ویرگول
ورودثبت نام
روزبه نوروزی
روزبه نوروزی
روزبه نوروزی
روزبه نوروزی
خواندن ۴ دقیقه·۷ روز پیش

تجمیع ریسک، Risk Aggregation در ISMS

از درک نادرست «کنترل‌محور» تا تحلیل بالغ مبتنی بر روابط ریسک

مقدمه

در بسیاری از پروژه‌های ISMS، به‌ویژه در سازمان‌های دارای چندین سیستم اطلاعاتی و فرایند کسب‌وکار، مدیریت ریسک به‌سرعت با مشکل پیچیدگی بیش‌ازحد مواجه می‌شود. صدها ریسک فنی، کنترل‌های متعدد و وابستگی‌های درهم‌تنیده باعث می‌شوند که خروجی تحلیل ریسک، به‌جای پشتیبانی از تصمیم‌گیری مدیریتی، به یک لیست طولانی و کم‌اثر تبدیل شود. در این فضا، مفهوم Risk Aggregation اغلب به‌عنوان راه‌حلی برای ساده‌سازی مطرح می‌شود؛ اما همین‌جا یک سوءبرداشت رایج شکل می‌گیرد:

این تصور که «با تجمیع ریسک‌ها می‌توان چند ریسک را با یک کنترل فنی مهار کرد».

این مقاله با اتکا به متن درس ISSMP نشان می‌دهد که این برداشت، اگرچه قابل فهم است، اما از نظر مفهومی نادرست یا دست‌کم ناقص است و می‌تواند منجر به تصمیم‌های ضعیف در ISMS شود.

Risk Aggregation از منظر ISSMP

بر اساس ISSMP تجمیع Risk Aggregation یک ابزار تحلیلی و مدیریتی است، نه یک مکانیزم کنترلی. هدف آن:

roll‑up کردن ریسک‌های سطح پایین و مدیریت مؤثر دامنه و مقیاس ارزیابی ریسک و ارائه ریسک در سطحی است که تصمیم‌گیری واقعی انجام می‌شود (فرایند، مأموریت، سازمان).

نکته کلیدی این است که ISSMP تأکید می‌کند در فرآیند تجمیع، سازمان باید روابط میان ریسک‌های مجزا را در نظر بگیرد، نه شباهت کنترل‌ها یا ابزارهای فنی.

نقش روابط میان ریسک‌ها در Aggregation

ISSMP صراحتاً بیان می‌کند که ریسک‌ها زمانی قابل تجمیع هستند که:

رابطه علت و معلولی (Cause-and-Effect) داشته باشند، یا به‌صورت Coupled (کیفی) یا Correlated (کمی) به یکدیگر وابسته باشند، و این وابستگی می‌تواند مثبت یا منفی، مستقیم یا معکوس باشد.

برای مثال، ضعف در مدیریت هویت و دسترسی می‌تواند احتمال دسترسی غیرمجاز را افزایش دهد؛ این دسترسی غیرمجاز نیز می‌تواند منجر به نشت داده یا اختلال در سرویس شود. در این حالت، ریسک‌ها از نظر مفهومی به هم متصل‌اند و تجمیع آن‌ها به یک ریسک سطح بالاتر منطقی است، زیرا همگی به یک سناریوی مشترک تهدید منتهی می‌شوند.

بنابراین، Aggregation بر مبنای منطق ریسک و وابستگی‌ها انجام می‌شود، نه بر مبنای کنترل‌ها.

منشأ سوءبرداشت: وقتی Aggregation با Control Coverage اشتباه گرفته می‌شود

در عمل، بسیاری از متخصصان ISMS به این نتیجه می‌رسند که:

«چون یک کنترل فنی می‌تواند روی چند ریسک اثر بگذارد، پس این ریسک‌ها را می‌توان Aggregated کرد.»

