الوحدة الرابعة: إدارة المخاطر الأمنية

1️⃣ تعريف المخاطر الأمنية

الخطر الأمني (Security Risk):

هو احتمال وقوع حدث أمني (مثل اختراق أو تسريب بيانات) يؤثر سلبًا على أصول المعلومات (البيانات، الأنظمة، السمعة، الأفراد).

🔸 الصيغة الشائعة:
المخاطر = التهديد × نقطة الضعف × قيمة الأصل

2️⃣ عناصر الخطر الأمني

• التهديد (Threat): جهة أو حدث قادر على إحداث ضرر (مثل مهاجم إلكتروني، فيروسات، كوارث طبيعية).
• نقطة الضعف (Vulnerability): ثغرة في النظام أو السلوك يمكن استغلالها.
• الأثر (Impact): مدى الضرر الناتج عن تحقق الخطر.
• الاحتمالية (Likelihood): مدى إمكانية حدوث التهديد.

3️⃣ خطوات عملية إدارة المخاطر الأمنية

1. تحديد الأصول (Asset Identification)
   • ما هي البيانات والأنظمة والخدمات الحيوية؟
   • تصنيف الأصول حسب الأهمية (مثلاً: بيانات الطلاب – سرية جدًا).
2. تحديد التهديدات ونقاط الضعف
   • التهديدات: مثل هجمات التصيد، سرقة الأجهزة، أعطال في الطاقة.
   • نقاط الضعف: كلمات مرور ضعيفة، نقص التحديثات، نقص التوعية.
3. تحليل وتقييم المخاطر
   • تقدير التأثير والاحتمالية.
   • أدوات مثل DREAD:
     • Damage Potential (احتمالية الضرر)
     • Reproducibility (قابلية التكرار)
     • Exploitability (قابلية الاستغلال)
     • Affected Users (المستخدمون المتأثرون)
     • Discoverability (قابلية الاكتشاف)
4. اتخاذ قرار المعالجة
   • خفض الخطر (Mitigate): تركيب جدار ناري.
   • نقل الخطر (Transfer): التأمين السيبراني.
   • تجنب الخطر (Avoid): إلغاء الخدمة المعرضة للخطر.
   • قبول الخطر (Accept): إذا كان التأثير قليلًا والتكلفة مرتفعة.
5. المتابعة والتحسين المستمر
   • مراقبة وتحديث تحليل المخاطر بانتظام.
   • ربط تقييم المخاطر بإدارة التغيير وخطط الطوارئ.

4️⃣ العلاقة بين إدارة المخاطر والسياسات الأمنية

• السياسة تحدد الإطار، وإدارة المخاطر تحدد الأولويات.
• السياسات تستند إلى نتائج تحليل المخاطر لتحديد الضوابط المناسبة.
• مثال: إذا كان البريد الإلكتروني عرضة للتصيد → سياسة إلزامية للمصادقة الثنائية.

5️⃣ مثال تطبيقي

حالة: مؤسسة تعليمية رقمية

• الأصل: بيانات الطلاب ومنصة التعليم.
• التهديد: اختراق البريد الإلكتروني وسرقة كلمات المرور.
• نقطة الضعف: عدم وجود مصادقة متعددة العوامل (2FA).
• الأثر: تسريب بيانات، فقدان الثقة، مخالفات قانونية.

الإجراء:

• تنفيذ 2FA.
• تدريب توعوي شهري ضد التصيد.
• مراجعة الصلاحيات والصلاحيات الزائدة.

6️⃣ أدوات وأطر لتقييم المخاطر

7️⃣ النشاط العملي

🧪 المهمة:

قم بإجراء تحليل مخاطر أولي لمؤسسة تعليمية افتراضية.

الخطوات:

1. حدد 3 أصول حرجة (مثلاً: نظام الدرجات – شبكة الإنترنت – البريد الجامعي).
2. عرّف 2 تهديدات محتملة لكل أصل.
3. قيم الأثر والاحتمالية.
4. اقترح خطط لمعالجة كل خطر.

8️⃣ الاتجاهات الحديثة في إدارة المخاطر

• الهجمات الموجهة (Targeted Attacks): مثل APT (التهديدات المتقدمة المستمرة).
• تهديدات داخلية (Insider Threats): الموظف غير الراضي أخطر من الهاكر الخارجي.
• الذكاء الاصطناعي: كل من الهجمات والحماية تعتمد على تقنيات AI.
• التوسع السحابي: يزيد تعقيد تحليل المخاطر.

9️⃣ مراجع ومصادر موصى بها

• ISO/IEC 27005: Guidelines for Information Security Risk Management
• NIST SP 800-30 Rev. 1: Guide for Conducting Risk Assessments
• ISACA Risk IT Framework
• FAIR Institute – Quantitative Risk Analysis
• فيديو: سايبر بالعربي – تحليل المخاطر (يرجى استبدال "your_video_link_here" برابط الفيديو الفعلي)

✅ الخلاصة

إدارة المخاطر ليست نشاطًا ثانويًا، بل هي العمود الفقري لأي نظام أمني ناجح.

كل قرار تقني أو تنظيمي يجب أن يُبنى على وعي بالمخاطر التي تحيط بالمؤسسة.

من خلال فهم الأصول والتهديدات، واستخدام أدوات التقييم المناسبة، يمكن بناء بيئة معلوماتية أكثر أمانًا واستدامة.