عنصر احتمال از عناصر پایه در ارزیابی و تحلیل ریسک است و همواره محل بحثهای زیادی در بین متخصصین و کارشناسان این حوزه بوده است. در این مقاله قصد داریم دو تناقض (شاید هم ظاهرا تناقض) رایج در خصوص مفهوم احتمال در مدیریت ریسک را بررسی کنیم. اولین موضوع مورد بحث تفاوت دو عبارت likelihood و probability است و موضوع دیگر تفاوت مفاهیم احتمال تهدید و احتمال حادثه است. در ادامه به هر دو مورد میپردازیم.
1- تفاوت احتمال با احتمال ! (تفاوت Likelihood و Probability)
در ادبیات عام و غیرتخصصی دو عبارت likelihood و probability بجای هم مورداستفاده قرار میگیرند و به همین دلیل نیز در زبان فارسی عموماً هر دو عبارت بهصورت یکسان «احتمال» ترجمه میشود. ولی در موضوعات تخصصی ازجمله موضوع مدیریت ریسک، تبیین تفاوت این دو مفهوم بسیار حائز اهمیت است. بهطوریکه سهلانگاری در برداشت صحیح از این دو عبارت میتواند منجر به اشتباهات فراوانی در روش و محاسبات ریسک شود. توجه به این تفاوتها هم در حوزه سیستمهای مدیریت امنیت اطلاعات و هم در دیگر سیستمهای مدیریتی میتواند مفید باشد.
اما برای درک بهتر تفاوت این دو مفهوم باید دانست که likelihood معنای عامتر و بزرگتری نسبت به probability دارد. به عبارت دیگر یکی از زیر مجموعه های likelihood را میتوان probability در نظر گرفت. برای توضیح و تفصیل بیشتر این تفاوت ابتدا باید جنبهها و منظرهای مختلف likelihood شناخته شود.
جنبههای مختلف Likelihood
Lkelihood را از سه منظر نوع، روش تخمین و روش توصیف میتوان تقسیم بندی کرد. هر یک از جنبهها به دستههای جزئی تر بصورت زیر تقسیم میشوند.
- از جنبه نوع،
- کمی
- کیفی
- از جنبه روش تخمین
- عینی (objective)
- ذهنی (subjective)
- از جنبه روش توصیف
- زبانی
- ریاضی (در دسته توصیف ریاضی دو زیر دسته احتمال (probability) و فرکانس رخداد (frequency) قابلتعریف هستند)
همانطور که از طبقهبندی فوق قابل استنباط است probability بهعنوان یکی از زیرمجموعههای likelihood است. probability بهمنزله یک ابزار ریاضی جهت توصیف مفهوم likelihood قابلتعریف است و بههیچعنوان نمیتوان مفهوم probability را به likelihood تعمیم داد.
شاید برای کسانی که بیشتر درگیر روشهای ارزیابی ریسک عینی، قابلاندازهگیری و کمی هستند، بهترین روش توصیف همان probability باشد ولیکن ارزیابی ریسک از دیگر جنبهها ازجمله کیفی، ذهنی و تعریفی بههیچوجه نمیتواند از probability بهره گیرد و در این حالت حتماً دیگر روشهای توصیفی مانند روش زبانی و یا روش فرکانس رخداد باید بکار گرفته شود.
در الگوها و مدلهای رایج ارزیابی و تحلیل ریسک امنیت اطلاعات تخمین احتمال غالباً بهصورت کیفی و یا نیمه کیفی تعریف میشوند. بنابراین روش رایج برای تخمین و توصیف متمرکز بر روشهایی غیر از probability مانند روشهای زبانی و فرکانس رخداد است. ازاینرو باید توجه داشت که نمیتوان قواعد حاکم بر probability را بهصورت خاص در همه مدلهای محاسبه ریسک امنیت اطلاعات و یا دیگر حوزههای ریسک سیستمهای مدیریتی بدون ملاحظه و دقت وارد نمود؛ بنابراین مشخصاً در حوزه ارزیابی ریسک امنیت اطلاعات غالباً از likelihood بهعنوان پارامتر اصلی در محاسبات استفاده میشود. هرچند که ممکن است اشتباهاً نام probability بر آن گذارده شود.
