5 درس کلیدی امنیت سایبری برای CEO

11 بهمن 1401 5 درس کلیدی امنیت سایبری برای CEO

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ امنیت اطلاعات تماماً تنش و استرس است: مدام باید رخدادهای سایبری احتمالی را زیر نظر داشت و ساعت‌های طولانی به نبرد بدون پایان سایر دپارتمان‌ها پرداخت؛ همان‌هایی که امنیت سایبری را امری غیرضروری می‌پندارند. آن‌ها در بهترین حالت سعی می‌کنند اصلاً بدان فکر نکنند اما در موارد حاد از هر مقوله‌ای که به امنیت سایبری مربوط می‌شود فراری‌اند. نتیجه عقلانی‌ هم می‌شود اینکه 62 درصد مدیران برتر –که برای نظرسنجی با کسپرسکی همکاری کردند- اعتراف‌ کرده‌اند سوءتفاهم بین شرکت‌‌ها و دپارتمان‌های امنیت اطلاعات به رخدادهای سایبری بسیاری جدی انجامیده. برای تغییر رفتار با تیم امنیت اطلاعات در سازمان مهم است که مهره‌های اصلی –یعنی هیئت مدیره- دست به حمایت بزند. حال سوال این است باید به یک مدیر یا CEO که همیشه سرش شلوغ است و اغلب مود حرف زدن در مورد امنیت اطلاعات را ندارد چطور از این مقوله گفت؟ در ادامه 5 درس کلیدی به شما خواهیم گفت که می‌تواند به انتقال صحیح پیام به مدیران بیانجامد. با ما همراه بمانید.

آموزش امنیت سایبری

در هر آموزشی باید به آموزگار اعتماد کرد و اگر دانش‌آموز CEO باشد کار، سخت می‌شود. ایجاد پُلی بینافردی و کسب اعتبار راحت‌تر خواهد بود اگر کار را را امنیت سایبری شخصی مدیر ارشد شروع کنید نه با استراتژی. این مستقیماً امنیت کل شرکت را تحت‌الشعاع قرار می‌دهد زیرا داده‌ها و پسوردهای شخصی CEO اغلب توسط مهاجمین مورد حمله قرار می‌گیرد. برای مثال رسوایی اواخر 2022 در آمریکا را به یاد بیاورید زمانیکه مهاجمین به شبکه اجتماعی VIP به نام Infragard نفوذ کردند. این شبکه توسط اف‌بی‌آی برای اطلاع‌رسانی محرمانه به مدیران سازمان‌های بزرگ در مورد جدی‌ترین تهدیدهای سایبری استفاده می‌شد. هکرها پایگاه داده آن را با آدرس ایمیل و شماره تلفن بیش از 80 هزار عضو سرقت کردند و به قیمت 50 هزار دلار آمریکا به فروش گذاشتند. آن‌هایی که اطلاعات را خریدند حالا به اطلاعات تماس مجهز بودند می‌توانستند یا از اعتماد مدیران آلوده‌شده استفاده کنند و یا این اطلاعات را درحملات BEC به کار ببرند. با این تفاسیر مهم است که مدیریت از احراز هویت دوعاملی با توکن‌های USB و NFC روی همه دستگاه‌ها استفاده کند، پسوردهایش طولانی و خاص باشد، از همه دستگاه‌های شخصی و کاری خود با نرم‌افزارهای مناسب محافظت نموده و امور دیجیتالی شخصی را از کاری همیشه جدا نگه دارد.

این را هم بگوییم که هر اشتباهی بهایی دارد و خدا نکند اگر بها سنگین باشد. برای همین مهم است همه ایمیل‌ها و پیوست‌های مشکوک شدیداً بررسی شوند. برخی مدیران ممکن است برای مدیریت برخی فایل‌ها یا لینک‌های مشکوک از فرد در بخش امنیت اطلاعات کمک گیرند. وقتی مدیریت اصول اولیه امنیت را فراگرفت می‌شود به آرامی او را به سمت تصمیم‌گیری استراتژیک سوق داد: آموزش امنیت اطلاعات معمول برای همه کارمندان شرکت. برای هر سطح کارمند، الزامات دانش متفاوت خواهد بود. هر کس از جمله کارمندانی که اصطلاحاً خط مقدم هستند باید قوانین مذکور بهداشت سایبری و نیز توصیه‌هایی در مورد نحوه واکنش‌دهی به موارد مشکوک و یراستاندارد را در نظر بگیرند. مدیران –خصوصاً آن‌هایی که در بخش آی‌تی هستند- از درک عمیق‌تری از نحوه ادغام امنیت با توسعه محصول و ساز و کار چرخه عمر، اینکه چه خط‌مشی‌های امنیتی باید در دپارتمان‌ها اتخاذ شود و همه اینها روی عملکرد کسب و کار چه تأثیری می‌گذارد بهره خواهند برد. در مقایسه، کارمندان امنیت اطلاعات خودشان باید به بررسی پروسه‌های تجاری اتخاذشده در شرکت بپردازند تا بدانند چطور می‌شود بدون دردسر آن‌ها را با راهکارهای لازم یکپارچه‌سازی کنند.

