Cyber Risks Mitigation Economics PDF

Summary

This document covers the economic aspects of mitigating cyber risks. It details different costs associated with security measures, including purchase price, installation costs, training costs, operational costs, and maintenance costs. It also analyzes different strategies for justifying security measures.

Full Transcript

‫الكلية التطبيقية‬
 ‫‪Cyber Risks Mitigation Economics‬‬

‫اقتصاديات تخفيف المخاطر السيبرانية‬
 ‫المقدمة‬
‫‪Introduction‬‬

‫ وينطوي التخفيف من المخاطر السيبرانية على مجموعة من االستراتيجيات التكنولوجية‬
‫والتنظيمية واالقتصادية‪.‬يعد الجانب االقتصادي لتخفيف المخاطر السيبرانية أمًر ا بالغ األهمية‬
‫ألنه يساعد المؤسسات على تخصيص الموارد بكفاءة واتخاذ قرارات مستنيرة بشأن‬
‫االستثمارات في األمن السيبراني‪.‬‬

‫ ومن خالل دمج هذه االعتبارات االقتصادية في استراتيجية شاملة لألمن السيبراني‪ ،‬يمكن‬
‫للمؤسسات إدارة المخاطر السيبرانية وتخفيفها بشكل فعال مع تحسين تخصيص الموارد‬
‫واالستثمارات المالية‪.‬‬

‫ تشتمل تكلفة الحماية او التخفيف من المخاطر السيبرانية على عدة مكونات‪:‬‬

‫ سعر الشراء‪ ،‬رسوم التثبيت‪ ،‬تكاليف التدريب‪ ،‬التكاليف التشغيلية‪ ،‬تكاليف الصيانة‪.‬‬
 ‫تكاليف‬
‫الحماية ‪:‬‬
‫‪safeguard‬‬ ‫‪costs‬‬

‫ وصف كل من تكاليف الحماية ‪:‬‬

‫ سعر الشراء ‪ :‬العديد من وسائل الحماية القائمة على التكنولوجيا هي مكونات إضافية‬
‫للنظام يجب شراؤها‪.‬سعر الشراء هو ببساطة تكلفة شراء مكون الحماية من البائع‪.‬‬

‫ رسوم التثبيت ‪ :‬العديد من الضمانات(وسائل الحماية ) لها تكلفة مرتبطة بها تثبيت أو تنفيذ‬
‫الضمانة‪.‬تكلفة التثبيت هي تكلفة دمج الحماية في نظام معلومات المنظمة‪.‬‬

‫ تكاليف التدريب ‪ :‬سيتطلب تنفيذ وتشغيل العديد من اإلجراءات الوقائية أن يتلقى موظفو‬
‫المنظمة تدريًبا على اإلجراءات الوقائية‪.‬وتكاليف التدريب هي التكلفة المرتبطة بتدريب‬
‫الموظفين المتأثرين بشكل صحيح على اإلجراءات الوقائية األمنية‪.‬‬
 ‫تكاليف‬
‫الحماية ‪:‬‬
‫‪safeguard‬‬ ‫‪costs‬‬

‫ التكاليف التشغيلية ‪ :‬جميع الضمانات لها بعض التكاليف التشغيلية‬
‫المرتبطة بها‪.‬التكلفة التشغيلية هي التكلفة اليومية لضمان عمل الحماية‬
‫على النحو المنشود‪.‬‬

‫ تكاليف الصيانة ‪ :‬العديد من الضمانات لها تكلفة مرتبطة بالحفاظ على‬
‫الضمانة‪.‬يمكن أن يكون ذلك في شكل عقد تحديث‪/‬صيانة للبرنامج أو تكلفة‬
‫الصيانة السنوية‪.‬تكلفة الصيانة هي التكلفة السنوية للحفاظ على الحماية‬
‫في حالة عمل جيدة‪.‬‬
 ‫تبرير اختيارات‬
‫الحماية‬
‫‪Justifying Safeguard Selections‬‬

