مدیریت

امنیت سایبری

در این نوشته به تفاوت مفاهیم likelihood و probability و احتمال تهدید و احتمال حادثه با ذکر مثالهایی میپردازیم.

احتمال یا احتمال ؟! بررسی تناقض‌های مفهومی “احتمال” در مدیریت ریسک

عنصر احتمال از عناصر پایه در ارزیابی و تحلیل ریسک است و همواره محل بحثهای زیادی در بین متخصصین و کارشناسان این حوزه بوده است. در این مقاله قصد داریم دو تناقض (شاید هم ظاهرا تناقض) رایج در خصوص مفهوم احتمال در مدیریت ریسک را بررسی کنیم. اولین موضوع مورد بحث تفاوت دو عبارت likelihood و probability است و موضوع دیگر تفاوت مفاهیم احتمال تهدید و احتمال حادثه است. در ادامه به هر دو مورد میپردازیم.

1- تفاوت احتمال با احتمال ! (تفاوت Likelihood و Probability)

در ادبیات عام و غیرتخصصی دو عبارت likelihood و probability بجای هم مورداستفاده قرار می‌گیرند و به همین دلیل نیز در زبان فارسی عموماً هر دو عبارت به‌صورت یکسان «احتمال» ترجمه می‌شود. ولی در موضوعات تخصصی ازجمله موضوع مدیریت ریسک، تبیین تفاوت این دو مفهوم بسیار حائز اهمیت است. به‌طوری‌که سهل‌انگاری در برداشت صحیح از این دو عبارت می‌تواند منجر به اشتباهات فراوانی در روش و محاسبات ریسک شود. توجه به این تفاوتها هم در حوزه سیستمهای مدیریت امنیت اطلاعات و هم در دیگر سیستم‌های مدیریتی میتواند مفید باشد.

اما برای درک بهتر تفاوت این دو مفهوم باید دانست که likelihood معنای عام‌تر و بزرگتری نسبت به probability دارد. به عبارت دیگر یکی از زیر مجموعه های likelihood را میتوان probability در نظر گرفت. برای توضیح و تفصیل بیشتر این تفاوت ابتدا باید جنبه‌ها و منظر‌های مختلف likelihood شناخته شود.

جنبه‌های مختلف Likelihood

Lkelihood را از سه منظر نوع، روش تخمین و روش توصیف میتوان تقسیم بندی کرد. هر یک از جنبه‌ها به دسته‌های جزئی تر بصورت زیر تقسیم میشوند.

  • از جنبه نوع،
    • کمی
    • کیفی
  • از جنبه روش تخمین
    • عینی (objective)
    • ذهنی (subjective)
  • از جنبه روش توصیف
    • زبانی
    • ریاضی (در دسته توصیف ریاضی دو زیر دسته احتمال (probability) و فرکانس رخداد (frequency) قابل‌تعریف هستند)

همان‌طور که از طبقه‌بندی فوق قابل استنباط است probability به‌عنوان یکی از زیرمجموعه‌های likelihood است. probability به‌منزله یک ابزار ریاضی جهت توصیف مفهوم likelihood قابل‌تعریف است و به‌هیچ‌عنوان نمی‌توان مفهوم probability را به likelihood تعمیم داد.

شاید برای کسانی که بیشتر درگیر روش‌های ارزیابی ریسک عینی، قابل‌اندازه‌گیری و کمی هستند، بهترین روش توصیف همان probability باشد ولیکن ارزیابی ریسک از دیگر جنبه‌ها ازجمله کیفی، ذهنی و تعریفی به‌هیچ‌وجه نمی‌تواند از probability بهره گیرد و در این حالت حتماً دیگر روش‌های توصیفی مانند روش زبانی و یا روش فرکانس رخداد باید بکار گرفته شود.

در الگوها و مدل‌های رایج ارزیابی و تحلیل ریسک امنیت اطلاعات تخمین احتمال غالباً به‌صورت کیفی و یا نیمه کیفی تعریف می‌شوند. بنابراین روش رایج برای تخمین و توصیف متمرکز بر روش‌هایی غیر از probability مانند روش‌های زبانی و فرکانس رخداد است. ازاین‌رو باید توجه داشت که نمی‌توان قواعد حاکم بر probability را به‌صورت خاص در همه مدل‌های محاسبه ریسک امنیت اطلاعات و یا دیگر حوزه‌های ریسک سیستم‌های مدیریتی بدون ملاحظه و دقت وارد نمود؛ بنابراین مشخصاً در حوزه ارزیابی ریسک امنیت اطلاعات غالباً از likelihood به‌عنوان پارامتر اصلی در محاسبات استفاده می‌شود. هرچند که ممکن است اشتباهاً نام probability بر آن گذارده شود.

