العودة إلى الصفحة الرئيسية

🔵 الجزء الأول: إدارة المخاطر – تحديد وتقييم المخاطر

Risk Identification & Assessment

🔵
تقدمك في الوحدة
الوحدة 1 من 10 10% مكتمل

1. مقدمة في إدارة المخاطر

تعريفات أساسية:
  • الخطر (Risk): إمكانية حدوث حدث قد يؤثر سلبًا على أصول المنظمة
  • التهديد (Threat): أي حدث أو فعل يمكن أن يسبب ضررًا للنظام
  • الثغرة (Vulnerability): نقطة ضعف في النظام يمكن استغلالها
  • التأثير (Impact): مدى الضرر الناتج عن تحقق الخطر
Risk = Threat × Vulnerability × Impact
أهمية الدور الاستباقي في حماية الأصول المعلوماتية:

2. معرفة العدو

مصادر التهديد:
👤
مهاجمون خارجيون

هاكرز، منافسين، مجموعات منظمة

🏢
موظفون داخليون

عن قصد أو دون قصد

🤝
أطراف خارجية

موردون، شركاء، مقاولون

حوادث تشغيلية

أعطال تقنية، كوارث طبيعية

نماذج الهجمات الشائعة:
🎣
الهندسة الاجتماعية

التصيد الاحتيالي، الاحتيال عبر الهاتف

🦠
البرمجيات الخبيثة

فيروسات، برامج الفدية، أحصنة طروادة

🔓
استغلال الثغرات

ثغرات البرمجيات، تكوينات خاطئة

3. المساءلة عن إدارة المخاطر

من المسؤول عن المخاطر؟
الإدارة العليا

وضع السياسات، تخصيص الموارد، المساءلة النهائية

فرق الأمن

التنفيذ، المراقبة، الاستجابة للحوادث

المستخدمون

اتباع السياسات، الإبلاغ عن الحوادث

الجهات الثالثة

الامتثال للاتفاقيات، حماية البيانات المشتركة

4. تحديد المخاطر

تحليل البيئة التشغيلية:
تحديد السيناريوهات المحتملة للهجمات:
نوع الهجوم الاحتمالية التأثير المحتمل
هجوم تصيد احتيالي مرتفعة سرقة بيانات، خسائر مالية
برامج الفدية متوسطة توقف الخدمة، خسائر مالية
هجمات DDoS متوسطة توقف الخدمة، تلف السمعة
اختراق داخلي منخفضة سرقة بيانات، تلف كبير

5. تحديد وتحديد أولويات أصول المعلومات

تصنيف الأصول:
حرجة

تأثير فوري وكبير على الأعمال

عالية

تأثير كبير خلال ساعات

متوسطة

تأثير خلال أيام

منخفضة

تأثير محدود أو يمكن تعويضه

تحليل القيمة وتأثير انقطاع الخدمة:

6. تقييم التهديدات

مصادر التهديدات:
تهديدات داخلية
  • موظفون غير راضين
  • أخطاء بشرية غير مقصودة
  • سرقة بيانات متعمدة
  • إساءة استخدام الصلاحيات
تهديدات خارجية
  • مجموعات هاكرز منظمة
  • منافسين تجاريين
  • هجمات إلكترونية دولة
  • برمجيات خبيثة عشوائية
شدة الخطورة وطرق الاستغلال:
مستوى الخطورة التكرار المتوقع طرق الاستغلال الشائعة
مرتفعة يومي - أسبوعي التصيد، البرمجيات الخبيثة
متوسطة شهري - ربع سنوي استغلال الثغرات، هجمات DDoS
منخفضة سنوي - نادر هجمات متقدمة مستهدفة

7. تقييم المخاطر والرغبة في المخاطرة

Risk Appetite

كمية ونوع المخاطر التي تكون المنظمة مستعدة لتحملها لتحقيق أهدافها الاستراتيجية

Risk Tolerance

الحد الأقصى للمخاطر التي تقبل المنظمة تحملها في نشاط أو عملية محددة

مواءمة السياسة مع استراتيجية المنظمة:

8. تقييم المخاطر – خطوات تفصيلية

📊
تقدير الاحتمالية

Probability

💥
تقدير التأثير

Consequence

📋
مصفوفة المخاطر

Risk Matrix

مصفوفة المخاطر (Risk Matrix):
التأثير / الاحتمالية منخفضة متوسطة مرتفعة
مرتفع متوسط مرتفع مرتفع جداً
متوسط منخفض متوسط مرتفع
منخفض منخفض جداً منخفض متوسط
نقاط التحكم الحالية (Existing Controls):

9. نسبة المخاطر التي يتم تخفيفها عبر الضوابط الحالية

قياس فعالية السياسات والإجراءات الحالية:
فعالة جداً 65%
متوسطة الفعالية 25%
ضعيفة الفعالية 10%
تحديد الفجوات:
نوع الفجوة الأمثلة الأولوية
فجوات تقنية أنظمة قديمة، نقص في التشفير عالية
فجوات عملية غياب إجراءات الاستجابة، تدريب غير كافي متوسطة
فجوات تنظيمية عدم وضوح المسؤوليات، نقص في السياسات منخفضة

10. توثيق نتائج تقييم المخاطر

تقارير تقييم المخاطر (Risk Assessment Report):
مكونات التقرير الرئيسية
  1. ملخص تنفيذي للمخاطر الرئيسية
  2. نطاق ومنهجية التقييم
  3. تحليل الأصول والتهديدات
  4. نتائج تقييم المخاطر
  5. الضوابط الحالية وفعاليتها
  6. توصيات المعالجة والأولويات
  7. خطة العمل والمتابعة
جداول الأولويات وتوصيات المعالجة:
المخاطر مستوى الخطورة التوصية الإطار الزمني
هجمات التصيد الاحتيالي مرتفع تنفيذ برنامج تدريبي للموظفين فوري (30 يوم)
ثغرات البرمجيات غير المصححة متوسط تنفيذ نظام إدارة التحديثات قصير (90 يوم)
غياب خطة التعافي من الكوارث مرتفع تطوير واختبار خطة التعافي فوري (60 يوم)
العودة للصفحة الرئيسية الانتقال للوحدة الثانية