وبناء عليه فان مرحلة تحديد المخاطر
الأمنية ومرحلة تحليل المخاطر تعتبران من مراحل خطوة تقييم المخاطر الأمنية والتي
يتم البدء في تنفيذها حال الحصول على المعلومات اللازمة والمطلوبة من خطوة تأسيس
سياق العمل حيث يتم التعرف على الأهداف الأمنية العامة وجمع المعلومات والبيانات
الأمنية اللازمة.
تحديد المخاطر الأمنية
يتم في هذه المرحلة دراسة كافة
البيانات الأمنية وتحديد نقاط الضعف ونقاط القوة الموجودة فيها مع تبيان مصادر
التهديد والأسباب الكامنة والنتائج المحتملة والأشخاص والجهات المتأثرة بهذه
النتائج. ويتوفر عدد من الأسئلة يتم طرحا في هذه المرحلة تساعدنا على تحديد
المخاطر الأمنية وهي:
- ماذا يمكن
أن يحدث؟
- ما هي
النتيجة المحتملة وتأثير المخاطر؟
- متى يمكن
أن يحدث؟
- أين يمكن
أن يحدث وكيف؟
- لماذا
يمكن أن يحدث؟ (الأسباب، العوامل الكامنة، نقاط الضعف).
- من يمكن
أن يشارك أو يتأثر؟
بعد
ان يتم تحديد التهديدات الموثوقة التأكد منها (حالة اليقين التام)، يتم إجراء
تقييم لنقاط الضعف وتقييم قابلية التأثر والسمات المادية أو السمات التشغيلية التي
قد تجعل كيانًا أو أصلًا أو نظامًا أو شبكة أو منطقة جغرافية معرضة للمخاطر التي
تم تحديدها، ومن ثم اجراء عملية مقارنة للإجراءات الامنية المضادة الحالية – حال
توفرها – او استحداث إجراءات امنية مضادة SOP،
لبيان التالي:
- تحديد
ما إذا كانت هناك قصور في الخطة التنفيذية.
- مدى
المناسبة والملائمة للواقع الامني
- التأكد
فيما إذا كانت التدابير الامنية المضادة تحقق او تعادل نقاط الضعف والثغرات
الأمنية.
ومن اهم مخرجات هذه المرحلة إنشاء قائمة
واضحة وشاملة ومختصرة بمصادر
المخاطر المحتملة والتهديدات التي قد تؤثر على امن وعمليات اي منشأة كما
هو مبين بالشكل التالي:
|
#
|
الخطر
|
مصدر
الخطر
|
تأثير
الخطر
|
الأشخاص
والأماكن المعرضة للخطر
|
|
1
|
نشوب حرائق
|
داخلي / استراتيجي
داخلي / عملياتي
|
خسائر بشرية – خسائر في الممتلكات – توقف عن العمل
|
المنشاة بشكل كامل
|
تحليل المخاطر الأمنية
هو الأسلوب
المنهجي المستخدم للتعامل مع المعلومات المتاحة والمتوفرة سواء كانت معلومات
أساسية او معلومات ثانوية ومهما اختلف مصادر هذه المعلومات، حيث يتم اجراء دراسة
شاملة لكافة المعلومات المتوفرة لتحديد سبب حدوث المخاطر الامنية وكيفية تخفيف
آثارها وأخطارها.
ومن اهم
مخرجات هذه المرحلة إنشاء قائمة في أولويات المخاطر بالنسبة للمنظمة مع المعرفة
الدقيقة لتأثير تلك المخاطر بالإضافة الى توفير فهم أفضل لمدى تعرض الأصول الحرجة
للمخاطر المحددة. اضغط هنا
طرق وأساليب
التحليل الامني
يوجد ثلاث طرق يتم استخدامها في تحليل المخاطر بشكل عام
وهي الطرق النوعية - الطرق الكمية - شبه الكمية اما فيما يخص المخاطر الأمنية فيتم
استخدام نفس الطرق بالإضافة الى التحليل الميداني وكما يلي:
1.
التحليل النوعي. ويعتد هذا النوع من التحليل على
الخبرات السابقة ويتم اللجوء الى استخدام هذا النوع في حالات المخاطر المنخفضة او
في حالات عدم توفر الموارد والمعلومات اللازمة وعدم توفر الوقت اللازمة لإجراء
تحليل كامل ومن أوجه هذا النوع:
أ.