اینجا باید یک تفکیک مفهومی مهم انجام داد:

Risk Aggregation

یک مفهوم تحلیلی و مدل‌سازی ریسک است و به این سؤال پاسخ می‌دهد:ریسک‌ها چگونه به هم مرتبط‌اند و چگونه باید در سطح مدیریتی گزارش شوند؟

Control Coverage

یک مفهوم کنترلی-فنی است؛

به این سؤال پاسخ می‌دهد:یک کنترل روی کدام سناریوها یا ریسک‌ها اثر می‌گذارد؟

این‌که یک کنترل فنی (مثلاً EDR، IAM یا SIEM) روی چند ریسک اثر مثبت دارد، کاملاً طبیعی و حتی مطلوب است؛ اما این موضوع مبنای Aggregation نیست.

مثال عملی: تفاوت Aggregation و کنترل مشترک

فرض کنیم سه ریسک پایه داریم:

الف) ضعف در IAM که منجر به دسترسی غیرمجاز می‌شود؛

ب) نبود EDR که اجرای بدافزار بدون کشف را ممکن می‌کند؛

ج ) پایش‌نشدن لاگ‌ها که باعث تأخیر در تشخیص Incident می‌شود.

این ریسک‌ها ممکن است رابطه علت و معلولی داشته باشند، یا به‌صورت Coupled عمل کنند (تحقق یکی احتمال دیگری را افزایش دهد).

Aggregation درست ایجاد یک ریسک سطح بالاتر مانند: «عدم توانایی سازمان در پیشگیری و کشف حرکت جانبی مهاجم در سیستم‌های حیاتی».

Aggregation نادرست:یکی‌کردن این ریسک‌ها صرفاً به این دلیل که «با پیاده‌سازی EDR می‌توان روی همه آن‌ها اثر گذاشت».

در این مثال، EDR یک کنترل مشترک است، نه دلیل تجمیع ریسک‌ها. اگر EDR شکست بخورد یا دور زده شود، هر سه ریسک با هم فعال می‌شوند و اگر قبلاً به‌درستی مدل‌سازی نشده باشند، blast radius واقعی از دید مدیریت پنهان می‌ماند.

جایگاه صحیح کنترل‌ها در Risk Aggregation

در یک ISMS بالغ:

ریسک‌های پایه (Asset-level) حذف نمی‌شوندو Aggregated Risk در سطح فرایند یا مأموریت تعریف می‌شود؛

سپس چندین کنترل (فنی، مدیریتی، فرایندی) به آن نگاشت می‌شوند.

به‌عبارت دیگر:

Aggregation: تعریف ریسک

Controls : پاسخ به ریسک نه برعکس.

ارزش واقعی Risk Aggregation در ISMS

اگر مطابق ISSMP اجرا شود، Risk Aggregation:

  • پیچیدگی ارزیابی ریسک را بدون از دست دادن معنا کاهش می‌دهد؛

  • امکان مدیریت ریسک در محیط‌های چندسیستمی و چندفرایندی را فراهم می‌کند؛

  • ریسک را از سطح «لیست ضعف‌های فنی» به سطح «تصمیم‌گیری کسب‌وکار» منتقل می‌کند؛

  • و ارتباط روشنی بین سیستم‌های اطلاعاتی، مأموریت و اهداف سازمان ایجاد می‌کند.

جمع‌بندی نهایی

برداشت «با Aggregation می‌شود چند ریسک را با یک کنترل فنی مهار کرد» اگر به‌عنوان تعریف Aggregation در نظر گرفته شود، نادرست یا دست‌کم ناقص است.

Risk Aggregation در ISSMP:

درباره روابط میان ریسک‌ها است، نه درباره اشتراک کنترل‌ها.

کنترل‌های فنی می‌توانند روی چند ریسک اثر بگذارند، اما این موضوع یک نتیجه طراحی کنترل است، نه معیار تجمیع ریسک. تفکیک این دو مفهوم، مرز بین یک ISMS صوری و یک ISMS بالغ و تصمیم‌محور است.

ریسکامنیتفناوریهکمدیریت
۳
۲
روزبه نوروزی
روزبه نوروزی
شاید از این پست‌ها خوشتان بیاید