الكشف والاستجابة والحوكمة
تقييم المخاطر
4 دقيقة للقراءة
مهارات تقييم المخاطر تُظهر التفكير الاستراتيجي في مقابلات الأمن. يغطي هذا الدرس المنهجيات والأطر والتطبيق العملي.
أساسيات المخاطر
معادلة المخاطر
المخاطر = التهديد × الثغرة × التأثير
حيث:
• التهديد: من/ما الذي يمكن أن يستغل الثغرة
• الثغرة: الضعف الذي يمكن استغلاله
• التأثير: العواقب إذا نجح الاستغلال
المخاطر مقابل الثغرة مقابل التهديد
| المفهوم | التعريف | مثال |
|---|---|---|
| التهديد | مصدر محتمل للضرر | جهات دولة، عصابات برامج الفدية |
| الثغرة | ضعف يمكن استغلاله | برامج غير مرقعة، تكوينات خاطئة |
| المخاطر | الاحتمالية × التأثير | حقن SQL في قاعدة بيانات العملاء |
التقييم الكمي مقابل النوعي للمخاطر
التقييم النوعي
| الاحتمالية | التأثير | مستوى المخاطر |
|---|---|---|
| عالي | عالي | حرج |
| عالي | متوسط | عالي |
| متوسط | عالي | عالي |
| متوسط | متوسط | متوسط |
| منخفض | متوسط | منخفض |
| منخفض | منخفض | منخفض |
التقييم الكمي (FAIR)
تحليل عامل مخاطر المعلومات (FAIR):
توقع الخسارة السنوية (ALE) = SLE × ARO
حيث:
• SLE (توقع الخسارة الواحدة) = قيمة الأصل × عامل التعرض
• ARO (معدل الحدوث السنوي) = التكرار المتوقع في السنة
مثال:
• قيمة الأصل: $1,000,000 قاعدة بيانات
• عامل التعرض: 50% (نصف البيانات مكشوفة)
• SLE: $500,000
• ARO: 0.1 (مرة كل 10 سنوات)
• ALE: $50,000/سنة
هذا يبرر إنفاق حتى $50,000/سنة على الضوابط
منهجية تقييم المخاطر
العملية خطوة بخطوة
1. تحديد الأصول
└── ما الذي نحتاج لحمايته؟
└── الجواهر، الأنظمة الحرجة، البيانات
2. تحديد التهديدات
└── من قد يهاجم؟
└── ما هي دوافعهم/قدراتهم؟
3. تقييم الثغرات
└── ما هي نقاط الضعف الموجودة؟
└── تقنية، عملية، بشرية
4. تحليل التأثير
└── ماذا يحدث إذا تم الاختراق؟
└── مالي، سمعة، تشغيلي
5. حساب المخاطر
└── دمج الاحتمالية والتأثير
└── الأولوية حسب مستوى المخاطر
6. توصيات الضوابط
└── ما الذي يمكن أن يقلل المخاطر؟
└── تحليل التكلفة والفائدة
سؤال المقابلة
س: "كيف ستقيّم مخاطر تكامل طرف ثالث جديد؟"
إجابة منظمة:
1. فهم التكامل
• ما البيانات التي سيصلون إليها؟
• ما الأنظمة التي سيتصلون بها؟
• ما الصلاحيات المطلوبة؟
2. تقييم المورد
• هل لديهم SOC 2 Type 2؟
• ما هي وضعيتهم الأمنية؟
• تاريخ الاختراقات؟
3. تقييم المخاطر التقنية
• أمان API (المصادقة، تحديد المعدل)
• تشفير البيانات أثناء النقل وفي الراحة
• تجزئة الشبكة
4. تقييم مخاطر البيانات
• تصنيف بيانات المعلومات المشتركة
• تداعيات الامتثال (GDPR، HIPAA)
• الاحتفاظ بالبيانات والحذف
5. تحديد تأثير العمل
• ماذا لو تم اختراق المورد؟
• ماذا لو فشل التكامل؟
• التبعية واستمرارية العمل
6. التوصية بالضوابط
• وصول أقل الصلاحيات
• المراقبة والتنبيه
• متطلبات الأمان التعاقدية
• استراتيجية الخروج
خيارات معالجة المخاطر
الأربعة T
| الخيار | الوصف | متى تستخدم |
|---|---|---|
| المعالجة | تنفيذ ضوابط لتقليل المخاطر | المخاطر تتجاوز التسامح، الضوابط فعالة التكلفة |
| التسامح | قبول المخاطر | المخاطر ضمن التسامح، الضوابط مكلفة جداً |
| النقل | مشاركة المخاطر مع طرف ثالث | التأمين، الاستعانة بمصادر خارجية |
| الإنهاء | إزالة النشاط المسبب للمخاطر | المخاطر عالية جداً، لا ضوابط فعالة |
