البرامج ، والأعمال المكتوبة ، والفيديو ، والموسيقى) وتصميمات المنتجات وبراءات الاختراع.

✓ إذا تم تسريب بيانات IP ، فسوف تفقد الكثير من قيمتها التجارية.

Software Compliance/Licensing : امتثال البرامج / الترخيص 

✓ قد يؤدي انتهاك شروط اتفاقية ترخيص المستخدم النهائي (EULA) التي تفرض شروطًا على تثبيت البرنامج إلى تعريض مالك الكمبيوتر لغرامات كبيرة بل والا مخاطر ونعم الى risk , المثال الاشهر سرقة تراخيص نظام ويندوز 

 Legacy Systems : 

• الأنظمة القديمة

تعد الأنظمة القديمة مصدرًا للمخاطر لأنها لم تعد تتلقى تحديثات أمنية ولأن الخبرة اللازمة للحفاظ عليها واستكشاف الأخطاء وإصلاحها تعد موردًا نادرًا, مثل انظمة windows 7 و 8 حاليا

 

 

RISK AVOIDANCE : تجنب المخاطر 

 Avoidance : • التجنب

✓ يعني أن تتوقف عن القيام بالنشاط الذي ينطوي على مخاطر.

✓ على سبيل المثال: قد تقوم الشركة بتطوير تطبيق داخلي لإدارة المخزون ثم محاولة بيعه.

✓إذا تم اكتشاف وجود العديد من الثغرات الأمنية في التطبيق أثناء بيعه ، مما يؤدي إلى ظهور

شكاوى وتهديدات باتخاذ إجراء قانوني ، فقد تتخذ الشركة قرارًا بأن تكلفة الحفاظ على أمان البرنامج لا تستحق الإيرادات وتسحبها من البيع .

✓ من الواضح أن هذا من شأنه أن يولد شعورًا سيئًا بين العملاء الحاليين.

"التجنب ليس خيارًا ذا مصداقية في كثير من الأحيان.

 Transference (or sharing) : • النقل (أو المشاركة)

يعني تخصيص المخاطر لطرف ثالث ، مثل شركة التأمين أو عقد مع مورد يحدد الالتزامات.

✓ على سبيل المثال: يمكن للشركة إيقاف الصيانة الداخلية لموقع التجارة الإلكترونية والتعاقد على تقديم الخدمات لطرف ثالث يكون مسؤولاً عن أي احتيال أو سرقة بيانات.

 Risk Acceptance : • قبول المخاطر

يعني قبول المخاطر (أو تحملها) عدم اتخاذ أي تدابير مضادة إما لأن مستوى الخطر لا يبرر التكلفة أو لأنه سيكون هناك تأخير لا مفر منه قبل نشر التدابير المضادة.

✓ في هذه الحالة ، يجب عليك الاستمرار في مراقبة المخاطر (بدلاً من تجاهلها)

BUSINESS IMPACT ANALYSIS : تحليل اثر الاعمال التجارية

بعد ما تعرفنا على ال Risk وما هي وانواعها , الان نريد ان نعرف ماذا لو حدثت ال Risk كيفية التعامل معها الان 

 Business impact analysis (BIA) تحليل تأثير الأعمال

 هي عملية تقييم الخسائر التي قد تحدث لمجموعة من سيناريوهات التهديد.

 على سبيل المثال ، إذا أدى هجوم DDoS إلى تعليق بوابة التجارة الإلكترونية لمدة خمس ساعات ، فسيكون تحليل تأثير الأعمال قادرًا على تحديد الخسائر من الطلبات التي لم يتم إجراؤها والانتقال بشكل دائم إلى الموردين الآخرين بناءً على البيانات التاريخية.

يمكن تقييم احتمالية وقوع هجوم DoS على أساس سنوي لتحديد التأثير السنوي ، من حيث التكاليف.

 لديك بعد ذلك المعلومات المطلوبة لتقييم ما إذا كان عنصر التحكم الأمني ، مثل موازنة الحمل أو تخفيف DDoS المُدار ، يستحق الاستثمار

باختصار اشد هي كيفية التعامل مع ال risk بعد حدوثها 

 Maximum tolerable downtime (MTD)  : الحد الأقصى المسموح به لوقت التوقف

 هي أطول فترة زمنية قد يحدث فيها انقطاع في وظيفة العمل دون التسبب في فشل عمل غير قابل للاسترداد.

يمكن أن يكون لكل عملية تجارية مقدار يومي خاص بها ، مثل نطاق من الدقائق إلى ساعات للوظائف الحرجة ، و 24 ساعة للوظائف العاجلة ، وسبعة أيام للوظائف العادية ، وما إلى ذلك.

تختلف MTDs حسب الشركة والحدث.

 على سبيل المثال: قد تكون منظمة متخصصة في المعدات الطبية قادرة على الوجود دون إمدادات تصنيع واردة لمدة ثلاثة أشهر لأنها قامت بتخزين مخزون كبير ، وبعد ثلاثة أشهر ، لن يكون لدى المنظمة إمدادات كافية وقد لا يكون لديها

تكون قادرة على تصنيع منتجات إضافية ، مما يؤدي إلى الفشل ، وفي هذه الحالة ، يكون MTD هو ثلاثة أشهر.

Recovery time objective (RTO) : هدف وقت الاسترداد 

هي الفترة التي تعقب الكارثة التي قد يظل فيها نظام تكنولوجيا المعلومات الفردي غير متصل بالإنترنت.

 هذا يمثل مقدار الوقت المستغرق للتعرف على وجود مشكلة ثم إجراء الاسترداد (الاستعادة من النسخة الاحتياطية أو التبديل في نظام بديل ، على سبيل المثال).

