سازمانهایی در سطح جهان دریافتهاند که امنیت سایبری می تواند، و باید، ابزاری قدرتمند زمینه ساز کسب و کار باشد: آنها استراتژی امنیت سایبری خود را با استراتژی مجموعه شرکتها هماهنگ کردهاند، آنها این کار را با فرهنگ صحیح و تکنولوژی حمایت می کنند، آنها کارآیی آن را با دقت میسنجند، و آنها می دانند که کارآیی در حیطه ارزشهای کسب و کار و بازگشت سرمایه گذاری است.
چیزی که آنها انجام نمیدهند، قبول یک اشتباه است، که یک اندازه مناسب برای تمام رویکرد امنیت سایبری نمیتواند به درستی خطرات مورد ادعا ومورد نظر را کاهش دهد، مانند اعمال نفو Investigatory Powers (IPA) و اظهار نظر اخیر Amber Rudd مبنی بر تصویب قانون منع رمزنگاری قوی.این هزینه بالای چکشکاریهای منسوخی است که ادعای تنظیم و بهبود قابلیتهای نظارتی را دارند. آنها نه تنها قادر به بهبود امنیت نیستند، بلکه حریم خصوصی و امنیت شهروندان و کسب و کارها را نیز دچار آسیب نمودهاند.
سازمانهایی که میخواهند امنیت سایبری را به دارایی کسب و کار خود بدل نمایند، میتوانند از نقاط ضعف تلاشهای پیدرپی دولت برای وضع قوانین مقابله با خطرات امنیت سایبری، یاد بگیرند. به نظر من، چهار ستون اصلی استراتژی امنیت سایبری موثر وجود دارد که یک کسب و کار را قادر میسازد تا عملکردی ایمن و موفق داشته باشد.
1. امنیت سایبری را بخش جدایی ناپذیر از استراتژی شرکت قرار دهید
سازمان های موفق به امنیت سایبری به عنوان یک پیآمد آیتی نگاه نمیکنند: آنها آن را به عنوان یکی از ریسکهای کسب و کار پذیرفتهاند و آن را مانند هیئت مدیره به عنوان یکی دیگر ریسکهای کسب و کار، نیازمند توجه و هدایت میدانند. آنها تکنولوژی مورد نیاز برای امنیت دارائیهای اطلاعاتی را به عنوان زیان کسب و کار به شمار نمیآورند، بلکه به عنوان وسیله ای برای حمایت از رشد از آن استفاده میکنند.
امنیت سایبری گران است و سازمان علیرغم میزان هزینههایی که در این زمینه متحمل شدهاند، هنوز هم میتوانند در معرض خطر باشند، اما با کار با سهام داران تمام کسب و کار برای تعریف واضح خطرات خاص و سپس اولویت بندی آنها، سازمان هدف هزینههای خود را به طور دقیق پیدا میکند. تنها روش عاقلانه برای برقراری امنیت این است که پیش از پیاده سازی، برای امنیت طرحی آماده کنیم.
سازمانها همچنین باید به دقت به تاثیر کنترل های امنیتی خود توجه داشته باشند. مسدوود کردن یک خطر ممکن است به سادگی تهدیدی را متوجه جای دیگری بنماید. چگونه کارهای رمزگذاری است محرمانه نیستند: برای اطمینان از امنیت و اثربخشی، ریاضیات پشت الگوریتمهای عمومی به طور گسترده ای برای بازبینی منتشر شده اند. نظر Amber Rudd برای محدود کردن برنامههایی که رمزگذاری قوی end-to-end فراهم میکنند، نمیتواند مانع از از دانلود و کامپایل کتابخانههای رمزگذاری بازمتن که آزادانه در دسترس هستند، شود، و یا حتی مانع این شود که آنها برنامههای رمزگذاری خود را بنویسند و پیاده سازی کنند که به سادگی کپی الگوریتمهای ریاضی در دسترس عموم میباشند.
۲. ایجاد فرهنگ امنیت سایبری و امکان کمک برای راهبری موفق کسب و کار
هیچ جایگاه امنی برای سازمانهای پر کار وجود ندارد: امنیت سایبری مسئولیت همه است. طرح هایی همچون اطلاع رسانی و آموزش کاربر، کمک به کارکنان ناآشنا به IT برای شناسایی تهدیدات بالقوه و پرسش از فرآیندهای ناامن کسب و کار همراه با تشویق کادر فنی برای تعامل با همکاران خود، کمک می کند تا زمینههای امنیت داخلی توسعه یابد و درک عمیقتری از مسائل پرورش پیدا کند.همچنین مهم است به خاطر داشته باشیم که برخی از نیازهای امنیتی خاص ممکن است نیازمند تخصص متخصصین خارجی باشد.
