Xəbərlər

Məxfilik Risklərinin İdarə Edilməsi - Privacy Risk Management / Sadiq İsmaylov

Məxfilik Risklərinin İdarə Edilməsi - Privacy Risk Management

Risklərin idarə edilməsi (Risk Management) etibarlı proqram təminatının hazırlanmasının ayrılmaz hissəsidir. İT inkişaf etdirmə layihələri, layihə dəyəri və cədvəlin aşılması riski və xüsusi texnologiyalarla əlaqəli riski ehtiva edən texniki risk kimi proqramlı risklər də daxil olmaqla bir çox risk növlərini əhatə etməlidir. Beləliklə, məxfilik risk təhlilçisi (Privacy Risk Analyst) rolunu yerinə yetirmək üçün bir İT mütəxəssisindən tələb oluna bilər.

Risk, bu təsirin baş vermə ehtimalı ilə birlikdə potensial mənfi təsir olaraq təyin olunur. Riskin klassik formulu bir tənlikdir:

Risk = Mənfi hadisənin ehtimalı X Hadisənin təsiri

Təcrübədə analitiklər ehtimal və təsirləri rəqəmsal olaraq ifadə edə və fərqli hadisələrdəki risk səviyyələrini müqayisə etmək üçün istifadə edilə bilən bir ədədi nəticəni hesablaya bilərlər. Risk müqayisələri, nominal olaraq risk dəyərləndirməsinə görə, lakin bəzən əsasən ən yüksək təsirə və ya ən yüksək ehtimala əsaslanaraq riskləri prioritetləşdirmək üçün istifadə olunur. Bununla birlikdə, bu ədədlərdən biri və ya hər ikisi üçün texniki və ya empirik əsasların mövcud olmaması tez -tez olur, bu halda mənfi hadisəyə aşağı, orta və ya yüksək təsirin təyin edilməsi kimi adi bir ölçü tətbiq olunur. Rəqəmsal ölçülərə bənzər olaraq, adi ölçülər insan qavrayışının və qərəzliliyinin məhdudiyyətlərinə tabedir və eyni səviyyəyə malik olan bütün ölçülər (məsələn, aşağı) kontekstual nisbi olaraq qalır və asanlıqla müqayisə edilə bilməz. Bir yanaşma, risk təhlilçisinin digər hadisələrə dəyərlər təyin etmək üçün istifadə edə biləcəyi nisbi median hadisəni müəyyən etməkdir (məsələn, A hadisəsi B hadisəsindən daha yüksək və ya daha aşağı təsir göstərir). Bununla belə, bu cür hadisələri kəmiyyət məlumatları kimi qəbul edərkən ehtiyatlı olmaq lazımdır, çünki bu məlumatlara normal hesab tətbiq oluna bilməz: Məsələn, aşağı + yüksək ≠ orta olan iki və ya daha çox sıralı dəyərin cəmini götürmək olmaz. Yenə də riskləri erkən müəyyənləşdirməyin üstünlüyü ondan ibarətdir ki, analitik bu riskləri idarə etmək üçün xüsusi inzibati, əməliyyat və texniki vasitələr hazırlaya bilər.

Effektiv məxfilik riski idarəçiliyi (Privacy Risk Management), bir təhlilçinin, ehtimal və təsir dərəcələri ilə əlaqəli mənfi hadisələr olan risklər vermək üçün istifadə edə biləcəyi sistem zəiflikləri ilə təhdidləri müəyyənləşdirmək və uyğunlaşdırmaq üçün istifadə etdiyi bir risk modelindən istifadə edir (bax Şəkil 1). Risk modelini tətbiq etmək üçün təhlilçi təhdidlərin, zəifliklərin və risklərin müəyyən edilməsi və risklərin necə idarə olunacağına qərar vermək üçün addım-addım bir proses olan risk idarəetmə çərçivəsindən (Risk Management Framework) istifadə edir. Ənənəvi risk idarəetmə variantları (1) riskin olduğu kimi qəbul edilməsi, (2) riskin başqa bir təşkilata ötürülməsi (əmlak sığortası kimi), (3) müvafiq məxfilik nəzarəti və ya sistem dizaynının dəyişdirilməsi ilə riskin azaldılması ola bilər. və ya (4) riskdən qaçınmaq (məsələn, xüsusi funksiyalardan, məlumatlardan və ya bütün sistemdən imtina etməklə). Risklərin qarşısını almaq bir çox hallarda praktik və ya qeyri -mümkün ola bilər. Məsələn, noutbuk oğurluğu riskindən qaçınmaq ümumiyyətlə mümkün deyil və buna görə də bu zəifliyin (vulnerability) həmişə mövcud olacağını düşünmək, bu cihazlarda saxlanılan şəxsi məlumatların itkisini azaltmaq üçün şifrələmənin istifadəsinə səbəb ola bilər. Bundan əlavə, bu risk idarəetmə variantlarından hər hansı biri yeni bir risk təqdim edə bilər və bununla da risk-risk alveri yaradır. Risk-risk alqı-satqısı riskdən qaçınmaq deyil, qarşılıqlı asılı olan risklərin azaldılması və qəbul edilməsi qərarlarının nəticəsidir.

Şəkil 1: Risk Modelinin Uyğunlaşdırılması - Risk Model Alignments

04,09,2021