العصف الذهني
ب. الخبرات
الأمنية السابقة
2.
التحليل الكمي. هي عملية تحليل رقمي او عددي
للمخاطر الأمنية التي يمكن ان نتعرض لها وتبين مدى التأثير على تحقيق الأهداف
وتهدف هذه العملية الى تحليل المعلومات والبيانات عن المخاطر مما يقلل حالة عدم
اليقين ويدعم اتخاذ القرار بشأن المخاطر.
3. التحليل
الأمني الميداني. وهذا النوع من التحليل هو شائع الاستخدام من قبل الجهات الأمنية
حيث يتم اللجوء اليه في كثير من الأحيان لتحليل أوضاع امنية طارئ وفهم مجريات أي
حادث ومن ثم اتخاذ القرار في الاجراء المضاد وهو أسلوب يتسم بالسرعة نظرا لحساسية
المواقف الأمنية والتي قد ينتج عنها مخاطر وخسائر كبيرة في حال التأخر في التعامل
مع مثل هذه الحالات من الأمثلة على ذلك استخدام تكتيك امني يعرف باسم (I-U-D-A).
أهداف تحليل المخاطر الامنية.
تهدف مرحلة تحليل
المخاطر الأمنية بشكل عام الى فهم عام وشامل للمخاطر الأمنية التي قد يتعرض لها
الأشخاص والمنشآت وذلك من خلال
1. تحديد الاحتمالية
ومدى التأثير للمخاطر الأمنية.
2. تحديد فعالية الإجراءات
الوقائية والرقابية سواء كانت الاجراءات الحالية كافية أو فعالة في إدارة المخاطر المحددة.
3. تحديد أولويات المخاطر.
تقدير وتقييم المخاطر الأمنية
هي عملية تقييم المخاطر
الامنية التي قد يتعرض لها الافراد والأصول والممتلكات او المنشاة بشكل عام من
خلال قياس وزن ومستوى الخطر واجراء فحص لجميع جوانب العمل مع الاخذ في الاعتبار ما
يمكن أن يحدث التهديد او وقوع خسائر نتيجة معين كما وان طبيعة عمل المنشاة ومعرفة
مقدار تحملها للمخاطر يسهم في عملية التقييم
ان مرحلة تقييم الخطر تتضمن
اتخاذ القرارات بناءً على نتائج تحليل المخاطر حول ما إذا كانت المخاطر مقبولة أو غير
مقبولة حيث يتم التعامل معها في الخطوات اللاحقة (معالجة المخاطر الأمنية) بناء
على ذلك وكما يلي:
- مقبول. مع التحكم الحالي
أو الإجراءات الاضافية (تم تحديد المخاطر على أنها مقبولة بدون مزيد من الاجراءات،
ولا تزال بحاجة إلى التوثيق والمراقبة والمراجعة الدورية للتأكد من أن تبقى ضمن
الحد المقبول).
- غير مقبول. بحاجة إلى مزيد
من العلاج (يتم النظر في معايير تحديد الاحتمال).
مصفوفة المخاطر الامنية
تعرف باسم مصفوفة
المخاطر (Action Table or
Heat Map) وهي عملية تقدير مستوى الخطورة (قيمة الخطر) للخطر المحدد وتعتمد
على شدة الخطر (Impact) من ناحية،
واحتمالية حدوثه (likelihood) من ناحية
اخرى، بحيث تهدف الى تحويل الخطر الى كمية رقمية لتحديد الية ومعايير واولويات
التعامل معه.
يتم تقسيم المخاطر حسب
قيمتها الى (شديد الخطورة – عالية الخطورة – متوسطة الخطورة – منخفضة الخطورة)
والمصفوفة الخماسية (5*5) الاكثر استخداما لتحديد قيمة الخطر، حيث انها مقسمة الى
خمسة صفوف وتمثل قيمة الاحتمالية لحدوث اي خطر (1-5)، وخمسة اعمدة وتمثل قيمة شدة
الخطر (1-5) وتمثل نقطة التقاء الصف بالعمود حاصل ضرب القيمتين هي قيمة ومستوى
الخطر.
