ما المقصود بإطار إدارة المخاطر؟

يُعد إطار إدارة المخاطر طريقة منهجية مرتبة تتبع قواعد محددة ومُوثّقة تهدف إلى تحليل المخاطر وتقليلها ومتابعتها داخل المنظمة. تميل المؤسسات إلى اعتماد أطر معيارية أو تطوير أطر مخصصة بدلاً من اتباع إجراءات عشوائية في إدارة المخاطر. باستخدام إطار منهجي، تزداد قدرتك على الوصول إلى نتائج محسّنة والاستجابة بشكل أسرع عند وقوع أحداث غير متوقعة.

تنتمي إدارة المخاطر إلى مجال الحوكمة والمخاطر والامتثال (GRC)، وتوجد عادة ضمن قسم الأمن السيبراني أو الامتثال التنظيمي. أسلوب تعامل المؤسسة مع المخاطر يؤثر بشكل مباشر على استمرارية الأعمال، وسير العمليات، والامتثال التنظيمي، وسمعتها في السوق. تساعدك أطر عمل إدارة المخاطر على تحديد المخاطر وتقييمها وتخفيفها وتتبعها عبر المؤسسة. 

يمكن أن تؤثر المخاطر على المؤسسة، وخطوط الأعمال، والأصول التجارية. يشمل ذلك المخاطر التشغيلية، والتجارية، والامتثال، والأمن السيبراني، والقانونية، ومخاطر الاندماج والاستحواذ، والخصوصية، والأجهزة، والبرمجيات، والعقود. رغم أن التركيز عادة ما يكون على المخاطر السيبرانية، إلا أن من الضروري الانتباه إلى باقي أنواع المخاطر. يركّز هذا المستند بشكل رئيسي على المخاطر المرتبطة بالتشغيل، والأعمال، والامتثال، ضمن سياق البيئة السحابية.

ترتبط المخاطر التشغيلية بالتوافر والموثوقية والأداء وأمان البنية التحتية. تُعد هذه الفئة من المخاطر الأهم بالنسبة للعمليات اليومية.

ترتبط المخاطر التجارية بالسمعة والقدرة التنافسية وظروف السوق. يمتد نطاق هذا النوع من المخاطر ليشمل مجالات أوسع مقارنة بالمخاطر التشغيلية، وقد يؤثر بشكل أكبر على النشاط التجاري العام.

تُعبّر مخاطر الامتثال عن مدى احتمال عدم التزام العمليات المؤسسية بالمعايير التنظيمية المفروضة. يمكن أن تنجم عن هذا النوع من المخاطر غرامات مالية أو إجراءات قانونية أو رقابية، إلى جانب زيادة متطلبات التدقيق والتقارير. تستند أهداف الامتثال إلى معايير القطاع، والجهات الحكومية، والهيئات التنظيمية المختلفة.

من أبرز أطر إدارة المخاطر المتداولة:

• إطار إدارة المخاطر (RMF) الخاص بالمعهد الوطني للمعايير والتقنية (NIST) لأنظمة المعلومات والمؤسسات
• COBIT
• معيار ISO/IEC 31000 لإدارة المخاطر - إرشادات
• معيار ISO/IEC 27005:2022 المتعلق بأمن المعلومات والأمن السيبراني وحماية الخصوصية — دليل لإدارة مخاطر أمن المعلومات
• إطار تحليل مخاطر المعلومات بناءً على العوامل (FAIR)

من الأفضل اعتماد إطار لإدارة المخاطر يكون معتمدًا ومحدّثًا باستمرار لضمان الالتزام بأفضل الممارسات الحديثة.

يساهم إطار إدارة المخاطر المتكامل في التعامل مع مختلف أنواع المخاطر ضمن نطاق المؤسسة ككل.

تحديد المخاطر

بإمكانك تحديد الأصول والتهديدات ونقاط الضعف ضمن هيكل المؤسسة بالكامل. الخطر هو تهديد يؤثر على أصل نتيجة وجود ثغرة أمنية. قد تستغرق عملية تحديد المخاطر المحتملة وقتًا طويلًا، حيث تمتد عبر التشابهات الدلالية المختلفة والأهداف المؤسسية.