 Work Recovery Time (WRT): وقت استعادة العمل 

 بعد استعادة الأنظمة ، قد يكون هناك عمل إضافي لإعادة دمج الأنظمة المختلفة ،

اختبار الوظائف العامة ، وإحاطة مستخدمي النظام بأية تغييرات أو ممارسات عمل مختلفة بحيث يتم دعم وظيفة العمل بالكامل مرة أخرى. 

SINGLE POINTS OF FAILURE : نقاط الفشل الفردية 

• سيتم دعم كل نظام من أنظمة تكنولوجيا المعلومات من خلال أصول الأجهزة ، مثل الخوادم وصفيفات الأقراص والمحولات وأجهزة التوجيه وما إلى ذلك.

• تقليل التبعيات يعني أن تصميم النظام يمكن أن يقضي بسهولة أكبر على نوع الضعف الذي يأتي من تحول هذه الأجهزة إلى نقاط فشل فردية (SPoF).

• SPoF هو أصل يتسبب في فشل سير العمل بأكمله في حالة تلفه أو عدم توفره بأي شكل آخر.

• يمكن التخفيف من عوامل التعرّف على هوية المرسل (SPoF) من خلال توفير مكونات زائدة عن الحاجة.

مش فاهم عندك حق وانا كمان مش فاهم 

حسنا ال SPoF هو شئ سئ جدا وتحذر منه الشركات , بحيث مش يكون عملك وشغلك معتمد على الة او جهاز واحد مثل : الراوتر مثلا , لانه معرض في اي وقت انه يخرب وكده معناه الشبكة والشغل كله هيقف , فلو مش كان معاك الاحتياطي هتفشل فشل عظيم وال • Mean time to failure (MTTF) او ما تعني بال متوسط الوقت حتى الفشل , وال Mean time between failures او ما تعني متوسط الوقت بين حالات الفشل او العمر المتوقع للمنتج 

• يجب استخدام MTTF للأصول غير القابلة للإصلاح.

• على سبيل المثال: يمكن وصف محرك الأقراص الثابتة بـ MTTF ، بينما يتم وصف الخادم (الذي يمكن إصلاحه عن طريق استبدال محرك الأقراص الثابتة) بـ MTBF.

• حساب MTBF هو إجمالي الوقت مقسومًا على عدد حالات الفشل.

• على سبيل المثال: إذا كان لديك 10 أجهزة تعمل لمدة 50 ساعة وفشل اثنان منها ، فإن MTBF هي 250 ساعة (10 * 50) / 2.

• حساب MTTF لنفس الاختبار هو الوقت الإجمالي مقسومًا على عدد الأجهزة ، أي (10 * 50) / 10 ، وتكون النتيجة 50 ساعة.

 

Mean time to repair (MTTR) : متوسط الوقت اللازم للإصلاح

هو مقياس للوقت المستغرق لتصحيح الخطأ حتى تتم استعادة النظام إلى التشغيل الكامل.

يمكن أيضًا وصف هذا بأنه متوسط الوقت "للاستبدال" أو "الاسترداد".

 هذا المقياس مهم في تحديد هدف وقت الاسترداد الكلي او (RTO).

 

 

DISASTERS : الكوارث 

• الكارثة هي حدث يمكن أن يهدد الوظائف الأساسية للبعثة.

• على سبيل المثال ، يعد انتهاك الخصوصية حدثًا خطيرًا ، ولكنه على الأرجح لا يمثل تهديدًا مباشرًا لوظائف العمل.

• الزلزال الذي يدمر مركز البيانات هو حدث على مستوى الكارثة.

• تتضمن الاستجابة للكوارث العديد من نفس المبادئ والإجراءات مثل الاستجابة للحوادث ، ولكن على نطاق أوسع.

 داخلي أو خارجي

 صنع شخص

 بيئية

DISASTER RECOVERY PLANS : خطط التعافي من الكوارث 

ال Disaster recovery plans (DRPs) او ما تعني خطط التعافي من الكوارث , تصف الإجراءات المحددة التي يجب اتباعها لاستعادة نظام أو موقع إلى حالة العمل بعد حدث على مستوى الكارثة.

• يجب أن ينجز DRP ما يلي:

1. تحديد سيناريوهات الكوارث الطبيعية وغير الطبيعية وخيارات أنظمة الحماية.

2. تحديد المهام والموارد والمسؤوليات للاستجابة للكارثة.

3. تدريب الموظفين على إجراءات التخطيط للكوارث وكيفية التعامل بشكل جيد مع التغيير 

 

 

■ النهاية 

نكون هنا انتهينا من الفصل 19 من شهادة security plus المقدمة من CompTIA خلاص اصبحنا في النهايات

واذا واجهتك اي مشكلة في الفهم او ما شابه , يمكنك على الفور الذهاب الى المجتمع الخاص بنا في Telegram للمناقشة والتواصل معنا من هنا  

او اذا واجهتك مشكلة في الموقع او تريد اجابة سريعة يمكنك الذهاب الى اخر صفحة في الموقع ستجد صفحة اتصل بنا موجودة يمكنك ارسالة لنا مشكلتك , وسيتم الرد عليها بسرعة جدا ان شاء الله 

ويمكنك الأنضمام الى المجتمع Hidden Lock بالكامل مع جميع قنواته للأستفادة في اخر الأخبار في عالم التقنية وايضا الكتب بالمجان والكورسات والمقالات من خلال الرابط التالي لمجموعة القنوات من     هنا 

يمكنك ايضا متابعتنا في منصات X او Twitter سابقا , لمشاهدة الاخبار والمقالات السريعة والمهمة من  

هنا

وفقط كان معكم sparrow مقدم هذه الشهادة من فريق Hidden Lock