‫ يعود تبرير اإلجراءات الوقائية (الحماية) عادة إلى تحليل التكلفة والعائد‪ ،‬ولكن‬
‫هناك العديد من الضمانات التي ينبغي تنفيذها دون تكلفة تبريرها من خالل تحليل‬
‫التكلفة والعائد‪.‬‬

‫ وتشمل هذه الضمانات‬

‫‪ o‬الضمانات التي يقتضيها القانون‪،‬‬
‫‪ o‬الضمانات ذات التكلفة المنخفضة‬
‫‪ o‬الضمانات ذات التكلفة المتوسطة‪.‬‬
 ‫تبرير اختيارات‬
‫الحماية‬
‫‪Justifying Safeguard Selections‬‬
‫مطلوبة بموجب القانون ‪ :‬العديد من الضمانات الموصى بها هي ببساطة تلك التي تتطلبها اللوائح‪.‬على‬ ‫ ‬
‫سبيل المثال‪ ،‬يتعين على كافة المؤسسات المالية مثل البنوك وشركات التأمين وشركات االستثمار التي تمتلك‬
‫سجالت مالية فردية أن تلتزم بقانون حماية خصوصية المعلومات المالية الشخصية لألفراد‪.‬يتضمن القانون مجموعة‬
‫من القواعد والمتطلبات التي يجب أن تتبعها هذه المؤسسات لضمان حماية البيانات المالية الحساسة لعمالئها‪.‬‬

‫تكلفة منخفضة مع فائدة مادية‪ :‬تتمتع العديد من وسائل الحماية بتكلفة منخفضة جًدا وفائدة واضحة‬ ‫ ‬
‫للوضع األمني للمؤسسة‪.‬وال ينبغي لمثل هذه الضمانات أن تخضع لحسابات دقيقة لتحليل التكاليف والفوائد من أجل‬
‫تبرير تنفيذها‪.‬وينبغي ببساطة قبول هذه الضمانات في ظاهرها وتنفيذها لتحسين حماية أصول المنظمة‪.‬على سبيل‬
‫المثال‪ ،‬فإن تطبيق تصحيحات األمان على الخوادم له تكلفة منخفضة نسبًيا ويوفر بالتأكيد فائدة واضحة للوضع‬
‫األمني للمؤسسة‪.‬‬