يمكن تصنيف المخاطر إلى فئات تشمل الجوانب التقنية، والعنصر البشري، والإجراءات، والمجالات المالية، أو الأطراف الخارجية. من الممكن أيضًا إجراء تقسيمات فرعية لكل من هذه الفئات الرئيسية؛ فمثلًا، يمكن تقسيم فئة "الأفراد" إلى مجالات مثل المهارات، والأخطاء البشرية، والانفصال المعرفي.

تحليل التأثير

عند تحليل الأصول والتهديدات والثغرات الأمنية، يصبح بالإمكان تقييم مدى احتمالية وقوع المخاطر وحجم الأثر الناتج عنها. يتضمن تحليل المخاطر وتقييمها استخدام أساليب نوعية وأخرى كمية. على سبيل المثال، من الممكن جمع البيانات المتعلقة بنوع محدد من المخاطر، أو إنشاء مصفوفات لتسجيل الدرجات وتصنيف المخاطر، مما يساهم في تحديد النتائج واستراتيجيات التخفيف. قد تتضمن هذه الفئات تصنيفات مثل منخفض، متوسط، مرتفع، ومرتفع جدًا من حيث مستوى الخطورة، بناءً على احتمالية حدوث الحدث وحجم التأثير المتوقع.

استراتيجيات التخفيف

فيما يلي استراتيجيات التخفيف الأربع التي يمكن اتباعها للتعامل مع كل نوع محدد من المخاطر:

• التخفيف: اتخاذ تدابير رقابية تهدف إلى إزالة المخاطر أو تقليلها
• القبول: التعامل مع المخاطر كما هي دون تعديل، مع الاستمرار في مراقبة أي تغيرات في مدى احتمالها أو مستوى تأثيرها
• التجنب: القضاء على المخاطر بالكامل من خلال إعادة ضبط الأنظمة
• النقل: تحويل المسؤولية عن المخاطر إلى طرف خارجي عبر التعاقد أو التأمين، أو من خلال تضمين شروط تخفيف محددة في الاتفاقيات

إلى جانب شدة المخاطر واحتمال حدوثها، تسهم شهية المؤسسة تجاه المخاطر في اختيار الاستراتيجية الأنسب للتعامل معها.

تنفيذ الحل

حسب استراتيجية التخفيف التي يتم اختيارها، يمكن تنفيذ الضوابط، وتعديل الأنظمة، وتطبيق أدوات المراقبة، وتحويل المخاطر إلى أطراف خارجية. قد تشمل الضوابط جوانب إدارية أو إجراءات مادية أو تدابير تقنية. في هذه المرحلة، قد يكون من الضروري إشراك عدة أنظمة ووحدات تجارية وأطراف معنية، إلى جانب تنفيذ عدد من الخطوات لتحقيق الهدف المطلوب.

قد تشمل استراتيجية التخفيف من المخاطر إجراءات لتصعيد المخاطر، وتعيين مسؤولين عنها، والعمل مع فرق الاستجابة للحوادث على إعداد خطط لاحقة للحوادث.

عقب تطبيق الحل، تُحسب نسبة المخاطر التي لا تزال قائمة. نظرًا لعدم قدرة معظم الحلول على إزالة الخطر بشكل كامل، فإن درجة معينة من المخاطر المتبقية تظل قائمة. يمكن أن تتغير المخاطر المتبقية مع تغيّر الظروف.

الحوكمة والمراقبة المستمرة

عقب تطبيق حل التخفيف من المخاطر، لا بد من الاستمرار في مراقبة المخاطر وتحليلها وتتبعها وإجراء التدقيق اللازم عند الضرورة. يجب تضمين إعداد التقارير ضمن عملية تتبع المخاطر لصالح مالكي المخاطر، وفِرق الحوكمة والمخاطر والامتثال (GRC)، والإدارة العليا.

في إطار الحوكمة، ينبغي وجود آلية دورية وعند الطلب لرصد المخاطر الجديدة أو تلك التي تزداد حدتها على مستوى الأعمال. ينبغي إنشاء سياسات خاصة بإدارة المخاطر وتحديد مدى تكرار مراجعة العمليات الحالية، إلى جانب تقديم التدريب اللازم للفرق المختصة. قم بتطبيق ضوابط تلقائية تهدف إلى منع تكرار أنواع المخاطر نفسها مستقبلًا.