مثالی برای بیان تفاوت Likelihood و Probability
بیان یک مثال برای شفافیت هرچه بیشتر این تفاوت مفید خواهد بود. فرض کنید که قصد دارید احتمال بارش باران را برای صبح فردا پیشبینی کنید. اگر قرار باشد یک فرد عادی به آن پاسخ دهد احتمالاً بر اساس تجربیات شخصی، مشاهده وضعیت فعلی جوی، وضعیت تراکم ابرها، دمای هوا و پارامترهایی از این قبیل پیشبینی میکند که احتمال بارش باران برای فردا زیاد است؛ اما اگر قرار باشد همین تخمین توسط یک سامانه هوشمند هواشناسی صورت گیرد! احتمالاً از نقشههای مختلف هواشناسی و مدلهای مختلف محاسباتی کمک گرفته میشود. و در قالب یک توصیف ریاضی از نوع probability پیشبینی میکند که بهعنوانمثال احتمال بارش باران فردا ساعت 8 صبح 60%، ساعت 9 صبح 70% و ساعت 10 صبح 75% خواهد بود. روش اول یک برآورد در قالب مفهوم likelihood است. درحالیکه روش دوم بهصورت توصیف ریاضی و در قالب مفهوم probability طبقهبندی میشود.
برای کسب اطلاعات بیشتر در خصوص روش پیاده سازی مدیریت ریسک امنیت اطلاعات حتما مقاله 14 گام اجرای فرایند مدیریت ریسک امنیت اطلاعات را مطالعه کنید.
2- تفاوت احتمال تهدید و احتمال حادثه
تناقض بعدی که در این مقاله به آن میپردازیم تفاوت میان مفاهیم احتمال تهدید و احتمال حادثه است. غالبا این تفاوت حتی در میان کارشناسان مرتبط با حوزه ریسک نیز نادیده انگاشته میشود. این سهل انگاری در درک تفاوت این دو میتواند تأثیر منفی بر روی ارزیابی ها و تحلیل های ریسک داشته باشد.
برای تبیین تمایز این دو احتمال باید بدانیم که ریسک تابعی از دو پارامتر احتمال و پیامد است.
Risk = f {likelihood , Impact}
نکته کلیدی این است که وقتی صحبت از ریسک میشود منظور ریسک حادثه است. بنابراین عناصر داخل تابع نیز پسوند حادثه را باید داشته باشند. به عبارت دقیقتر ریسک حادثه تابعی از احتمال حادثه و پیامد حادثه است. بنابراین به عبارت بهتر باید تابع ریسک به شکل زیر نوشته شود.
Incident Risk = f {Incident likelihood , Incident Impact}
اکنون باید ببینیم که احتمال حادثه و یا همان Incident Likelihood از چه پارامترهایی تشکیل شده است. احتمال حادثه تابعی از دو پارامتر احتمال تهدید و شدت آسیب پذیری است.
Incident likelihood = f {Threat Likelihood , Vulnerability Severity}
پس همانگونه که از توابع بالا مشخص میشود احتمال تهدید بخشی از مفهوم احتمال حادثه است و برابر با مفهوم احتمال حادثه نیست.
مثالی برای بیان تفاوت احتمال تهدید و احتمال حادثه
شهری را تصور کنید که احتمال وقوع زلزله (احتمال تهدید) در آن بالاست. آیا میتوان گفت که قطعا احتمال حوادث ناشی از زلزله (احتمال حادثه) مانند کشته شدن افراد و یا تخریت ساختمانها هم در این شهر حتما بالاست؟! پاسخ قطعا “خیر” است. زیرا که اگر اقدامات پیشگیرانه و تمهیدات اقتضایی مناسب برای وقوع زلزله در نظر گرفته شده باشد طبیعتا حوادث ناشی از زلزله در این شهر کم خواهد بود. بنابراین احتمال حادثه ناشی از زلزله در این شهر بصورت زیر تعریف میشود:
احتمال حادثه ناشی از زلزله تابعی است از “احتمال وقوع زلزله” و “میزان آسیب پذیری شهر و ساختمانها در برابر زلزله”
مدل و چارچوب بکار گرفتهشده در نرمافزار مدیریت امنیت اطلاعات بادبان، این قابلیت را به متخصصین و کارشناسان سازمان و یا شرکت میدهد که متدولوژی مدنظر خود را در نرمافزار بادبان تعریف نمایند. تا از این طریق بتوانند از جنبهها و منظرهای مختلف likelihood که در بالا به آنها اشاره شد، ارزیابی و تحلیل ریسکهای امنیت اطلاعات را به انجام رسانند. همچنین در سامانه بادبان با دقت زیاد مفاهیم احتمال تهدید و احتمال حادثه متمایز و از هم تفکیک شدهاند.
باریدن باران اصلا احتمال پذیر نیست …