في مجال إدارة المخاطر، من المهم جدًا فهم الفرق بين المخاطر الجوهرية (Inherent Risk) والمخاطر المتبقية (Residual Risk) من أجل تطوير استراتيجيات السيطرة.
على الرغم من أن كلا المصطلحين يتعلقان بمستويات معينة من المخاطر، إلا أنهما يشيران إلى جوانب مختلفة من عمليات إدارة المخاطر. فـ المخاطر الجوهرية هي مستوى التهديد الذي يوجد عند عدم تطبيق أي ضوابط.
من ناحية أخرى، فإن المخاطر المتبقية هي تلك التي تبقى بعد تطبيق الضوابط وإجراءات التخفيف. ويساعد المقارنة بين المخاطر الجوهرية والمتبقية المؤسسات في اتخاذ القرارات، وتخصيص الموارد، وتعزيز مرونتها التشغيلية بشكل عام.
ما هي المخاطر الجوهرية؟
المخاطر الجوهرية هي المخاطر التي توجد عند غياب أي ضوابط داخلية لمعالجتها. ويمكن تخيلها كحالة كان بالإمكان منعها لو تم تطبيق الضوابط الأمنية الصحيحة. وفي حال غيابها، قد تتحول إلى مشكلة كبيرة. يمكن الوقاية من المخاطر الجوهرية عبر ضوابط المخاطر؛ فهي جزء أساسي من تحليل المخاطر. فهذه المقاربة تعطي قيمة أكبر للوقاية من المخاطر بدلاً من قبول تلك التي لا مفر منها.
ما هي المخاطر المتبقية؟
مهما اتخذت شركتك من خطوات، لا يمكن القضاء تمامًا على المخاطر المتبقية. هذه هي الأخطار التي ستستمر رغم الإجراءات المطبقة. وعلى الرغم من أنك لا تستطيع تجنب المخاطر المتبقية تمامًا، إلا أنه يمكنك خفض مستوى خطورتها. وهذا يبرز الحاجة للتفكير في وسائل خفض مستوى المخاطر الحالية حتى وإن لم تستطع التخلص تمامًا من هذه الأخطار المتبقية.
ما الفرق بين المخاطر الجوهرية والمخاطر المتبقية؟
غالبًا ما تتعرض المؤسسات لهجمات رغم وجود الضوابط، وقد تنجح بعض الهجمات في تجاوز شبكة الأمن السيبراني الموضوعة. تخيل مهاجمًا يكتشف ثغرة رغم تحديث الأنظمة المستمر، أو موظفًا يقع ضحية لهجوم هندسة اجتماعية رغم تدريبه على كشف رسائل البريد المشبوهة. في أمن المعلومات، هذا هو الفرق بين المخاطر الجوهرية والمتبقية.
وبصورة أخرى، قد تكون قد أقمت سياجًا لحماية بياناتك وشبكاتك من المخاطر؛ ورغم أن هذا السياج يصد معظم الأخطار، فقد يتسلل بعضها. فذلك الخطر المتسلل، رغم جهود فريقك، هو الخطر المتبقي.
مع الإشارة إلى أن هذه التفسيرات قد تصبح ضبابية قليلًا. فمعظم الشركات اليوم لا تعمل دون أي ضوابط أمنية. لذلك يُعرف بعضهم المخاطر الجوهرية بأنها "مستوى المخاطر الحالي في ظل مجموعة الضوابط القائمة." وفي هذا السياق الواقعي، تمثل المخاطر المتبقية تلك المخاطر التي تبقى بعد تطبيق ضوابط إضافية.
كيف تحسب المخاطر الجوهرية والمتبقية؟
تتعامل الشركات اليوم مع طيف واسع من المخاطر، سواء كانت جوهرية أو متبقية. ومع وجود العديد من مصادر المخاطر المحتملة، كيف تحدد أيها يشكل أكبر تهديد؟ والأهم، كيف يمكن للشركات تقليل احتمال وتأثير هذه المخاطر؟
فيما يلي خمس خطوات تساعدك في تحديد وتقليل المخاطر الجوهرية والمتبقية في مؤسستك:
إجراء تقييم للمخاطر
يُجرى تقييم المخاطر لفحص شركتك وعملياتها بعناية لتحديد المشكلات المحتملة التي قد تهددها. ومن خلال تعلم أساليب تقييم المخاطر والتدابير الوقائية المثبتة، تقدم الأكاديمية البريطانية للتدريب والتطوير دورة تقييم المخاطر والتدابير اللازمة.
أحد الأركان الرئيسية لهذا التقييم هو فحص كيفية تخزين بياناتك، ومن له حق الوصول إليها، وكيفية حمايتها. ولا تزال هناك مجموعة واسعة من العوامل الأخرى التي قد تحتاج النظر فيها اعتمادًا على طبيعة شركتك وإجراءاتها.
إنشاء سجل مخاطر
يسرد سجل المخاطر تفاصيل المخاطر الجوهرية والمتبقية التي تواجهها شركتك، مع الإجراءات الموضوعة لمنعها. ومن المثالي أن يتضمن أيضًا معلومات عن احتمال وقوع كل خطر وتأثيره المحتمل، وهو ما يقودنا للخطوة التالية.
