ניהול סיכוני אבטחת מידע

ניהול סיכוני אבטחת מידע (ISRM- Information Security Risk Management), הוא תהליך ניהול הסיכונים הכרוכים בשימוש בטכנולוגיית המידע. הוא כולל זיהוי, הערכה וטיפול בסיכונים לסודיות, לשלמות ולזמינות של נכסי המידע ומערכות הארגון. המטרה הסופית של תהליך זה היא לטפל בסיכונים בהתאם למדיניות הארגון והסיכונים שהוא מוכן לקחת. המטרה הריאלית איננה מיגור מוחלט של כל הסיכונים אלא מיפוי ,סיווג והשגה של רמת סיכון מקובלת עבור הארגון. 

שלבי ה-ISRM:

זיהוי אלמנטים

  • זיהוי מידע, מערכות ונכסים אשר נחשבים ע"י הארגון כנכסי ליבה.

  • זיהוי חולשות בתשתיות, מערכות, תוכנות ותהליכים אשר מציבים את האירגון בסיכון.

  • זיהוי האיומים הפוטנציאלים אשר עלולים לסכן את הנכסים או את המידע.

  • מיפוי של המצב הקיים להגנה על נכסי המידע והמערכות.

הערכת סיכונים

שלב הערכה הוא תהליך שילוב המידע שנאסף בשלב הזיהוי על הנכסים, האיומים, והבקרות בכדי לזהות ולהגדיר את הסיכונים שהארגון חשוף אליה

טיפול בסיכונים

  • הבראת הסיכונים: שילוב תהליכי בקרה אשר מתקנים או חוסמים באופן מלא את הסיכון.

  • שיכוך ומזעור: תהליכי בקרה אשר מצמצמים את השפעת הסיכון אך לא פותרים אותו.

  • העברת הסיכונים לישות אחרת במטרה להשליך את השפעת מימוש הסיכון מהארגון.

  • הכלה: כאשר ניתוח ואפיון הסיכון מראה שיחס ההשקעה לעומת תועלת נמוכה.

  • הימנעות מהסיכונים: הסרת כלל החשיפות לסיכון שזוהה ואופיין.

תקשורת

תהליך ניהול הסיכונים חייב להתבצע בשקיפות מלאה עם הארגון בכדי להבין את הסיכונים ולקבל החלטות אשר ישענו על הבנה מלאה של עלויות הטיפול מול עלויות הנזק הפוטנציאלי.

חזרה והתמדה

תהליך ניהול הסיכונים הוא תהליך ארוך אשר מצריך מחויבות והתמדה. יש לבנות תוכנית עבודה מסודרת לטיפול בסיכונים והחלת הבקרות באופן אפקטיבי אשר יציג מגמות שיפור מתמידות לאורך זמן. לרוב ניהול הסיכונים יתממשק עם תוכנית רב שנתית לאפקטיביות מרבית.