کمی‌سازی ریسک سایبری (CRQ): راهنمای کامل برای مدیران

مقدمه

کمی‌سازی ریسک سایبری (CRQ)، که گاهی اقتصاد ریسک سایبری نیز نامیده می‌شود، روشی است که بسیاری از سازمان‌ها برای درک میزان قرار گرفتن در معرض ریسک سایبری و منطقی‌سازی گزینه‌های خود برای مدیریت آن به کار می‌گیرند. این مفهوم، سنگ بنای مدیریت ریسک سازمانی است. با افزایش تعاملات دیجیتال، این تهدید که مسائل امنیت سایبری بتواند منجر به اختلال در ارائه محصولات و خدمات شود، به یکی از نگرانی‌های اصلی مدیران اجرایی و هیئت مدیره تبدیل شده است.

بسیاری از هیئت مدیره‌ها و مدیران اجرایی ترجیح می‌دهند ریسک سایبری را در کنار سایر ریسک‌هایی که قبلاً به صورت تأثیر اقتصادی بیان شده‌اند (مانند ریسک اعتباری و بازار) مشاهده کنند. بنابراین، CRQ ریسک امنیت سایبری را با عباراتی آشنا بیان می‌کند که بسیاری از ذی‌نفعان می‌توانند آن را درک کنند. این مقاله، CRQ را در زمینه روش‌های بنیادی اندازه‌گیری ریسک سایبری بررسی می‌کند.

مروری بر کمی‌سازی ریسک سایبری

برای درک اینکه CRQ چیست و چگونه به کار می‌رود، کمی تاریخچه مهم است. CRQ از اعداد برای اندازه‌گیری ریسک سایبری استفاده می‌کند، اما چیزی فراتر از آن است. اگرچه تعریف رسمی برای این مفهوم وجود ندارد، یک توضیح کاربردی خوب این است که CRQ نشان‌دهنده کاربرد روش‌های آماری دقیق برای کمی‌سازی تأثیر و فراوانی حوادث امنیت سایبری است. CRQ می‌تواند شامل تکنیک‌هایی مانند ارزش در معرض خطر (Value at Risk)، شبیه‌سازی مونت کارلو و آزمون استرس باشد.

متخصصان اولیه ریسک امنیت سایبری—که گاهی مدیران ریسک فناوری اطلاعات یا تکنولوژی نامیده می‌شدند—در ابتدا قبل از اتخاذ روش‌های خود به رشته‌های موجود مراجعه نمی‌کردند. در نتیجه، بسیاری از روش‌های اولیه ارزیابی ریسک، نسبت به مدل‌های موجود در سایر رشته‌ها، کمتر دقیق و قابل دفاع بودند، اما پیاده‌سازی سریعی داشتند. با مرکزی‌تر شدن نقش تکنولوژی در ارائه محصولات و خدمات سازمانی، متخصصان متوجه ارتباط بین ریسک امنیت سایبری و کسب‌وکار شدند، اما برقراری این ارتباط به وضوح آسان نبود.

محیط اولیه امنیت سایبری منجر به شکل‌گیری استانداردهای مدیریت ریسک فناوری اطلاعات مانند NIST 800-30 و ISO 27005 شد. این استانداردها، علی‌رغم حمایت از فرآیند ارزیابی ریسک کمی‌تر، شامل مثال‌هایی بودند که تمایل به ارزیابی‌های کیفی‌تر از وضعیت ریسک را نشان می‌دادند. این استانداردها و صنعت مشاوره پیرامون آنها، یک وضعیت پیش‌فرض برای تفکر در مورد ریسک به عنوان ترکیبی از احتمال ضربدر تأثیر ایجاد کردند که در آن هر متغیر به یک کلمه یا عبارت توصیف‌کننده شدت آن (محتمل، بسیار محتمل و غیره) متصل بود. این دوران، عصر «نقشه حرارتی» (heatmap) بود که گاهی نمودار احتمال-تأثیر یا PIG نامیده می‌شد.

تکامل مدل‌های کمی‌سازی

در اوایل دهه ۲۰۰۰، جک جونز، مدیر ارشد امنیت اطلاعات (CISO) جدید یک شرکت خدمات مالی، شروع به بررسی راه‌هایی برای اتصال ریسک فناوری اطلاعات به کسب‌وکار کرد. پس از گفتگو با بخش اکچوئری، جونز روی مدلی برای استخراج ریسک سایبری بر اساس تعدادی از عوامل که یا منجر به وقوع یک رویداد زیان‌آور می‌شدند یا به میزان زیان (از نظر اقتصادی) کمک می‌کردند، کار کرد. این مدل اولین مدل CRQ بود که به عنوان یک استاندارد بین‌المللی توسط The Open Group® با نام Open FAIR™ منتشر شد. ویژگی منحصربه‌فرد مدل Open FAIR تمرکز آن بر دو چیز بود: تعیین محدوده (scoping) و اندازه‌گیری.