اختيار الضوابط
# تحليل التكلفة والفائدة المبسط للضوابط
def evaluate_control(control, risk):
control_cost = control.implementation_cost + control.annual_maintenance
risk_reduction = risk.ale_before - risk.ale_after
roi = (risk_reduction - control_cost) / control_cost * 100
if roi > 0:
return f"موصى به: {roi:.0f}% ROI"
else:
return f"غير موصى به: ROI سلبي"
# مثال
control = Control(
name="تنفيذ WAF",
implementation_cost=50000,
annual_maintenance=20000
)
risk = Risk(
name="حقن SQL",
ale_before=150000, # $150K خسارة سنوية بدون الضابط
ale_after=15000 # $15K مع الضابط (تقليل 90%)
)
# ROI = (135000 - 70000) / 70000 = 92.8%
سجلات المخاطر
الهيكل
risk_register:
- id: RISK-001
name: "هجوم حشو بيانات الاعتماد"
category: "أمان التطبيقات"
description: "المهاجمون يستخدمون بيانات اعتماد مسربة للوصول للحسابات"
assessment:
inherent_likelihood: عالي
inherent_impact: عالي
inherent_risk: حرج
current_controls:
- "تحديد المعدل على نقطة نهاية تسجيل الدخول"
- "قفل الحساب بعد 5 فشل"
residual_assessment:
residual_likelihood: متوسط
residual_impact: عالي
residual_risk: عالي
recommended_controls:
- control: "تنفيذ مصادقة بدون كلمة مرور"
cost: "$100,000"
risk_reduction: "عالي → منخفض"
owner: "هندسة الأمن"
review_date: "2026-03-01"
status: "مفتوح"
التواصل حول المخاطر
العرض للقيادة
صيغة الملخص التنفيذي:
1. أعلى المخاطر (3-5)
• تأثير العمل بالدولار
• الاحتمالية بمصطلحات مفهومة
• ما نفعله حيال ذلك
2. اتجاهات المخاطر
• ما يتحسن
• ما يسوء
• مخاطر جديدة ناشئة
3. طلبات الموارد
• ما نحتاجه
• لماذا نحتاجه
• تقليل المخاطر المتوقع
4. المقاييس الرئيسية
• أعداد الثغرات حسب الشدة
• وقت المعالجة
• حوادث الأمن هذا الربع
سؤال المقابلة
س: "كيف تشرح مخاطر الأمن للمدراء التنفيذيين غير التقنيين؟"
الإجابة:
استخدم لغة الأعمال:
• "المخاطر" وليس "الثغرة"
• "التأثير المالي" وليس "درجة CVE"
• "الاحتمالية" وليس "ناقل الهجوم"
استخدم التشبيهات:
• "هذا مثل ترك المكتب مفتوحاً في الليل"
• "تأمين ضد نوع محدد من السرقة"
حدد كمياً عند الإمكان:
• "اختراق من هذا النوع يكلف شركات مماثلة $X"
• "تقليل هذا الخطر سيكلف $Y سنوياً"
• "ROI 300% على ثلاث سنوات"
قدم خيارات:
• "يمكننا تقليل هذا الخطر بنسبة 80% مقابل $X"
• "أو يمكننا قبول الخطر بهذه الشروط"
الأولوية المستندة للمخاطر
إطار تحديد أولوية الثغرات
درجة الأولوية = (CVSS × حرجية الأصل × قابلية الاستغلال) / الضوابط التعويضية
حيث:
• CVSS: درجة أساسية 0-10
• حرجية الأصل: 1-5 (الجوهرة = 5)
• قابلية الاستغلال: 1-3 (في البرية = 3، PoC = 2، نظري = 1)
• الضوابط التعويضية: 1-3 (قوي = 3، ضعيف = 1)
مثال:
CVE-2024-XXXX على خادم قاعدة بيانات الإنتاج
• CVSS: 9.8
• حرجية الأصل: 5 (يحتوي بيانات العملاء)
• قابلية الاستغلال: 3 (استغلال نشط)
• الضوابط التعويضية: 1 (لا تجزئة شبكة)
الأولوية = (9.8 × 5 × 3) / 1 = 147 → حرج
نصيحة المقابلة: عند مناقشة المخاطر، اربطها دائماً بتأثير العمل. أظهر أنك تفهم أن الأمن موجود لتمكين أهداف العمل، وليس فقط لمنع الأشياء السيئة.
في الوحدة التالية، سنغطي الأسئلة السلوكية والتفاوض على الراتب. :::