CISO یکی از جایگاههای استراتژیک است. CISO کسی است که بر استراتژی کسب و کار و تعامل با سهامداران ارشد متمرکز است تا بتواند راهکارهای فنی را با نیازهای کسب و کار هماهنگ سازد.
عملکردهای امنیت سایبری در سطح جهان، شامل توانمندی بالا و تیم مجربی است که فرهنگ امنیت سایبری قدرتمندی بوجود آورند و همواره در پی یافتن راههای اجرای بهتر کسب و کار باشند.
۳. تمرکز بر حوزههای کلیدی فن آوری
سازمانهای پیشرو در صنعت به روشنی میدانند که برای محافظت از دپارتمان IT کسب و کار، چه چیزی مورد نیاز است، به ویژه کسانی که در بزرگترین خطرات را در کنار بالاترین سودها معرفی میکنند.
آنها می دانند که چگونه از مزایای خدمات ابری بهرهمند شوند و همزمان کنترل خود را بر داراییهای اطلاعاتیشان حفظ نمایند. آنها می توانند دستگاه های کاربر نهایی را در برابر تهدیدات هدفمند محافظت کنند و همزمان با کنترل آوردن دستگاه شخصی (BYOD)، روشهای انعطاف پذیری برای کار ایجاد کنند.
کسب و کارهای موفق با دقت بر دارایی فناوری خود نظارت میکنند تا نقاط آسیب پذیری و نفوذ بالقوه را شناسایی کنند.
۴- ارزیابی دقیق عملکرد امنیت سایبری
سازمان ها باید دقیقا بدانند که امنیت سایبری آنها چگونه مؤثر تر خواهد بود، موجب میشود تا اندازه گیری دقیق بسیار حیاتی باشد. اقدامات سنتی اندازه گیری اثربخشی امنیت سایبری در دسترس، به اندازه کافی خوب نیست. گزاره تاریخی “چیزی نشده” رویکردی است که هیچ گونه اطلاعات مفیدی ارائه نمیکند مبنی بر اینکه در کدام گروه میتوان استراتژی امنیت سایبر را بنا نمود، در عین حال که ظرفیت و انطباق معیارها تنها بخشی از داستان هستند.
این ترکیب می تواند یک حس امنیت کاذب ایجاد کند که این امر می تواند بسیار مخربتر از اعترافی ساده مبنی بر عدم درک میزان اثربخشی، باشد.
دانستن تعداد ویروسهای حذف شده و یا ایمیلهای اسپم مسدود شده، و نیز زمان صرف شده برای شناسایی شاخص نفوذ، تنها نشان میدهد که چگونه سازمان به خوبی به تهدیدات واکنش نشان میدهد. به رغم تطابق با چک لیستهای کنترل بهتر امنیت سایبری، هیچ تضمینی در برابر حوادث امنیتی وجود ندارد.
همچنین سازمانها باید به معیارهای سنجش هماهنگ با استراتژی توجه کنند: ارزیابی ریسک، شایستگی آنها در پیش بینی و دفاع در برابر حملات و توانایی آنها برای شناسایی و رفع علل ریشه ای پیدایش مشکلات.
از جمله معیارهای کسب و کار در ارزیابی، هیئت مدیره، درک کاملتری از عملکرد امنیتی سایبری را ارائه می دهد. ارزیابی رخدادهای امنیت سایبری از نظر هزینه و آسیب به روند کسب و کار، و نشان دادن محل افزایش عملکرد ابتکارات امنیت سایبری و یا پیشگیری از ظهور تهدیدات، نشان دهنده ارزش استراتژی کسب و کار است.
از نظر امنیت سایبری برای کسب و کار، درس های IPA و جریان خودکار و سریع تقاضا برای ممنوعیت رمزگذاری روشن است: منابع بزرگ را برای اجرای استراتژیهایی که متناسب با هدف نیستند و نمیتوانند به درستی نیازمندیها را بسنجند، هدر ندهید. حق داشتن امنیت سایبری شغل کارشناسان اسن و نه آماتورها.
جهت ایجاد امنیت در اینترنت و شبکه، با نمایندگی تجهیزات شبکه متصاکو در تماس باشید.