مولفه های ریسک بخش دوم

دو مولفه باقی مانده ریسک یعنی احتمال وقوع تهدید (Threat Likelihood) و شدت اثر یا پیامد تهدید(Threat Impact) مولفه هایی وزن دار و مبتنی بر تحلیل هستند و لازم است تا توسط افراد خبره و چیره دست در لایه های مدیریتی و فنی سازمان و دریک طی یک فرآیند تصمیم گیری مبتنی بر کارگروهی و خرد جمعی تخمین زده شده و برآورد گردند.

Threat Likelihood : برآیند سه احتمال است : 1- احتمال آنکه یک تهدید مشخص رخ دهد . این احتمال به طور معمول با در نظر گرفتن یک بازه زمانی معین برای مثال سالانه و به صورت درصد احتمال و یا بسامد رخ دادن تهدید بیان می شود.2- احتمال آنکه تهدید رخ داده بتواند از یک یا چند آسیب پذیری موجود بهره کشی و سوء استفاده کند. 3- احتمال آنکه پیامد یا پیامدهای یک تهدید محقق گردد.  

به عنوان یک مثال ساده می توان به تهدید قطع برق شهری که انرژی الکتریکی مورد نیاز سرور x (دارایی) را تامین می کند اشاره کرد ، بر اساس اطلاعات ارائه شده توسط شرکت برق منطقه ای احتمال رخ دادن این تهدید 25 درصد و یا 4 بار در سال است . حال به فرض آنکه آسیب پذیری موجود ، عدم بهره گیری سازمان از منبع برق وقفه ناپذیر (UPS) باشد ، احتمال سوء استفاده و بهره برداری تهدید یاد شده از این ضعف ، قطعی (100 درصد) است. اما چنانچه سازمان برای سرور مورد نظر ups پیش بینی کرده باشد احتمال خاموش شدن سرور به بودن یا نبودن آسیب پذیری ها و شرایط تسهیل کننده دیگری چون : میانگین زمان قطع برق شهری در هر قطعی ، انتخاب نامناسب زمان برق دهی (Ups Backup Time) یعنی مدت زمانی که ups می تواند جریان الکتریکی مورد نیازسرور را از باطری ها تامین کند و پیش بینی نشدن ژنراتورهای تامین برق اضطراری بستگی خواهد داشت . حال با فرض آنکه تهدید گفته شده یعنی قطع برق و خاموش شدن سرور یاد شده محقق گردد ، ممکن است پیامدهایی چون ازدست رفتن داده ها ، خرابی نرم افزار و سرویس های در حال اجرا ، خرابی سخت افزار و یا ایجاد وقفه در دسترسی کاربران به سرویسهای مورد نیاز را برای سازمان به همراه داشته باشد. اما احتمال محقق شدن تمامی و یا برخی از این خسارت ها به شرایط بسیاری چون پیش بینی یا عدم پیش بینی افزونگی (Redundancy) و مقاومت در برابر خرابی (Failover) سخت افزار و نرم افزار ، وجود یا عدم وجود خط مشی پشتیبان گیری از اطلاعات ، مقدار در نظر گرفته شده برای دو سنجه بسیار مهم (Recovery point objective RPO) و( Recovery Time Objective RTO) در طرح بازیافت پس از فاجعه (Disaster Recovery ) سازمان که اولی بیشینه حجم داده ای که سازمان پذیرش از دست دادن آنها را دارد و دومی بیشینه زمان مورد نیاز برای بازیافت داده های از دست رفته را نشان می دهد و ... بستگی خواهد داشت. از این رو آنچه که در ابتدا بسیار ساده و سرراست می نمایاند ممکن است در عمل پیچیدگی های بسیار داشته باشد و توان و زمان زیادی برای برآورد و تخمین آن مورد نیاز باشد.

شدت اثر یا پیامد تهدید (Threat Impact) : میزان زیان وارد شده یا خسارت به بار آمده ، که انتظار می رود با محقق شدن یک تهدید و مخدوش شدن مولفه های بنیادین امنیت اطلاعات یعنی : محرمانگی ، دسترس پذیری و صحت و یکپارچگی داده ها و در نتیجه : افشاء ، تخریب ، تغییر و ازدست رفتن داده ها متوجه سازمان و افراد گردد.

بسته به ماهیت کسب و کار و روش ارزیابی و برآوردی که سازمان در تعیین شدت اثر یک تهدید برمی گزیند و می تواند شامل برآورد عددی یا کمی (Quantitative) و برآورد کیفی (Qualitative) شدت ریسک باشد ، میزان زیان و خسارت به بار آمده ممکن است با واحد های پولی رایج ملی و بین المللی برای مثال ریال یا دلار بیان گردد و یا با واژه هایی چون کم (Low) ، زیاد (High) ، متوسط (Moderate) ، خیلی کم (Very Low) و ... توصیف شود.