قيمة (مستوى
الخطر) = احتمالية الحدوث X شدة الخطر
وتتم هذه العملية من
خلال مجموعة أسئلة يتم طرحها والاجابة على هذه الأسئلة تساعد في تحديد القيمة الوزنية
لكل خطر على حدا وتقسم هذه الأسئلة الى قسمين، واحد يحدد وزن ومستوى الاحتمالية والأخر
يحدد وزن الأثر وهي كما يلي:
أسئلة تقييم
الاحتمالية
1. ما هو تاريخ اخر تهديد قد حصل؟
2. كيفية وقوع التهديد؟
3.
أسلوب المعتدي؟
4.
القدرة الأمنية المتوفرة للتعامل مع حالات الاعتداء؟
أسئلة
تقييم التأثير
1. هل
التأثير يقع على الأشخاص؟
2. هل التأثير يقع على الأصول
والممتلكات؟
3. هل التأثير يقع على سير العمل
(العمليات التشغيلية)؟
4. هل التأثير يقع على سمعه المنشاة
كلل؟
قد يختلف التقييم والقيمة الرقمية من شخص الى اخر
بناء على القدرات والخبرات الأمنية المتوفر في كل شخص ولكن الإجابة الدقيقة على هذه
الأسئلة تقرب فيما بين المحللين الأمنيين وتكون التقديرات والتقييم متقارب بشكل
كبير وفوارق لا تكاد تذكر.
تقدير أولويات المخاطر
بعد الانتهاء من عملية
تقييم المخاطر الأمنية يتم أراد جميع المخاطر في سجل يسمى (سجل المخاطر) ويحدد
فيهه أولويات التعامل مع المخاطر الأمنية وذلك بناء على:
- القبول أو عدم القبول لكل
احتمال لوقوع الخطر.
- ترتيب أولويات المخاطر
غير المقبولة.
عوامل تأثر في تقدير
اولويات المخاطر.
- الوقت.
- التكاليف.
- امان الأشخاص.
- شكاوى المستفيدين داخل
المنشاة.
- عوامل أخرى ذات قيمة.
جدول تقدير
أولويات المخاطر غير المقبولة
|
مستوى التأثير
|
مستوى الاستجابة
للمخاطر الامنية
|
|
شديد الخطورة
|
اهتمام بالغ من قبل
الإدارة
|
يجب إدارة الخطر ومراقبته ومعالجته بشكل سريع
|
التدخل السريع مع إعلان حالة الطوارئ
|
|
عالي
|
تقبل الخطر مع متابعته
|
تقبل الخطر مع تدخل الإدارة
|
وجوب تدخل الإدارة العليا
|
|
متوسط
|
تقبل الخطر مع متابعته
|
تقبل الخطر مع متابعته
|
إدارة ومراقبة المخاطر
|
معالجة المخاطر الامنية
ان معالجة المخاطر
الأمنية او التعامل معها يقصد به إنشاء خطط امنية لمواجهة المخاطر الامنية وتنفيذها
لاحتواء أو تقليل مستوى المخاطر الأمنية التي تم تحديدها والتعرف عليها بما يضمن
امن وسلامة الأشخاص والممتلكات ومنع أي اعمال من شانها الاخلال بالأمن او الحاق الضرر
بالممتلكات.
كما وان التعامل مع المخاطر
هي ترجمة عملية للخطوات السابقة من تحديد وتحليل وتقييم المخاطر من خلال تطبيق الخطط
والتدابير الأمنية المضادة وتشكل المعلومات المتوفرة اساساً للتعامل مع المخاطر
الأمنية:
- سجل المخاطر وترتيب
أولويات التعامل مع المخاطر.
- الخطط الحالية
والقدرات الأمنية المتوفرة.
- الميزانية المتوفرة.
دائما ما تكون أساليب
معالجة المخاطر الأمنية وطرق المراقبة الجيدة ترمي الى التقليل من احتمالية التعرض
للتهديد وتخفيف مدى تأثير هذه المخاطر التي تم الاعتراف بوجودها وذلك وفقا للإطار
العام والاهداف الأمنية الاستراتيجية الرئيسية لاي منشاة وابقاءها ضمن الحد
المقبول (Tolerance level) الخاص
بالمنشاة، ويجب الاخذ بعين الاعتبار التكاليف المالية المترتبة على تبني أي نهج او
أساليب في معالجة المخاطر الأمنية ومدى قدة هذه المنشاة على تحمل التبعات المادية
في معالجة ومواجهة المخاطر الأمنية.
