2

امنیت در اینترنت و شبکه

سازمان‌هایی در سطح جهان دریافته‌اند که امنیت سایبری می تواند، و باید، ابزاری قدرتمند زمینه ساز کسب و کار باشد: آنها استراتژی امنیت سایبری خود را با استراتژی مجموعه شرکت‌ها هماهنگ کرده‌اند، آنها این کار را با فرهنگ صحیح و تکنولوژی حمایت می کنند، آنها کارآیی آن را با دقت می‌سنجند، و آنها می دانند که کارآیی در حیطه ارزش‌های کسب و کار و بازگشت سرمایه گذاری است.
چیزی که آنها انجام نمی‌دهند، قبول یک اشتباه است، که یک اندازه مناسب برای تمام رویکرد امنیت سایبری نمی‌تواند به درستی خطرات مورد ادعا ومورد نظر را کاهش دهد، مانند اعمال نفو Investigatory Powers (IPA) و اظهار نظر اخیر Amber Rudd مبنی بر تصویب قانون منع رمزنگاری قوی.این هزینه بالای چکشکاری‌های منسوخی است که ادعای تنظیم و بهبود قابلیت‌های نظارتی را دارند. آنها نه تنها قادر به بهبود امنیت نیستند، بلکه حریم خصوصی و امنیت شهروندان و کسب و کارها را نیز دچار آسیب نموده‌اند.
سازمان‌هایی که می‌خواهند امنیت سایبری را به دارایی کسب و کار خود بدل نمایند، میتوانند از نقاط ضعف تلاش‌های پی‌در‌پی دولت برای وضع قوانین مقابله با خطرات امنیت سایبری، یاد بگیرند. به نظر من، چهار ستون اصلی استراتژی امنیت سایبری موثر وجود دارد که یک کسب و کار را قادر می‌سازد تا عملکردی ایمن و موفق داشته باشد.

1. امنیت سایبری را بخش جدایی ناپذیر از استراتژی شرکت قرار دهید

سازمان های موفق به امنیت سایبری به عنوان یک پی‌آمد آی‌تی نگاه نمی‌کنند: آنها آن را به عنوان یکی از ریسک‌های کسب و کار پذیرفته‌اند و آن را مانند هیئت مدیره به عنوان یکی دیگر ریسک‌‌های کسب و کار، نیازمند توجه و هدایت می‌دانند. آنها تکنولوژی مورد نیاز برای امنیت دارائی‌های اطلاعاتی را به عنوان زیان کسب و کار به شمار نمی‌آورند، بلکه به عنوان وسیله ای برای حمایت از رشد از آن استفاده می‌کنند.
امنیت سایبری گران است و سازمان علیرغم میزان هزینه‌هایی که در این زمینه متحمل شده‌اند، هنوز هم می‌توانند در معرض خطر باشند، اما با کار با سهام‌ داران تمام کسب و کار برای تعریف واضح خطرات خاص و سپس اولویت بندی آنها، سازمان هدف هزینه‌های خود را به طور دقیق پیدا می‌کند. تنها روش عاقلانه برای برقراری امنیت این است که پیش از پیاده سازی، برای امنیت طرحی آماده کنیم.
سازمانها همچنین باید به دقت به تاثیر کنترل های امنیتی خود توجه داشته باشند. مسدوود کردن یک خطر ممکن است به سادگی تهدیدی را متوجه جای دیگری بنماید. چگونه کارهای رمزگذاری است محرمانه نیستند: برای اطمینان از امنیت و اثربخشی، ریاضیات پشت الگوریتم‌های عمومی به طور گسترده ای برای بازبینی منتشر شده اند. نظر Amber Rudd برای محدود کردن برنامه‌هایی که رمزگذاری قوی end-to-end فراهم می‌کنند، نمی‌تواند مانع از از دانلود و کامپایل کتابخانه‌های رمزگذاری بازمتن که آزادانه در دسترس هستند، شود، و یا حتی مانع این شود که آنها برنامه‌های رمزگذاری خود را بنویسند و پیاده سازی کنند که به سادگی کپی الگوریتم‌های ریاضی در دسترس عموم می‌باشند.