مثالی برای بیان تفاوت Likelihood و Probability

بیان یک مثال برای شفافیت هرچه بیشتر این تفاوت مفید خواهد بود. فرض کنید که قصد دارید احتمال بارش باران را برای صبح فردا پیش‌بینی کنید. اگر قرار باشد یک فرد عادی به آن پاسخ دهد احتمالاً بر اساس تجربیات شخصی، مشاهده وضعیت فعلی جوی، وضعیت تراکم ابرها، دمای هوا و پارامترهایی از این قبیل پیش‌بینی می‌کند که احتمال بارش باران برای فردا زیاد است؛ اما اگر قرار باشد همین تخمین توسط یک سامانه هوشمند هواشناسی صورت گیرد! احتمالاً از نقشه‌های مختلف هواشناسی و مدل‌های مختلف محاسباتی کمک گرفته می‌شود. و در قالب یک توصیف ریاضی از نوع probability پیش‌بینی می‌کند که به‌عنوان‌مثال احتمال بارش باران فردا ساعت 8 صبح 60%، ساعت 9 صبح 70% و ساعت 10 صبح 75% خواهد بود. روش اول یک برآورد در قالب مفهوم likelihood است. درحالی‌که روش دوم به‌صورت توصیف ریاضی و در قالب مفهوم probability طبقه‌بندی می‌شود.

برای کسب اطلاعات بیشتر در خصوص روش پیاده سازی مدیریت ریسک امنیت اطلاعات حتما مقاله 14 گام اجرای فرایند مدیریت ریسک امنیت اطلاعات را مطالعه کنید.

2- تفاوت احتمال تهدید و احتمال حادثه

تناقض بعدی که در این مقاله به آن میپردازیم تفاوت میان مفاهیم احتمال تهدید و احتمال حادثه است. غالبا این تفاوت حتی در میان کارشناسان مرتبط با حوزه ریسک نیز نادیده انگاشته میشود. این سهل انگاری در درک تفاوت این دو میتواند تأثیر منفی بر روی ارزیابی ها و تحلیل های ریسک داشته باشد.

برای تبیین تمایز این دو احتمال باید بدانیم که ریسک تابعی از دو پارامتر احتمال و پیامد است.

Risk = f {likelihood , Impact}

نکته کلیدی این است که وقتی صحبت از ریسک میشود منظور ریسک حادثه است. بنابراین عناصر داخل تابع نیز پسوند حادثه را باید داشته باشند. به عبارت دقیقتر ریسک حادثه تابعی از احتمال حادثه و پیامد حادثه است. بنابراین به عبارت بهتر باید تابع ریسک به شکل زیر نوشته شود.

Incident Risk = f {Incident likelihood , Incident Impact}

اکنون باید ببینیم که احتمال حادثه و یا همان Incident Likelihood از چه پارامترهایی تشکیل شده است. احتمال حادثه تابعی از دو پارامتر احتمال تهدید و شدت آسیب پذیری است.

Incident likelihood = f {Threat Likelihood , Vulnerability Severity}

پس همانگونه که از توابع بالا مشخص میشود احتمال تهدید بخشی از مفهوم احتمال حادثه است و برابر با مفهوم احتمال حادثه نیست.

مثالی برای بیان تفاوت احتمال تهدید و احتمال حادثه

شهری را تصور کنید که احتمال وقوع زلزله (احتمال تهدید) در آن بالاست. آیا میتوان گفت که قطعا احتمال حوادث ناشی از زلزله (احتمال حادثه) مانند کشته شدن افراد و یا تخریت ساختمانها هم در این شهر حتما بالاست؟! پاسخ قطعا “خیر” است. زیرا که اگر اقدامات پیشگیرانه و تمهیدات اقتضایی مناسب برای وقوع زلزله در نظر گرفته شده باشد طبیعتا حوادث ناشی از زلزله در این شهر کم خواهد بود. بنابراین احتمال حادثه ناشی از زلزله در این شهر بصورت زیر تعریف میشود:

احتمال حادثه ناشی از زلزله تابعی است از “احتمال وقوع زلزله” و “میزان آسیب پذیری شهر و ساختمانها در برابر زلزله”

مدل و چارچوب بکار گرفته‌شده در نرم‌افزار مدیریت امنیت اطلاعات بادبان، این قابلیت را به متخصصین و کارشناسان سازمان و یا شرکت می‌دهد که متدولوژی مدنظر خود را در نرم‌افزار بادبان تعریف نمایند. تا از این طریق بتوانند از جنبه‌ها و منظر‌های مختلف likelihood که در بالا به آن‌ها اشاره شد، ارزیابی و تحلیل ریسک‌های امنیت اطلاعات را به انجام رسانند. همچنین در سامانه بادبان با دقت زیاد مفاهیم احتمال تهدید و احتمال حادثه متمایز و از هم تفکیک شده‌اند.

این مطالب را هم بخوانید

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

برای امنیت، استفاده از سرویس reCAPTCHA گوگل مورد نیاز است که موضوع گوگل است Privacy Policy and Terms of Use.

من با این شرایط موافق هستم .

Scroll to Top
اسکرول به بالا