كما ويجب ان تتحلى
الإجراءات الأمنية المتخذة لمعالجة المخاطر الأمنية بالمرونة في التنفيذ والاندماج
مع الخطط الأمنية الحالية لتحقيق الأهداف الأمنية المرجوة من قبل إدارة المنشآت،
بحيث لا تتعارض من النشاط التجاري الأساسي لهذه المنشأة.
طرق التعامل مع المخاطر الأمنية
1. تجنب الخطر
تعتبر هذه الطريقة من
الطرق الأكثر مباشرة للتعامل مع المخاطر الأمنية وببساطة هو الازالة التامة لاي
فرصة للتهديد او المخاطر من التسبب في وقوع أي إصابات او خسائر او أي مخاطر امنية أخرى،
ويتوفر في هذه الطريقة مرونة في حرية الاختيار بين قبول النشاط المحمل بالمخاطرة،
أو رفضه، واستبداله باختيار آخر.
وفي حال اعتماد هذه
الطريقة ضمن اسس غير مناسبة قد يسبب مضاعفة للخطر، مما قد يسبب التالي:
- اتخاذ قرار تجنب الخطر
بغض النظر عن الظروف.
- الفشل الكامل في علاج
الخطر.
- ترك اتخاذ القرارات
الحاسمة للآخرين.
- اختيار حلول مخاطرها
قليلة بغضّ النظر عن فوائدها.
2. تخفيف او فصل الخطر
تهدف هذه
الطريقة او النهج إما لتخفيف احتمالات حدوث الخطر أو تخفيف النتائج ومدى التأثير
ويفضل دائما التركيز على تخفيف وتقليل الاحتمالات كونه يتم التركيز فيها على
مسببات المخاطر، ويمكن تنفيذ ذلك من خلال:
- برامج رقابية وتدقيق.
- إجراءات وقائية.
- مراقبة وضوابط مستمرة.
- برامج ذات كفاءة عالية
في مجال التوظيف والتدريب.
- برامج ضبط الجودة.
كما وتعد ممارسة فعالة
للغاية في حفظ أصول المنشآت والنظر في أفضل طريقة للتعافي السريع من فقدان
البيانات والأصول. (لا تضع كل البيض في نفس السلة).
3. نقل الخطر
ضمن هذا
الخيار، يتم نقل الخطر إلى شخص أو مجموعة أخرى بإمكانها تطبيق أفضل الأساليب
الفعالة للسيطرة على المخاطر الامنية، بحيث تضمن تحقيق مبادئ الامن والسلامة لكافة
الأطراف المتأثرة، ومن الأمثلة على ذلك اللجوء إلى شركة تأمين للمشاركة في
(مسؤولية) الخطر بحيث إذا حصل الخطر، تشترك جهات أخرى في تحمل الخسائر الناتجة عن
ذلك الحدث او نقل مسؤولية حماية وتامين المنشاة الى شركات مزودة بالخدمة الامنية.
4. الحد من الخطر
يتضمن الحد من المخاطر
الامنية بشكل أساسي أي تدابير أمنية أو إجراءات أخرى من شأنها أن تقلل من المخاطر،
والتدابير الأمنية، وإنفاذ السياسة، توعية الموظفين، وتقليل احتمالية وشدة الخسارة
المحتملة (انظمة الأمان، وأجهزة الإنذار) وفي هذه المنهجية يتم التركيز على تخفيف
مدى التأثير أكثر من الاحتمالية.
5. قبول المخاطر
(الاحتفاظ).
بعد تنفيذ جميع مناهج وطرق التعامل مع المخاطر
الامنية، ستبقى بعض المخاطر كونه لا يمكن إزالة الخطر بشكل كامل 100%، وهذا يعني
قبول المخاطر المحددة المتبقية ولن يتم اتخاذ أي إجراء كونه تم الاعتراف بها
وقبولها إضافة الى ان أي اجراء أمنى إضافي لا يغير او يحدث تغيير جوهري في النتائج
وتكاليف الإجراءات الإضافية تكون أكبر من النتائج المرجوة او نتائج السيطرة على
هذه المخاطر.
كما وان المخاطر التي لا
يمكنك عمل الكثير بشأنها، أو التي احتمالات حدوثها منخفضة جداً، فهي مرشحة جيدة
عادةً ليتم تقبلها
تعليقات
إرسال تعليق