ادغام امنیت سایبری در استراتژی و فرآیندهای شرکت

با دیجیتالی شدن اقتصاد، چشم‌انداز جرایم سایبری پیچیده‌تر می‌شود و رگولاسیون نیز تشدید. مدیریت ریسک سایبری از این رو به مهم‌ترین وظیفه‌ی یک مدیر تبدیل می‌شود. این ابعاد تکنولوژیکی، انسانی، مالی، قانونی و سازمانی را شامل می‌شود؛ پس رهبران هر حوزه باید در سازگاری با استراتژی و فرآیندهای شرکت دخیل باشند. حال چطور می‌شود ریسک تأمین‌کننده یا کنتراکتور هک‌شده را کم کرد –با توجه به اینکه در چنین سناریویی می‌توانیم به تارگت ثانویه تبدیل شویم؟ چه قوانینی در صنعت ما ذخیره و انتقال داده‌های حساس را مانند اطلاعات شخصی مشتری نظارت می‌کند؟ اثر عملیاتی حمله باج‌افزاری که همه کامپیوترها را مسدود و پاک می‌کند چه خواهد بود و چقدر طول می‌کشد همه را از بک‌آپ‌هایشان ریستور کرد؟ آیا وقتی حمله‌ای به ما جلوی شرکا و عموم می‌شود می‌توان اعتبار خدشه‌دار شده را با پول اندازه‌گیری کرد؟

اینها سوالاتی است که سرویس‌ها و متخصصین امنیت اطلاعات سایر دپارتمان‌ها باید از خود بپرسند (در این میان حمایت سازمانی و فنی نیز نیاز است). مهم است که یادآوری کنیم مدیریت ارشدی که سیستم محافظتی می‌خرد علاج همه دردهای سازمان را در دستان خود ندارد: بین 46 تا 77 درصد همه رخدادها به عامل انسانی مربوط می‌شود. از عدم رعایت مقررات و افراد مخرب داخلی گرفته تا عدم شفافیت فناوری اطلاعات از سوی پیمانکاران. با وجود این، مسائل امنیت اطلاعات همیشه حول محور بودجه می‌چرخد.

سرمایه‌گذاری اشتباه

پول برای امنیت اطلاعات همیشه کم است و این درحالیست که مشکلات برای حل شدن تمامی ندارند. پس باید به ترتیب الزامات صنعت مربوطه را اولویت‌بندی کرد و تهدیدهایی که بیشترین ربط را به سازمان شما داشته و پتانسیل آسیب‌رسانی حداکثری را دارند مقدم دانست. این برای همه حوزه‌ها صادق است- از بستن آسیب‌پذیری گرفته تا آموش کارمندان. هیچیک را نباید نادیده گرفت. هر کدام اولویت‌های خود را خواهند داشت. با همگام جلو رفتن با بودجه اختصاص‌داده‌شده می‌شود ریسک‌های کلیدی را حذف کرد و بعد به ریسک‌های کمتر محتمل رسید.

اینکه بخواهیم احتمال ریسک‌ها را خودمان ترتیب‌بندی کنیم عملاً غیرممکن است پس باید گزارشات چشم‌انداز تهدید صنعت خود را بررسی کنید و بردارهای حمله معمول را تحلیل نمایید. البته وقتی بودجه قرار باشد افزایش باید به چیزهای جالب‌تری هم خواهید رسید. بالغ‌ترین رویکرد بودجه‌بندی آنی است که بر اساس ریسک‌ها و هزینه مربوطه برای واقعی‌سازی و کاستن آن‌ها باشد اما همچنین رویکرد بسیار سختی است. مثال‌های زنده –در حالت ایده‌آل از تجربه رقبا- مهمترین نقش را در جلسات مدیران دارند. اما خیلی هم راحت نمی‌شود به چنین تجاربی دست یافت و برای همین است که رایج است افراد به محک‌زنی‌های مختلف متوسل می‌شوند که برای برخی حوزه‌های تجاری و کشورها بودجه در نظر می‌گیرند.

هر نوع ریسکی را لحاظ کنید

بحث امنیت اطلاعات معمولاً بیش از حد بر روی هکرها و راهکارهای نرم‌افزاری متمرکز می‌شود تا آنها را شکست دهد. اما عملیات روزانه بسیاری از سازمان‌ها با خطرات دیگری نیز مواجه است که به امنیت اطلاعات نیز مربوط می‌شود. بدون شک، یکی از رایج‌ترین موارد در سال‌های اخیر، خطر نقض قوانین مربوط به ذخیره‌سازی و استفاده از داده‌های شخصی: GPDR، CCPA و موارد مشابه بوده است. رویه فعلی اجرای قانون نشان می‌دهد که نادیده گرفتن آنها یک گزینه نیست: دیر یا زود تنظیم کننده جریمه ای را اعمال می‌کند و در بسیاری از موارد - به ویژه در اروپا - ما در مورد مبالغ قابل توجهی صحبت می‌کنیم.‌