در سال‌های بعد، بسیاری از گروه‌های استانداردهای امنیتی محبوب و سایر نهادهای نظارتی، نقش‌هایی را برای CRQ در چارچوب‌های خود مشخص کردند:

• شورای استانداردهای امنیتی صنعت کارت پرداخت (PCI SSC) در سال ۲۰۱۲ سندی را منتشر کرد که نشان می‌داد Open FAIR با دیدگاه‌های آن در مورد ارزیابی ریسک سازگار است.
• در سال ۲۰۲۰، کمیته سازمان‌های حامی کمیسیون تردوی (COSO) راهنمایی در مورد مدیریت ریسک سایبری صادر کرد که به CRQ با استفاده از روش Open FAIR اشاره داشت.
• انجمن ملی مدیران شرکت‌ها (NACD) راهنمای نظارت بر ریسک سایبری ۲۰۲۰ خود را منتشر کرد که به نقش CRQ در مدیریت ریسک سایبری توسط هیئت مدیره اشاره می‌کند.

در نتیجه، افزودن CRQ به شیوه‌های مدیریت ریسک دیگر یک بهترین رویه پیشرو محسوب نمی‌شود، بلکه بخش مهمی از مدیریت مدرن ریسک سایبری است.

اندازه‌گیری در کمی‌سازی ریسک سایبری

علم اندازه‌گیری که رسماً مترولوژی نامیده می‌شود، عموماً شامل ایجاد واحدهای اندازه‌گیری، قابلیت ردیابی و کالیبراسیون است. با این حال، اندازه‌گیری در امنیت سایبری برای مدتی از چنین اندازه‌گیری‌های رایجی دور بوده است. در واقع، بیشتر مفاهیم انتزاعی و ذهنی (مانند ارزش و کیفیت) معمولاً به دلیل دشواری جمع‌آوری داده برای اندازه‌گیری، از همین مشکل رنج می‌برند. CRQ به چه نوع داده‌هایی نیاز دارد و چگونه می‌توان داده‌های لازم را به دست آورد؟ چه نوع اندازه‌گیری‌هایی از داده‌ها مشروع هستند و معیارهای اساسی کفایت کمی را برآورده می‌کنند؟

مقیاس‌های کلامی و مشکلات عینیت و سوگیری

مقیاس‌های کلامی از کلمات برای توصیف سطحی از ریسک مستقیم یا ریسک مرتبط با عوامل زیربنایی (مانند احتمال یا تأثیر) استفاده می‌کنند. این نوع اندازه‌گیری‌ها اغلب در نظرسنجی‌های خرده‌فروشی دیده می‌شوند که از پاسخ‌دهندگان می‌خواهند احتمال بازگشت به فروشگاه را رتبه‌بندی کنند. مجموعه پاسخ معمولاً چیزی شبیه این است: بسیار محتمل، نسبتاً محتمل، محتمل، نه چندان محتمل، نامحتمل. این ارائه گاهی مقیاس لیکرت نامیده می‌شود.

تحقیقات زیادی در مورد استفاده از این نوع مقیاس‌ها و اینکه چگونه باعث ایجاد چیزی به نام «توهم ارتباط» می‌شوند، انجام شده است. برای طراح چنین ابزارهایی، به نظر می‌رسد که یک سیستم محکم برای رتبه‌بندی یک سری ارائه شده است. در واقع، این تنها کاری است که یک برچسب کلامی می‌تواند انجام دهد. می‌تواند نمایی از ترتیب پاسخ‌ها را بدون ارائه هیچ جزئیاتی در مورد درجه تفاوت بین آنها فراهم کند. این مثال‌ها برخی از سوگیری‌های ذهنی را نشان می‌دهند که بر اندازه‌گیری تأثیر می‌گذارند – سوگیری‌هایی که هنگام ساخت یک برنامه CRQ باید مدیریت و کنترل شوند.

مقیاس‌های ترتیبی و مشکلات رابطه خطی و بزرگی

دانشمندان و ریاضی‌دانان اغلب از مقیاس‌های ترتیبی (Ordinal Scales) استفاده می‌کنند. این مقیاس‌ها اعداد را جایگزین کلمات می‌کنند، اما همچنان مشکلاتی مشابه مقیاس‌های کلامی دارند. آنها ترتیب را نشان می‌دهند اما بزرگی یا فاصله واقعی بین مقادیر را مشخص نمی‌کنند. به عنوان مثال، رتبه‌بندی ریسک از ۱ تا ۵، به ما نمی‌گوید که ریسک با رتبه ۴، دو برابر ریسک با رتبه ۲ است. این نوع اندازه‌گیری، علی‌رغم استفاده ظاهری از اعداد، کمکی به کمی‌سازی واقعی مدیریت ریسک سایبری نمی‌کند و می‌تواند منجر به تصمیم‌گیری‌های نادرست شود.

منبع: © 2021 ISACA. All Rights Reserved.