‫تكلفة معتدلة مع تخفيضات كبيرة في المخاطر ‪:‬ضمانات أخرى لها تكلفة معتدلة أو معقولة مع‬ ‫ ‬
‫إمكانية تجنب خسارة‪.‬ومرة أخرى‪ ،‬ال ينبغي أن تخضع هذه الضمانات لتحليل التكلفة والعائد‪ ،‬بل يجب قبولها‬
‫كتحسين لبرنامج األمان الخاص بالمنظمة‪.‬على سبيل المثال‪ ،‬تنفيذ برنامج فعال للتوعية األمنية له تكلفة معتدلة‬
‫ولكنه يوفر إمكانية كبيرة لتجنب الخسائر القاتلة من خالل الهندسة االجتماعية‪ ،‬وأخطاء المستخدم‪ ،‬وإساءة استخدام‬
‫النظام‪.‬‬
 ‫تحليل التكلفة‬
‫والعائد‬
‫‪Cost–Benefit Analysis‬‬
‫يعد تحليل التكلفة والعائد طريقة دقيقة لتحديد ومقارنة قيمة وتكلفة الحماية‬ ‫ ‬
‫المقترحة‪.‬ولذلك فإن تحليل التكاليف والفوائد يوفر طريقة كمية لتبرير الضمانات‬
‫المقترحة‪.‬لكن هذه الدقة لها تكلفة ولها عدة مكونات مطلوبة‪:‬‬
‫وحدة القياس المشتركة‬ ‫ ‬
‫تقدير التكاليف‬ ‫ ‬
‫تقدير الفوائد‬ ‫ ‬
‫تكاليف وفوائد الخصم‬ ‫ ‬
‫حساب فائدة التكلفة‬ ‫ ‬
 ‫تحليل التكلفة‬
‫والعائد‬
‫‪Cost–Benefit Analysis‬‬
‫ وحدة القياس المشتركة في تحليل التكلفة والعائد هي مقارنة رياضية للتكاليف والفوائد‬
‫باستخدام وحدة قياس مشتركة‪ ،‬وغالًبا ما ُتعبر في الدوالر‪ُ.‬يعتبر الدوالر كوحدة قياس‬
‫مشتركة‪ ،‬ويجب تحويل كل القيم إلى "دوالرات اليوم"‪.‬يستند هذا المفهوم إلى فكرة أن‬
‫القيمة المالية تختلف باختالف الزمن‪ ،‬حيث يعتبر الحصول على دوالر اليوم أكثر قيمة من‬
‫الحصول على دوالر في المستقبل‪ُ.‬يشار إلى هذا المفهوم بالقيمة الحالية للمال‪.‬‬
‫ تقدير التكاليف ‪ :‬عند إجراء تحليل التكلفة والعائد ألي إجراء وقائي موصى به‪ ،‬يجب مراعاة‬
‫التكاليف الكاملة لإلجراء الوقائية‪.‬وتشمل هذه التكاليف جميع التكاليف على مدى دورة الحياة‬
‫أو العمر اإلنتاجي للضمانة‪ ،‬وتشمل تكاليف االقتناء‪ ،‬وتكاليف التنفيذ‪ ،‬وتكاليف التدريب‪،‬‬
‫والتكاليف التشغيلية‪ ،‬وتكاليف المخاطر المتبقية‪.‬‬
‫ تقدير الفوائد ‪ :‬عند إجراء تحليل التكلفة والعائد ألي إجراء وقائي موصى به‪ ،‬يجب أيًضا‬
‫مراعاة الفوائد الكاملة لإلجراء الوقائية‪.‬وتشمل هذه الفوائد جميع الفوائد على مدى دورة‬
‫الحياة أو العمر اإلنتاجي للضمانة‪ ،‬وال تشمل فقط الحد من تكرار التهديد وتأثيره‪ ،‬ولكن أيًضا‬
‫المكاسب غير األمنية مثل مكاسب اإلنتاجية‪ ،‬وتخفيضات التوظيف‪ ،‬وتحسين الفعالية‬
‫التنظيمية‪.‬‬
 ‫تحليل التكلفة‬
‫والعائد‬
‫‪Cost–Benefit Analysis‬‬
‫ تكاليف وفوائد الخصم ‪ :‬تشير إلى أن التكاليف والفوائد المتوقعة لإلجراءات الوقائية قد ال تحدث على‬
‫الفور‪ ،‬حيث يمكن أن ترتبط بمراحل مختلفة من دورة حياة المشروع‪.‬يتم تحويل هذه التكاليف والفوائد‬
‫المستقبلية إلى قيمة حالية باستخدام تقنية الخصم‪ ،‬حيث يتم احتساب قيمة الدوالر في المستقبل بناًء على‬
‫معدل التضخم أو العائد المتوقع‪.‬‬
‫ حساب فائدة التكلفة ‪ :‬يحتوي المشروع على تدفقات نقدية سلبية (النفقات) وتدفقات نقدية إيجابية‬
‫(اإليرادات)‪.‬يمكن تحقيق هذه التدفقات النقدية في أوقات مختلفة‪.‬ومن أجل مقارنة هذه القيم بشكل عادل‪،‬‬
‫يتم تطبيع جميع التدفقات النقدية إلى "دوالرات اليوم"‬
‫‪ -1‬قياس الفوائد بالدوالر‪:‬‬
‫تحويل الفوائد المحتملة إلى قيم مالية وذلك لتحديد القيمة الحالية للمال (‪ )NPV‬للفوائد على مر الزمن‪.‬‬
‫‪ -2‬حساب فائدة التكلفة‪:‬‬
‫حساب فائدة التكلفة بطرح التكاليف من الفوائد على مر الفترة المحددة‪ ،‬مثل عام واحد أو عدة أعوام‪.‬‬
‫يمكن استخدام معدل العائد الداخلي (‪ IRR(Internal Rate of Return‬لتقييم جاذبية االستثمار‪.‬‬
‫‪ -3‬اتخاذ القرار‪:‬‬
‫استنتاج ما إذا كانت فائدة التكلفة إيجابية أم سلبية‪.‬إذا كانت إيجابية‪ ،‬فإن تنفيذ إجراءات األمان ُيعتبر‬
‫استثماًر ا جيًدا‪ ،‬وإذا كانت سلبية‪ ،‬فإنه قد يكون هناك الحاجة إلى إعادة التقييم أو اتخاذ‬
Transference, Acceptance and Mitigation of
Cyber Risks

