إدارة المخاطر ليست حدثًا — إنها دورة. خمس خطوات، تتكرر ربع سنوية، تتكيف مع التهديدات الجديدة والأصول المتغيرة. قانون الخمسة يضرب مرة أخرى. الواقع حقًا خماسي الأضلاع. FNORD.
1. 🔍 حدد
ما هي أصولك؟ ما التهديدات؟ أين الثغرات؟
الأصول: البيانات (قواعد بيانات العملاء، الكود المصدري)، الأنظمة (البنية التحتية AWS، خطوط التطوير)، العمليات (كشوف الرواتب، الاستجابة للحوادث). مرجع سجل الأصول مع التصنيفات.
التهديدات: الجهات الفاعلة (script kiddies، الجريمة المنظمة، nation-states، المطلعين)، الأحداث (ransomware، DDoS، سرقة البيانات)، المصادر (خارجي، سلسلة التوريد، الوصول الفعلي).
الثغرات: تقنية (CVEs غير مُرقعة، تكوينات خاطئة)، عملية (لا تحكم في التغيير، نسخ احتياطية غير كافية)، بشرية (مستخدمون قابلون للاختراق، تدريب غير كافٍ).
المخاطر موجودة في تقاطع الأصل والتهديد والثغرة. أزل أي عنصر وتنهار المخاطر. هذا أنيق ومفيد — أفضل أنواع الحقيقة.
2. 📊 حلل
ما احتمالية الحدوث؟ ما التأثير؟ كم يكلف؟
نوعي: عالٍ/متوسط/منخفض (سريع لكن غير دقيق). شبه كمي: النتيجة = الاحتمالية × التأثير × 100 (أفضل توازن). كمي: ALE = SLE × ARO (الأفضل لقرارات عالية المخاطر).
SLE (توقع الخسارة الفردية): تكلفة حادث واحد باليورو. قاعدة بيانات العملاء (قيمة 100 ألف يورو) × ransomware (عامل التعرض 0.9) = 90 ألف يورو SLE.
ARO (معدل الحدوث السنوي): التكرار المتوقع سنويًا. البيانات التاريخية، معايير الصناعة، حكم الخبراء. حادثتا ransomware في 3 سنوات؟ ARO ≈ 0.67.
ALE (توقع الخسارة السنوية): ALE = SLE × ARO. مثال: 90 ألف يورو × 0.67 = 60,300 يورو سنويًا. هذه المخاطر تكلفنا ستين ألف يورو سنويًا في المتوسط.
ALE تُمكّن تحليل التكلفة والعائد. الضابط يكلف 20 ألف يورو، يقلل ALE بمقدار 40 ألف يورو؟ نفذ. الضابط يكلف 100 ألف يورو، يقلل ALE بمقدار 10 آلاف يورو؟ ربما لا يستحق ذلك.
3. ⚖️ قيّم
فوق قبول المخاطر؟ يتطلب المعالجة؟
نتيجة المخاطرة: الاحتمالية × التأثير × 100. حرجة (400-600): إجراء فوري للرئيس التنفيذي. عالية (200-399): مراجعة أسبوعية. متوسطة (100-199): تقييم شهري. منخفضة (50-99): مراقبة ربع سنوية.
قبول المخاطر: كم من المخاطر سنتحمل؟ مخاطر حرجة: عدم التسامح. مخاطر عالية: تسامح منخفض. مخاطر متوسطة: تسامح معتدل مع ضوابط. مخاطر منخفضة: مقبولة مع المراقبة.
قبول المخاطر ليس "كم من الألم يمكننا تحمله" — بل "كم من عدم اليقين يمكننا إدارته مع تحقيق الأهداف." اعرف الفرق.
4. 🛡️ عالج
تجنب، خفف، انقل، اقبل، أو استغل؟
تجنب: قضِ على مصدر المخاطر (لا تخزن بطاقات ائتمان، لا تستخدم برامج معرضة للخطر). مخاطر متبقية صفر.
خفف: قلل الاحتمالية (الترقيع، MFA) أو التأثير (النسخ الاحتياطية، التأمين). الاستراتيجية الأكثر شيوعًا.
انقل: انقل العواقب المالية (التأمين، الاستعانة بمصادر خارجية، العقود). تبقى المخاطر لكن التكلفة تنتقل.
اقبل: اعترف عن علم مع تبرير موثق وتوقيع تنفيذي. ليس جهلاً — قرار مُطلع.
استغل (الخيار الخامس): خذ مخاطر محسوبة للحصول على ميزة استراتيجية (التوقيت التنافسي، الابتكار). نادر لكن قوي.
خمس استراتيجيات معالجة. خمسة أركان لخماسي إدارة المخاطر. قانون الخمسة يضرب مرة أخرى. FNORD.
5. 📈 راقب
هل تتغير المخاطر؟ هل تعمل الضوابط؟ ما الجديد؟
المراقبة المستمرة: مؤشرات المخاطر تُتتبع في الوقت الفعلي. تغذيات استخبارات التهديدات الآلية. مراجعة المقاييس الأمنية الأسبوعية.
المراجعات الربع سنوية: إعادة تقييم رسمية للمخاطر كل 3 أشهر. تحديث الاحتمالية/التأثير بناءً على بيانات جديدة. التحقق من فعالية المعالجة.
أحداث التنشيط: ثغرات جديدة (CVEs، zero-days)، استخبارات التهديدات (الاستغلال النشط)، التغيرات البيئية (عمليات العمل الجديدة)، فشل الضوابط (الحوادث).
الدورة لا تنتهي أبدًا. المخاطر ليست مشروعًا بموعد نهائي — إنها عملية بدون استنتاج. احتضن العودة الأبدية.