الإثنين, ديسمبر 23, 2024

الأكثر شهرة

الرئيسيةالحماية والأمانلماذا لا أحب الخنازير في المخاطر الأمنية

لماذا لا أحب الخنازير في المخاطر الأمنية

أوقات الاحتمالية تعتبر الرسوم البيانية للتأثير (PIGs)، والتي تسمى أحيانًا مصفوفة المخاطر، شائعة في تقييم المخاطر الأمنية وإدارتها. لقد تم اعتمادها منذ عقود مضت وتم دمجها ضمن المعايير والممارسات. فهي لا تزال موجودة وتستخدم على نطاق واسع في جميع أنحاء التخصص على الرغم من العمل الأكاديمي منذ تقديمها والذي أظهر أنها تجعل عملية صنع القرار أسوأ.

المشكلة هي أنها سهلة، وسهلة القراءة، وسهلة الصنع في برامج غير متخصصة مما يجعل من الصعب إزاحتها، كما أنها تجتذب دفاعًا متحمسًا من الممارسين بسبب سهولة تجاهل الضرر الذي تسببه.

ويبين الشكل 1 أدناه خنزيرًا مكوّنًا ولكنه تمثيلي. إذا كنت ترغب في نقد النقاط الموضحة أدناه، فقارن هذا PIG بـ PIG الذي تستخدمه، وأظن أنه قريب جدًا من حيث الشكل والأسلوب، أليس كذلك؟

الشكل 1: مثال على الرسم البياني للتأثير الاحتمالي (PIG)

ويتكون من سلسلة من المستويات الترتيبية، 3×3، 4×4 وكما هو موضح أدناه غالبًا 5×5 حيث يسهل تمثيلها على المصفوفة. قد تمثل هذه القيم الترتيبية تقسيمًا متساويًا لمساحة الاحتمال (كونها متساوية الحجم) أو عادةً ما تمثل مقياس التأثير بعض المقاييس الشبيهة بالسجل لزيادة فترات الضرر لضمان إمكانية التعامل مع المخاطر الصغيرة والمخاطر الكبيرة جدًا ومقارنتها بسهولة أكبر .

غالبًا ما تخضع هذه الأرقام الترتيبية التي تمثل بيانات تقدير المخاطر لمزيد من التلاعب الرياضي مثل جمع أو ضرب الدرجات الترتيبية معًا للحصول على درجة واحدة مبسطة إضافية للمخاطر التي تسمح بتحديد الأولويات في القوائم.

وبالمثل، في كثير من الأحيان يتم تحديد الرغبة في المخاطرة أو تحمل المخاطر من خلال استخدام أنظمة الألوان الفئوية مثل الأحمر / العنبر / الأخضر أو ​​الأسود / الأحمر / العنبر / الأخضر لتحديد المخاطر المقبولة وتلك التي لا يجوز لغير المتخصصين استهلاكها. سيتم تخصيص درجات المخاطر المبسطة لهذه الفئات للمساعدة في الفهم.

في كثير من الأحيان، في مجال الأمان، ستشاهد درجات “المخاطر الكامنة” و”المخاطر المتبقية” مرسومة على نفس PIG لإظهار تأثير التغيير أو الاستثمار على ملف تعريف المخاطر الإجمالي.

إحدى المشكلات الرئيسية المتعلقة بالاعتماد على تبسيط بيانات المخاطر في PIGs للمساعدة في اتخاذ القرار هي أنه قد يصبح من الصعب في الواقع التمييز بين المخاطر وتحديد أولوياتها.

يوضح الشكل 2 أدناه خمسة مخاطر محتملة باستخدام مثال PIG في الشكل 1. وقد تم اختيارها بعناية لتسليط الضوء على بعض القضايا ولكنها ليست قيمًا غير معقولة.

الشكل 2: مثال على درجات وفئات المخاطر باستخدام مثال PIG

المخاطر الثلاثة الأولى كلها أصفر المخاطر، ومع ذلك فإن القيمة المتوقعة للمخاطر باستخدام الاحتمال الكمي الساذج مضروبًا في التأثير الكمي تتراوح بين حوالي 25.000 جنيه إسترليني إلى 150.000 جنيه إسترليني. لقد وجدت أنه عندما تقدم أمثلة من العالم الحقيقي للنطاق الكامن وراء دال بسيط مثل أصفر يصبح أصحاب المصلحة غير مرتاحين. الخطران الأخيران يجعلان هذه الحالة أقوى ويظهران تأثير مقياس يشبه السجل على التأثير مع مجموعة من القيم المتوقعة لـ أحمر المخاطر من حوالي 150.000 جنيه إسترليني إلى 750.000 جنيه إسترليني، وهو نطاق أعلى بكثير. في الواقع، فإن الخطر 3 والمخاطر 5 كلاهما لهما نفس النتيجة المتوقعة تقريبًا ولكن أحدهما كذلك أحمر وواحد هو أصفر.

تمثل درجات المخاطر الناتجة عن ضرب الاحتمالية العددية الترتيبية والتأثير العددي تحديات مماثلة. يتمتع كل من المخاطر 2 و 3 بدرجة مخاطرة تبلغ 12، وهو نفس الشيء بالنسبة لتحديد الأولويات عند تقديمها في القائمة ولكن قيمها المتوقعة تختلف بمقدار 125000 جنيه إسترليني، في حين أن المخاطر 1 لها درجة أقل تبلغ 9 وقيمة متوقعة تقارب أربعة أضعاف المخاطر 2. يؤدي وضع الخطر 1 تحت الخطر 2 لتحديد الأولويات بناءً على درجات المخاطر الخاصة بهم إلى نتيجة غير عقلانية عندما تكون قيمهم المتوقعة معروفة.