چشم‌انداز نگران کننده‌تر که برای شرکت‌ها در پیش است، اعمال جریمه‌های مبتنی بر گردش مالی برای افشای اطلاعات یا مدیریت نادرست داده‌های شخصی است، بنابراین ممیزی جامع از سیستم‌ها و فرآیندهای اطلاعاتی با هدف حذف گام به گام تخلفات بسیار به موقع خواهد بود. تعدادی از صنایع معیارهای خاص خود را دارند، به‌ویژه بخش‌های مالی، مخابراتی و پزشکی و همچنین اپراتورهای زیرساخت‌های حیاتی. بهبود انطباق با الزامات نظارتی در بخش‌های خود باید وظیفه نظارت منظم مدیران در این حوزه‌ها باشد.

واکنش‌دهی صحیح

متأسفانه، با وجود تلاش‌های بسیار رخدادهای امنیت سایبری تقریباً اجتناب‌ناپذیرند. اگر مقیاس یک حمله به اندازه کافی بزرگ باشد که توجه اتاق هیئت مدیره را به خود جلب کند، تقریباً به طور قطع به معنای اختلال در عملیات یا نشت داده‌های مهم است. نه تنها امنیت اطلاعات، بلکه واحدهای تجاری نیز باید آماده پاسخگویی باشند، در حالت ایده‌آل با گذراندن تمرینات. حداقل، مدیریت ارشد باید روش های پاسخگویی را بداند و از آنها پیروی کند تا شانس نتیجه مطلوب را کاهش ندهد. سه مرحله اساسی برای مدیرعامل وجود دارد:

  •         فوراً در مورد رخداد به گروه‌های کلیدی مربوطه اطلاع دهید؛ بسته به زمینه: دپارتمان‌های مالی و قانونی، بیمه گذاران، رگولاتورهای صنعتی، رگولاتورهای محافظت داده، اجرای قانون، مشتریان قربانی. در بسیاری از موارد، قاب زمانی برای چنین اطلاع‌رسانی توسط قانون تعیین می‌شود اما اگر این کار انجام نشد رگولاسیون اینترنتی باید جایگزین گردد. عقل سلیم حکم می‌کند این اطلاعیه بیشتر فوری باشد تا صرفاً یک اعلامیه. منظور اینکه پیش از خبر دادن اطلاعات در مورد ماهیت رخداد باید جمع‌آوری گردد (مانند ارزیابی اوله مقیاس و اقدامات اولیه‌ای که در واکنش به رخداد انجام شده است).
  •         رخداد را بررسی کنید. باید مقیاس و پیامدهای حمله بدرستی ارزیابی شود. جدا از اقدامات تماماً فنی، برای مثال تحقیقات کارمندان نیز می‌تواند بسیار حائز اهمیت باشد. در طول بررسی، نباید شواهد دیجیتالی حمله یا مصنوعات دیگر آسیب ببینند. در بسیاری از موارد بهتر است برای بازرسی و رفع رخداد از متخصصین برون سازمانی کمک بگیرید.
  •         یک جدول زمانی ارتباطاتی تهیه کنید. اشتباه رایج شرکت‌ها این است که سعی دارند خرابی ناشی از وقوع رخداد را پنهان کنند. دیر یا زود مقیاس حقیقی مشکل برملا خواهد شد و عقب انداختن آن آسیب را تشدید می‌کند (هم آسیب به اعتبار سازمان هم از نظر مالی و...). از این رو ارتباطات داخلی و خارجی باید طبق روال و نظام‌مند باشد. باید از اقداماتی که قرار است انجام شود و آنچه در آینده پیش‌بینی می‌شود درک روشنی داشت. ایده خوبیست اگر بشود ارتباطات را متمرکز کرد؛ بدین‌معنا که نمایندگان برون‌سازی و درون‌سازمانی را تعیین کرد و نگذاشت کس دیگری این نقش را دست گیرد.

صحبت در مورد خصوص امنیت سایبری با مدیریت کار زمان‌بری است و اغلب مدیران برای شنیدن این اخبار جایزه به کسی نمی‌دهند پس این 5 درس می‌تواند همه این زحمات را در یکی دو نشست کوتاه خلاصه کند. تعامل شرکت با امنیت اطلاعات پروسه طولانی است که به تلاش دوطرفه برای درک همدیگر نیاز دارد. فقط رویکردی نظام‌مند و گام به گام که بر روال خاصی انجام شده و عملاً شامل همه مدیران شود می‌تواند شما را در رقابت بر سر جهت‌یابی سایبری بین رقبا پیروز کند.

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    6,451,350 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    9,680,100 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    2,420,025 ریال9,680,100 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    5,811,750 ریال23,247,000 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    64,568,850 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    9,132,750 ریال18,265,500 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    13,096,425 ریال26,192,850 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    14,009,700 ریال28,019,400 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد