بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات
تفاوت تهدید (Threat) ، آسیب پذیری (Vulnerability) و ریسک در چیست؟
تهدید یا Threat چیست؟ آسیب پذیری یا Vulnerability چیست؟ تفاوت اینها با ریسک در چیست ؟ قبل از این مورد توجه شما را به پاراگراف زیر جلب می کنم. خیلی اوقات در پروژه هایی که در حوزه امنیت انجام می شود چند مورد با هم اشتباه گرفته می شود ، در واقع در تحلیل هایی که برای پیاده سازی سیستم مدیریت امنیت اطلاعات انجام می شود سه مفهوم معمولا به دلیل نزدیکی معنایی با هم اشتباه گرفته می شوند. به عنوان یک ITPRO شما باید تفاوت بین تهدید یا Threat ، آسیب پذیری یا Vulnerability و ریسک یا Risk را به خوبی درک کنید اما همیشه ما را درگیر تعاریف عجیب و غریب کرده اند ، امروز می خواهیم خیلی خیلی ساده این مفاهیم را بررسی کنیم به عکس زیر دقت کنید ، شما به عنوان یک کارشناس امنیت باید تفاوت این مفاهیم را به خوبی درک کنید.
خوب خوب به تصویر نگاه کردید ؟ اولین نکته اینکه خرس قطبی خطرناکترین و بزرگترین خرس دنیا است ، چون خودم عشق طبیعت دارم این رو گفتم. در تصویر بالا شما باید دربی که باز است ( آسیب پذیری ) را ببندید تا خرس قطعی ( تهدید ) نتواند کاری انجام دهد. اگر خرس قطبی موفق شود از درب باز ( آسیب پذیری ) استفاده کرده و وارد خانه شود ، شما تبدیل به گوشت چرخ کرده ( ریسک ) خواهید شد. شناخت و درک این سه مفهوم ساده مقدمه ای برای تحلیل ریسک است که یکی از مهمترین فاکتورها برای سازمان هایی است که به امنیت اهمیت می دهند. قدم بعدی بعد از شناخت این مفاهیم نوشتن وضعیت ریسک یا risk statement است. دقت کنید که امن کردن یک سازمان هم دقیقا به همین شکل اما با دارایی ها و تهدیدات و ریسک های متفاوت انجام می شود. خوب اگر فرض کنیم که تهدید های ما خرس ها هستند با استفاده از همین مکانیزم می توانیم وضعیت تهدید های موجود در ایالات متحده را به شکل زیر بررسی کنیم به تصویر زیر نگاه کنید :
تصویر بالا نمایانگر میزان پراکندگی تهدید ها و درجه تهدید آنها است ، خرس های قطبی با رنگ سفید مشخص شده اند ، طبیعتا خطر ورود خرس قطبی در ایران تقریبا صفر است و شما باید در سازمان خودتان چنین مفهومی در خصوص تهدیدها داشته باشید که ریسک های شما ( ریسک چرخ شدگی ) ممکن است اصلا در این سازمان وجود نداشته باشند. سایر مواردی که در نقشه مشاهده می کنید درصد پراکندی سایر تهدیدها یا خرس ها در سراسر ایالات متحده آمریکا هستند. امیدوارم به سادگی متوجه این مفاهیم شده باشید. ITPRO باشید
نویسنده : محمد نصیری
منبع : انجمن تخصصی فناوری اطلاعات ایران
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد