فناوری اطلاعات یا آی تی تمام جنبه های زندگی را تحت تاثیر قرار داده است و از این رو اقتصاد جهانی، بیش از پیش به توجهات ویژه به مدیریت ریسک بدلیل توسعه اینترنت در سازمانها و سیستم های آی تی نیازمند گردیده است.
مدیریت ریسک شناسایی، ارزیابی و اولویت بندی خطراتی است که یک بیزینس را تحت تاثیر خود قرار می دهد و در قسمت فناوری اطلاعات هر نوع خطر بالقوه ای محسوب می شود که باعث از دست دادن دیتا و اطلاعات شده و کل بیزینس را تحت تاثیر قرار می دهد.استفاده از استانداردهای مرتبط و کنترل کننده های قوی می تواند روند ارزیابی خطر را تحت الشعاع قرار دهد.
تیم های مدیریتی در انترپرایزها و بیزینس های عمده بدون اینترنت و دیتاهای ذخیره شده روی سرورها، قابل تصور نیستند و حفظ، حمایت و پشتیبانی از اطلاعات جمع آوری شده برای کسب سود بیشتر واحدها از اولویتهای کاری مدیران ارشد است. جستجو برای یافتن آسیب هایی که منجر به ضرر در بیزینس شده و شبیه سازی مشکلات آینده و تصمیم سازی قبل از وقوع از جمله فاکتورهایی است که مدیریت ریسک آنرا به مدیران ارشد امنیت اطلاعات در سازمان (CISO’s) و مدیران اجرایی سازمان(CIO’s) یاد می دهد.
غیر از این دو پست سازمانی کارمندان رگولاتوری و تنظیم کننده قوانین داخلی و ممیزان داخلی و خارجی بهمراه صاحبان سهام می توانند در فرایند توسعه امنیت با استفاده از مدیریت بر ریسکهایی که فناوری اطلاعات سازمان را به مخاطره می اندازد، مشارکت داشته باشند.
بسته به حجم سازمان و میزان مبادلات مالی و میزان استفاده از اینترنت و فناوری های رایانه ای مدیریت ریسک می تواند شدت و حدت خاص خود را داشته باشد اما نقطه اشتراک آنها دانستن این نکته است که دنبال چه چیزی از این نوع مدیریت هستند و چگونه و از کجا باید شروع نمایند.
در سازمانهای مبتنی بر آی تی دو نوع مدیریت اطلاعات یا CIO داریم: مدیریت زیرساختها و فرا ساختارهای سازمانی و مدیریت استراتژیک و متفکران استراتژیست که دومی در زمینه مدیریت ریسک موفقتر اقدام می کند چرا که ملموس تر با مقوله بیزینس درگیر است. مثلا به جای صحبت از “تهدید در نقطه صفر روزانه” به پتانسیل از دست دادن بیزینس به عنوان موضوعی حادثه خیز بها می دهند و یا به جای صحبت از عملیات جاری روزانه به از دست دادن مشتریان یا کاربران در آینده بیشتر توجه می کنند. از دست دادن خلاقیت در کارمندان با هدف به اشتراک گذاری اطلاعاتشان نیز برای مدیریت ریسک مهمتر از بحث روی کنترل ها و استانداردهای آی تی خودنمایی می کند.
بنابراین استفاده از زبانی مشترک و قابل فهم برای تضمین کسب سود در بیزینس جزء اولین گام های اساسی است که مدیریت ریسک بر می دارد. محاسبه گری برای میزان ریسک از بالا به متوسط و کم از گام های بعدی است تا به سهامداران این اطمینان را بدهد که با سناریو سازی های مجازی می توان میزان خطرات از دست دادن اطلاعات را فهمید. نوع پیشنهاداتی که مدیریت ریسک بر اساس آمار منتج می کند در خور توجه بوده و اهداف سطح میانی را دنبال می کند.
جریان رخنه های اطلاعاتی و لو رفتن گزارشات بیزینس های بزرگ به نفع رقبا از دیگر عناوین بزرگی است که مدیریت ریسک با آن دست و پنجه نرم می کند .افراد مسوول در نگهداری از فایلهای پشتیبان و کارمندانی که لپ تاپ های حاوی اطلاعات ذی قیمت سازمانی را روی صندلی ماشینشان رها کرده و یا مسوول انتشار فایلهای حیاتی سازمان همگی از جمله افراد درگیر با مقوله امنیت اطلاعات هستند.
مدیریت ریسک فناوری اطلاعات کاملا فناوری محور بوده و با نرم افزار و سخت افزار و اطلاعات و دیتا سر و کار دارد اما سر و کارش لزوما با افراد کاملا فنی نیست. چرا که ممیزین، رهبران بیزینس،گروه های حقوقی نیز در این راستا با مدیریت خطر روبرو شده و به نوعی پاسخگو می شوند. بنابراین ارتباط تنگاتنگی بین آی تی و غیر آی تی در این حوزه به چشم می خورد. شناسایی هدف پروژه نیز از دیگر گامهای عملی برای مدیریت صحیح ریسک در فناوری اطلاعات به شمار می رود.
در بخش متدهای ریسک باید از شناسایی، کارکترسازی،و ارزیابی تهدید نام برد. سپس میزان دقیق تهدیدات ملموس و واقعی برآورد شده و سپس ریسک تعریف و تبیین می گردد. در نهایت راههای کاهش خطر و ریسک مطرح می شود.هدف اصلی توسعه ادامه دار و تقویت ادامه دار امنیت اطلاعات در حوزه فناوری اطلاعات بر اساس مدیریت ریسک است.
بهر حال مدیریت ریسک در فناوری اطلاعات مقوله ای امنیتی است که به تبع اطلاعات سازمانی و حجم دیتای انتقالی اهمیت می یابد.