‫نقل وقبول وتخفيف المخاطر السيبرانية‬
 ‫المقدمة‬
‫‪Introduction‬‬

‫ تعد معالجة المخاطر األمنية جزًءا أساسًيا من برنامج فعال إلدارة المخاطر األمنية‪.‬‬
‫توفر هذه العملية تفاصيل حول استراتيجيات معالجة المخاطر واختيار وتنفيذ‬
‫التدابير الالزمة لتعديل المخاطر‪.‬الغرض من معالجة المخاطر هو جعل المخاطر‬
‫متوافقة مع تحمل المخاطر المحدد في المنظمة بأقصى قدر ممكن من الفعالية‬
‫من حيث التكلفة‪ ،‬وليس القضاء على المخاطر أو تقليلها بأي ثمن‪.‬‬

‫ خالل مرحلة معالجة المخاطر األمنية‪ ،‬يتم تطوير االستراتيجيات التالية للتعامل مع‬
‫المخاطر األمنية الخارجية والداخلية‪:‬‬
‫‪ ‬نقل المخاطر‬
‫‪ ‬قبول المخاطر‬
‫‪ ‬تخفيف المخاطر‬
 ‫نقل المخاطر‬
‫‪Risk Transfer‬‬

‫ التعريف‪ :‬يشمل نقل المخاطر نقل العبء المالي المحتمل لحادثة سيبرانية مستقبلية إلى‬
‫طرف ثالث‪ ،‬وذلك عادًة من خالل استخدام التأمين أو تفويض بعض الوظائف إلى مقدمي‬
‫خدمات خارجيين‪.‬المثال األكثر شيوًعا لنقل المخاطر هو شراء تأمين أمني‪ ،‬والذي قد يعوض‬
‫أو يحل محل الخسارة في حالة حدوث خسارة‬

‫ التطبيق‪:‬‬
‫‪ ‬يمكن للمؤسسات شراء سياسات تأمين سيبراني لنقل المخاطر المالية المتعلقة بالهجمات السيبرانية‪.‬‬

‫‪ ‬يمكن أن تغطي هذه السياسات تكاليف مثل اختراقات البيانات‪ ،‬والتشويش في األعمال‪ ،‬والمسؤوليات‬
‫القانونية‪.‬‬

‫‪ ‬باإلضافة إلى ذلك‪ ،‬يمكن نقل بعض المسؤوليات األمنية والتشغيلية إلى مقدمي خدمات خارجيين‪.‬‬
 ‫قبول المخاطر‬
‫‪Risk Acceptance‬‬