يقدّم هذا الدليل شرحًا لكيفية بناء مسار على AWS يتوافق مع خطوات إطار إدارة المخاطر المعتاد.

هناك ثلاث خدمات أساسية من AWS تُستخدم لدعم كل مرحلة من مراحل إدارة المخاطر:

• مدير التدقيق في AWS للتدقيق المستمر في استخدامك لخدمات AWS لتبسيط تقييم المخاطر والامتثال.
• AWS Config للوصول إلى تكوينات مواردك وتدقيقها وتقييمها
• AWS Security Hub لإعطاء الأولوية للمشكلات الأمنية الحرجة من خلال الارتباط التلقائي وسياق المخاطر المعزّز، بالإضافة إلى تقارير الوضع الأمني والمزيد.

1. التخطيط

تهدف مرحلة التخطيط إلى إرساء قاعدة قوية تتيح للمؤسسة تطوير عمليات فعّالة لإدارة المخاطر وفقًا لأفضل الممارسات.

جهّز خطة للقيام بأنشطة إدارة المخاطر بناءً على أفضل الممارسات من خلال هذه الخدمات:

• AWS CloudTrail لمراقبة أنشطة المستخدمين وتتبع استدعاءات واجهات API.
• AWS CloudTrail لتتبع نشاط المستخدم واستخدام واجهات برمجة التطبيقات (API)
• إدارة الهوية والوصول في AWS لإدارة الهويات والوصول إلى خدمات وموارد AWS بأمان
• AWS IAM Access Manager لتحديد الوصول الخارجي والداخلي وغير المستخدم إلى موارد AWS الخاصة بك
• AWS Organizations للإدارة المستندة إلى السياسات عبر حسابات AWS متعددة
• AWS Secrets Manager لإدارة الوصول إلى الأسرار عبر مؤسستك
• AWS Systems Manager للتصحيح التلقائي وضمان الامتثال

2. الاكتشاف

تكتشف مرحلة الاكتشاف الأصول والموارد والخدمات وتقوم بوضع علامات تعريفية لها.

لاكتشاف الأصول وتصنيفها، استخدم خدمات AWS التالية:

• Amazon Macie لاكتشاف بياناتك الحساسة وحمايتها
• AWS CloudFormation لتطبيق مفهوم البنية التحتية كتعليمة برمجية (IaC)
• AWS Resource Explorer للبحث عن الموارد ذات الصلة واكتشافها عبر AWS
• AWS Systems Manager Inventory لتوفير رؤية واضحة لبيئة الحوسبة لديك في AWS
• AWS Well-Architected Tool لتقييم بنية السحابة لديك مقارنة بأفضل الممارسات

3. اختيار الضوابط والقواعد

تقدم مرحلة الاختيار الضوابط والقواعد اللازمة للحماية من المخاطر المحددة.

حدد الضوابط المناسبة من بين القواعد المثبتة مسبقًا لأفضل الممارسات ضمن خدمات AWS التالية:

• تُستخدم قواعد AWS Config المُدارة كقواعد معرفة مسبقًا وقابلة للتعديل، لتقييم امتثال مواردك لأفضل الممارسات المعتمدة عبر AWS
• تُستخدم AWS Control Tower وAWS Security Hub لضبط عناصر الأمان، في حين يُستخدم مدير التدقيق في AWS لضمان الامتثال للسياسات التنظيمية.
• يُعد امتثال AWS Systems Manager إحدى أدوات AWS Systems Manager التي تتيح لك إعداد أنواع وتعريفات امتثال مخصصة وفقًا لاحتياجاتك التقنية أو متطلبات أعمالك.

4. التنفيذ

يهدف التنفيذ إلى ضمان اتساق تطبيق الضوابط على كافة الأصول والبيئات المستهدفة.

تتوفر لديك الأدوات التالية لتنفيذ الضوابط ضمن خدمات AWS المختلفة:

• تُستخدم AWS CloudFormation لنشر الضوابط المدمجة، جنبًا إلى جنب مع كتالوج خدمات AWS لإنشاء قوالب IaC المخصصة وتنظيمها ومشاركتها وتطبيق الحوكمة عليها.
• تُستخدم AWS Config لتطبيق قواعد الضوابط وتحديد الإجراءات اللاحقة
• تُستخدم AWS Security Hub لتطبيق قواعد الأمن والحماية
• AWS Systems Manager لضمان الالتزام بالسياسات عبر الموارد والخدمات

5. التقييم

يهدف التقييم إلى معرفة مدى كفاءة الضوابط المطبقة في الواقع العملي.