۲. ایجاد فرهنگ امنیت سایبری و امکان کمک برای راهبری موفق کسب و کار

هیچ جایگاه امنی برای سازمان‌های پر کار وجود ندارد: امنیت سایبری مسئولیت همه است. طرح هایی همچون اطلاع رسانی و آموزش کاربر، کمک به کارکنان ناآشنا به IT برای شناسایی تهدیدات بالقوه و پرسش از فرآیندهای ناامن کسب و کار همراه با تشویق کادر فنی برای تعامل با همکاران خود، کمک می کند تا زمینه‌های امنیت داخلی توسعه یابد و درک عمیق‌تری از مسائل پرورش پیدا کند.همچنین مهم است به خاطر داشته باشیم که برخی از نیازهای امنیتی خاص ممکن است نیازمند تخصص متخصصین خارجی باشد.
CISO یکی از جایگاه‌های استراتژیک است. CISO کسی است که بر استراتژی کسب و کار و تعامل با سهامداران ارشد متمرکز است تا بتواند راهکارهای فنی را با نیازهای کسب و کار هماهنگ سازد.
عملکردهای امنیت سایبری در سطح جهان، شامل توانمندی بالا و تیم مجربی است که فرهنگ امنیت سایبری قدرتمندی بوجود آورند و همواره در پی یافتن راه‌های اجرای بهتر کسب و کار باشند.

۳. تمرکز بر حوزه‌های کلیدی فن آوری

سازمان‌های پیشرو در صنعت به روشنی می‌دانند که برای محافظت از دپارتمان IT کسب و کار، چه چیزی مورد نیاز است، به ویژه کسانی که در بزرگترین خطرات را در کنار بالاترین سودها معرفی می‌کنند.
آنها می دانند که چگونه از مزایای خدمات ابری بهره‌مند شوند و همزمان کنترل خود را بر دارایی‌های اطلاعاتی‌شان حفظ نمایند. آنها می توانند دستگاه های کاربر نهایی را در برابر تهدیدات هدفمند محافظت کنند و همزمان با کنترل آوردن دستگاه شخصی (BYOD)، روش‌های انعطاف پذیری برای کار ایجاد کنند.
کسب و کارهای موفق با دقت بر دارایی فناوری خود نظارت می‌کنند تا نقاط آسیب پذیری و نفوذ بالقوه را شناسایی کنند.

۴- ارزیابی دقیق عملکرد امنیت سایبری

سازمان ها باید دقیقا بدانند که امنیت سایبری آنها چگونه مؤثر تر خواهد بود، موجب می‌شود تا اندازه گیری دقیق بسیار حیاتی باشد. اقدامات سنتی اندازه گیری اثربخشی امنیت سایبری در دسترس، به اندازه کافی خوب نیست. گزاره تاریخی “چیزی نشده” رویکردی است که هیچ گونه اطلاعات مفیدی ارائه نمی‌کند مبنی بر اینکه در کدام گروه می‌توان استراتژی امنیت سایبر را بنا نمود، در عین حال که ظرفیت و انطباق معیارها تنها بخشی از داستان هستند.
این ترکیب می تواند یک حس امنیت کاذب ایجاد کند که این امر می تواند بسیار مخرب‌تر از اعترافی ساده مبنی بر عدم درک میزان اثربخشی، باشد.
دانستن تعداد ویروس‌های حذف شده و یا ایمیل‌های اسپم مسدود شده، و نیز زمان صرف شده برای شناسایی شاخص نفوذ، تنها نشان می‌دهد که چگونه سازمان به خوبی به تهدیدات واکنش نشان می‌دهد. به رغم تطابق با چک لیست‌های کنترل بهتر امنیت سایبری، هیچ تضمینی در برابر حوادث امنیتی وجود ندارد.
همچنین سازمانها باید به معیارهای سنجش هماهنگ با استراتژی توجه کنند: ارزیابی ریسک، شایستگی آنها در پیش بینی و دفاع در برابر حملات و توانایی آنها برای شناسایی و رفع علل ریشه ای پیدایش مشکلات.
از جمله معیارهای کسب و کار در ارزیابی، هیئت مدیره، درک کاملتری از عملکرد امنیتی سایبری را ارائه می دهد. ارزیابی رخدادهای امنیت سایبری از نظر هزینه و آسیب به روند کسب و کار، و نشان دادن محل افزایش عملکرد ابتکارات امنیت سایبری و یا پیشگیری از ظهور تهدیدات، نشان دهنده ارزش استراتژی کسب و کار است.
از نظر امنیت سایبری برای کسب و کار، درس های IPA و جریان خودکار و سریع تقاضا برای ممنوعیت رمزگذاری روشن است: منابع بزرگ را برای اجرای استراتژی‌هایی که متناسب با هدف نیستند و نمی‌توانند به درستی نیازمندی‌ها را بسنجند، هدر ندهید. حق داشتن امنیت سایبری شغل کارشناسان اسن و نه آماتورها.

جهت ایجاد امنیت در اینترنت و شبکه، با نمایندگی تجهیزات شبکه متصاکو در تماس باشید.

برچسب‌ها: بدون برچسب

دیدگاه ها بسته شده اند.