دراسة احتمالية وتأثير الأخطار المحتملة
دون التفكير في احتمال الخطر وتأثيره، لا يمكنك تحديد درجة خطورته. فالخطر ذو الاحتمالية العالية أخطر بكثير من الخطر منخفض الاحتمال (إذا بقيت العوامل الأخرى ثابتة). وفي الوقت نفسه، يقيس التأثير الضرر على شركتك في حال تحقق الخطر.
يشمل هذا الخسائر المالية المباشرة، وفقدان الأصول، وآثارًا أخرى مثل تضرر السمعة أو مخالفة الأنظمة. عليك تقييم احتمال ونتائج كل خطر لتحديد شهية شركتك للمخاطر ومستوى المخاطر الحالي. بعدها يمكنك ترتيب المخاطر لمعرفة أيها يشكل التهديد الأكبر.
إعطاء الأولوية للمخاطر
بعد تقييم احتمال وتأثير كل خطر، يمكنك إعطاء الأولوية بناءً عليهما. تُمنح المخاطر ذات الاحتمال العالي أو الأثر الكبير أولوية قصوى. بينما لا تحتاج المخاطر منخفضة الاحتمال أو التأثير إلى معالجة عاجلة.
يجب أن تتمكن شركتك من وضع الضوابط اللازمة للحد من جميع المخاطر التي تحددها. لكن في الواقع، كثيرًا ما يضطر قادة الأعمال لاتخاذ قرارات صعبة حول كيفية توزيع الموارد. فيساعد ترتيب المخاطر وفق الاحتمال والتأثير على تركيز الموارد على أهمها.
تطبيق الضوابط والمراقبة المستمرة
يجب تخفيض أي مخاطر جوهرية مكتشفة باستخدام الضوابط المناسبة، بدءًا من الأعلى أولوية. بحسب المخاطر المستهدفة، قد تشمل هذه الضوابط برامج الأمن السيبراني، التحكم بالوصول حسب الدور، تقييم مخاطر الموردين، وغيرها.
من الضروري الاستمرار في تقييم المخاطر وملف المخاطر الخاص بشركتك، لأن المخاطر غالبًا ما تتغير مع الوقت. ومع توسع أعمالك، قد تظهر مخاطر جديدة، وقد تتراجع المخاطر الحالية مع توفر ضوابط جديدة. ستساعدك التقييمات المنتظمة على مواكبة تطورات المخاطر في شركتك.
لماذا المخاطر الجوهرية مهمة؟
معرفة المخاطر الطبيعية وعواقبها تمكن فرق الأمن من تحديد التدابير الأمنية الأكثر فعالية لمستوى المخاطر الحالي وعناصره في شركتك. فلن تتمكن من تقليل وتجنب التهديدات والعيوب الجديدة بنجاح ما لم يكن لديك فهم قوي للمخاطر الطبيعية التي تواجهها شركتك. وتعد هذه الخطوة الأولى في وضع استراتيجية أمن سيبراني ناجحة.
لماذا المخاطر المتبقية مهمة؟
من منظور الامتثال، من الضروري فهم المخاطر المتبقية؛ إذ تطالب معايير ISO 27001 المؤسسات بمراقبة المخاطر المتبقية، أي سلامة الأصول التي تُعهد بها الجهات الخارجية للشركة لإدارتها. تحتاج الشركات لضوابط أمنية متبقية بالإضافة إلى الضوابط الجوهرية للامتثال للمعايير.
وعلى مستوى أعمق، فإن تركيز فرق الأمن فقط على المخاطر الجوهرية يهمل الصورة الكاملة للمخاطر، مما قد يؤدي لقرارات خاطئة. تدرك فرق الأمن الجيدة أن إقامة سياج لا يعني إزالة كل خطر؛ فهذا مستحيل. سيظل هناك دائمًا بعض الخطر. قد يصطدم المهاجمون بالسياج، أو تمر أشياء صغيرة، أو قد يعبر شيء فوقه.
إن المراقبة المستمرة للمخاطر المتبقية إلى جانب الجوهرية تمكن خبراء الأمن من اكتشاف التهديدات المحتملة بسرعة ودقة أكبر، وفهم كيفية تأثيرها على الأعمال والبيانات. ومعرفة كيف ومتى قد تتجاوز الأخطار ذلك السياج يسمح لفريق الأمن أو مدير الأمن بالاستجابة بثقة.
فهم المخاطر الجوهرية والمتبقية في إدارة مخاطر الأطراف الثالثة
من المصادر الشائعة لكلا النوعين من المخاطر الموردون الخارجيون الذين قد يطلعون على بيانات شركتك الحساسة. فالتعامل مع مزود خدمة دون الإجراءات الصحيحة قد يتركك عرضة للعديد من المخاطر حتى لو كانت تدابير شركتك قوية. لذلك، يصبح برنامج إدارة مخاطر الأطراف الثالثة أداة أساسية لتقليل ملف المخاطر.
ويعد إجراء تقييمات شاملة لمخاطر الموردين من أفضل الطرق لإزالة المخاطر الجوهرية المتعلقة بالموردين. ومع ذلك، تقول 44% من الشركات إن إجراء تقييمات الامتثال للموردين يدويًا هو الجزء الأكثر تحديًا في إدارة مخاطر الأطراف الثالثة. وباستخدام منصتنا المتطورة للامتثال، يمكن للشركات إرسال تقييمات مخاطر الموردين واستبيانات الامتثال تلقائيًا، مما يبسط عملية إدارة الموردين ويساعد على حماية عملك من المخاطر الجديدة.