لتقييم فاعلية إدارة المخاطر في مؤسستك، استخدم مزيجًا من خدمات AWS التالية:

• مدير التدقيق في AWS لإجراء تقييمات قابلة للتتبع
• AWS Config للتحقق من الالتزام بقواعد الامتثال
• Amazon Detective لتحليل بيانات الأمان وتصورها للتحقيق في مشكلات الأمان المحتملة
• Amazon GuardDuty لإجراء مراقبة مستمرة للتهديدات على حسابات AWS وأعباء العمل والبيانات
• AWS Inspector لإجراء تقييمات تلقائية لمخاطر الثغرات الأمنية
• AWS Security Hub لإجراء تقييمات مستمرة لمخاطر الأمان على مدار الساعة

تُعد AWS Trusted Advisor خيارًا إضافيًا للمؤسسات التي تُنشئ إطار عمل لإدارة المخاطر. تقوم AWS Trusted Advisor بإجراء تقييمات تشمل تحسين التكاليف، وكفاءة الأداء، والجوانب الأمنية، والقدرة على تحمل الأعطال، والحدود الخدمية، والتميّز التشغيلي. من خلال لوحة التحكم، يمكنك الاطلاع على التنبيهات والتوصيات والإمكانات الإضافية المتاحة. يستطيع مستخدمو AWS الوصول إلى هذه الأداة من خلال​https://console.aws.amazon.com/trustedadvisor/home.

6. التفويض

تهدف وظيفة التفويض إلى توثيق المنهج المتبع والخطوات المنفذة، إلى جانب الإقرار بالمخاطر المتبقية وآلية المراقبة.

يمكن تنفيذ التفويض بثقة من خلال الاستفادة من خدمات AWS التالية:

• تُستخدم AWS Artifact لإصدار تقارير الامتثال والأمان المتعلقة بـ AWS ومزودي البرمجيات المستقلين (ISV)
• يوفر مدير التدقيق في AWS تقارير موجهة لصنّاع القرار
• تعرض AWS Config تقارير متعلقة بالامتثال وتتيح متابعة التغيرات ذات الصلة
• توفّر AWS Security Hub رؤية مباشرة لحالة الأمان في النظام، إلى جانب إمكانيات إعداد التقارير

7. المراقبة

تتيح المراقبة المستمرة الحفاظ على حداثة عملية إدارة المخاطر، مع دمج المخاطر المستجدة والمتغيرة ضمن إطار العمل.

لتحقيق مراقبة دائمة، استخدم خدمات AWS التالية:

• AWS CloudWatch لمراقبة التطبيقات، والتنبيه عند حدوث حالة غير طبيعية، وتوفير رؤى حول الصحة التشغيلية لضمان الامتثال
• AWS Config لمراقبة الامتثال بشكل مستمر
• Amazon EventBridge لإنشاء استجابات تلقائية تعتمد على أحداث يتم تشغيلها في خدمات AWS الأخرى
•  AWS Security Hub للمراقبة الأمنية المستمرة
• تُستخدم AWS Systems Manager لتتبع حالة التصحيحات ومراقبة إعدادات التكوين

تُنصح المؤسسات الراغبة في تعزيز قدرتها على الصمود وتحسين أدائها بتطبيق إطار متكامل لإدارة المخاطر. تُسهم أطر إدارة المخاطر في خفض مستوى المخاطر وفهمها على نحو أفضل داخل المؤسسة، مما يجعل التعامل مع المجهولات أكثر سهولة.

إن اعتماد إطار عمل قياسي كخطوة أولى ثم البناء عليه يُعتبر نهجًا فعّالًا للبدء، وتقدم AWS خدمات تدعم تطبيق هذه الأطر. من خلال استخدام إطار AWS Well-Architected Framework، يمكنك بناء قاعدة متينة على AWS لإدارة الحوكمة والمخاطر والامتثال.

يمكنك الشروع في تطوير عمليات إدارة المخاطر عبر AWS بإنشاء حساب مجاني الآن.