‫ التعريف‪ :‬يشير قبول المخاطر إلى القرار العمد باالعتراف بالتأثير المحتمل لخطر‬
‫سيبراني دون اتخاذ إجراءات خاصة لتجنبه أو نقله أو تخفيفه‪.‬‬
‫ التطبيق‪:‬‬
‫‪ ‬يعد خيار "عدم اتخاذ أي إجراء" أحد إجراءات إدارة المخاطر األمنية التي يتم اختيارها غالًبا ألن‬
‫احتمال حدوث الخطر منخفض و‪/‬أو تأثيره منخفض‪ ،‬أو أن تكلفة وجهد أي إجراءات تفوق خطورة‬
‫التهديد‪.‬‬

‫‪ ‬عند استخدام هذا النهج‪ ،‬يجب مراقبة التهديدات بشكل مستمر للتأكد من بقائها مقبولة‪.‬‬

‫‪ ‬إن خيار قبول المخاطر هو قرار واٍع تتخذه اإلدارة العليا لالعتراف بوجود مخاطر أمنية وتقرر عن‬
‫علم السماح (بافتراض) بقاء المخاطر دون (مزيد من) التخفيف‪.‬‬

‫‪ ‬اإلدارة مسؤولة عن تأثير حدث المخاطر‪ ،‬في حالة حدوثه‪ ،‬لذلك يتم اتخاذ قرار قبول المخاطر وفًقا‬
‫لمدى تقبل المخاطر وتحمل المخاطر التي تحددها اإلدارة العليا‪.‬‬
 ‫تخفيف‬
‫المخاطر‬
‫‪Risk Mitigation‬‬

‫التعريف‪ :‬يشمل تخفيف المخاطر اتخاذ تدابير استباقية لتقليل احتمالية‬
‫أو تأثير حادث سيبراني‪.‬يمكن أن تتضمن هذه اإلجراءات التحكم الفني‪،‬‬
‫واإلجراءات اإلدارية‪ ،‬والتحسين المستمر والتكيف مع التهديدات الجديدة‪.‬‬

‫التطبيق‪:‬‬
‫‪ ‬تشمل إجراءات تخفيف المخاطر تنفيذ تقنيات األمان مثل الجدران‬
‫النارية‪ ،‬وبرامج مكافحة الفيروسات‪ ،‬والتشفير‪ ،‬وأساليب الهوية‬
‫متعددة العوامل‪.‬‬
‫‪‬كما تشمل أيًض ا وضع وتنفيذ سياسات األمان‪ ،‬وتدريب الموظفين‬
‫بشكل منتظم‪ ،‬وإجراء تقييمات الضعف لتحديد النقاط الضعيفة‬
‫وتعزيزها‪.‬‬
 ‫تخفيف‬
‫المخاطر‬
‫‪Risk‬‬ ‫‪Mitigation‬‬

‫بعض األمثلة على الضوابط لتخفيف المخاطر هي‪:‬‬
‫ نشر الضوابط الفنية‪ ،‬على سبيل المثال‪ ،‬تنفيذ ‪ VPN‬لالتصال بمواقع مختلفة عبر اإلنترنت بشكل‬
‫آمن‪.‬‬
‫ نشر الضوابط اإلدارية‪ ،‬على سبيل المثال‪ ،‬إنشاء وتطبيق سياسات وإجراءات أمن المعلومات‬
‫للمجاالت التالية‪:‬‬
‫‪ ‬إدارة وصول المستخدم‬
‫‪ ‬إدارة التغيير‬
‫‪ ‬إدارة التكوين‬
‫‪ ‬النسخ االحتياطي واالسترداد‬
‫‪ ‬استمرارية األعمال والتعافي من الكوارث‬
‫‪ ‬إدارة الحوادث‬
‫ نشر الضوابط التشغيلية‪ ،‬على سبيل المثال‪ ،‬عمليات استعادة النسخ االحتياطي لضمان توفر النسخ‬
 ‫المراجع‬

The Security Risk Assessment Handbook: A Complete
Guide for Performing Security Risk Assessments, by
Douglas J. Landoll. 2021.
A Guide to Risk Analysis: Example & Methods |
SafetyCulture
What are security risk treatment and acceptance? (4ciso.com)