تمثل كل هذه المخاطر مخاطر تقليل بيانات المخاطر الغنية من التقدير إلى القيم الترتيبية البسيطة التي تجعل المعالجة الرياضية والعرض أسهل.

إذا قمنا بتوسيع هذا التحليل ليشمل جميع الحالات الأفضل والأسوأ المتاحة في كل مربع من مربعات PIG ونظرنا في الألوان الفئوية لكل مربع، يمكننا أن نرى أن هناك احتمالًا للتداخل الخطير بين القيم الكمية المتوقعة بين اللون الأحمر والأصفر والأخضر. ليس ما يتوقعه أصحاب المصلحة.

يوضح الشكل 3 أدناه نتائج حساب أفضل حالة وأسوأ حالة لكل مربع من PIG وتحديد الحد الأدنى والحد الأقصى للقيم الممكنة لكل منها.

الشكل 3: النطاقات المحتملة لأفضل الحالات وأسوأها حسب اللون الفئوي

“الحد الأخضر” هو المربع الذي يحتوي على أقل قيم للأخضر وتمثل أفضل وأسوأ الحالات أعلى وأدنى القيم المتوقعة لهذا المربع.

هناك أيضًا مشكلة نظامية عند استخدام الرياضيات الضربية على القيم الترتيبية المنفصلة عن حقيقة أنها يمكن أن تنتج توصيات غير عقلانية مقارنة بالقيمة المتوقعة للمخاطر. إن هيكل مضاعفة القيم معًا يجعل تحديد الأولويات أكثر صعوبة عن طريق تقليل الخيارات المتاحة أمام صاحب القرار.

حتى لو افترضنا أن لدينا خطرًا واحدًا فقط من كل مجموعة من الدرجات الترتيبية المحتملة والتأثير، فإن الضرب البسيط يقلل في الواقع من نطاق المخاطر إلى مجموعة أصغر من درجات المخاطر. أسهل للفهم ولكن الآن أصبح من الصعب التمييز.

وكما يوضح الشكل 4 أدناه، بالنسبة لنتائج المخاطر الـ 25، هناك 21 درجة محتملة متاحة ولكن عندما نزيل التكرارات من نفس الدرجات، لا يوجد في الواقع سوى 14 درجة فريدة متاحة. لقد أدت درجة المخاطر المضاعفة في الواقع إلى تقليل قدرتنا على التمييز بين نتائج المخاطر الـ 25 إلى 14 درجة!

الشكل 4: النطاقات في الخنزير الفئوي

وينتج عن ذلك تجميع درجات المخاطر المتشابهة للمخاطر المتباينة، الأمر الذي لا يكون مفيدًا لمتخذ القرار بقدر ما هو سهل بالنسبة للممارس.

أحد أخطر جوانب PIGs ودرجات المخاطر المضاعفة هو المخاطر ذات الاحتمالية المنخفضة جدًا ولكن التأثير الكبير جدًا محجوب ضمن الفئة العامة من المخاطر أخضر أو ما شابه ذلك. مخاطر إنهاء العمل على ما يرام.

يكمن الخطر في هذه الأنواع من المخاطر في أنها غالبًا ما يتم تصنيفها على هذا النحو بسبب انخفاضها قوة المعرفة وبدلاً من تقدير جيد لاحتمال حدوثها واقعيًا، «لم نرها لذا سنفترض أنها نادرة». هذا هو المكان الذي يمكن العثور فيه على مخاطر “البجعة السوداء” التي يتم التبجح بها كثيرًا بعد وقوع الحدث الكارثي. إنهم يجلسون هناك وهم معروفون ولكنهم مخفضون بسبب انخفاض قوة المعرفة وإخفاءهم في دلاء منخفضة الاهتمام عن طريق الضرب الفئوي. هنا يكون التنين.

لقد كانت هذه مقالة طويلة ولم أتطرق بعد إلى العمل الأكاديمي المكثف الذي قام به توني كوكس ودوغلاس هوبارد وآخرون حول المشكلات الكامنة في مصفوفات المخاطر أو الخنازير. من المحتمل أن أعود إلى ذلك في منشور مستقبلي ولكن في الوقت الحالي فإن المشكلات المعروضة هنا أكثر من كافية بالنسبة لي لرفض PIGs ودرجات المخاطر المضاعفة لدعم اتخاذ القرارات وتحديد الأولويات بشكل أفضل.

ADVTUT
ADVTUThttps://advtut.com
رحلتي تتمحور حول شغفه بأمان البيانات والشبكات، مما قاده إلى إنشاء مدونة توب ديلي. من خلالها، يشارك رؤى ونصائح عملية لجعل الأمان الرقمي متاحًا للجميع. بفضل خلفيته التعليمية القوية، نفهم أمان البيانات في عالم اليوم الذي تتطور فيه التهديدات الإلكترونية أمر ضروري لجميع المستخدمين، وليس فقط للخبراء التقنيين. يهدف إلى تمكين القراء - سواء كانوا من عشاق التقنية المحترفين أو مجرد أشخاص يسعون لحماية معلوماتهم الشخصية. انضموا الينا بينما يستكشف عالم أمان البيانات المثير، ويساعدكم على تعزيز سلامتكم الرقمية على طول الطريق!
مقالات ذات صلة

ترك الرد

من فضلك ادخل تعليقك
من فضلك ادخل اسمك هنا