روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ امنیت اطلاعات تماماً تنش و استرس است: مدام باید رخدادهای سایبری احتمالی را زیر نظر داشت و ساعتهای طولانی به نبرد بدون پایان سایر دپارتمانها پرداخت؛ همانهایی که امنیت سایبری را امری غیرضروری میپندارند. آنها در بهترین حالت سعی میکنند اصلاً بدان فکر نکنند اما در موارد حاد از هر مقولهای که به امنیت سایبری مربوط میشود فراریاند. نتیجه عقلانی هم میشود اینکه 62 درصد مدیران برتر –که برای نظرسنجی با کسپرسکی همکاری کردند- اعتراف کردهاند سوءتفاهم بین شرکتها و دپارتمانهای امنیت اطلاعات به رخدادهای سایبری بسیاری جدی انجامیده. برای تغییر رفتار با تیم امنیت اطلاعات در سازمان مهم است که مهرههای اصلی –یعنی هیئت مدیره- دست به حمایت بزند. حال سوال این است باید به یک مدیر یا CEO که همیشه سرش شلوغ است و اغلب مود حرف زدن در مورد امنیت اطلاعات را ندارد چطور از این مقوله گفت؟ در ادامه 5 درس کلیدی به شما خواهیم گفت که میتواند به انتقال صحیح پیام به مدیران بیانجامد. با ما همراه بمانید.
آموزش امنیت سایبری
در هر آموزشی باید به آموزگار اعتماد کرد و اگر دانشآموز CEO باشد کار، سخت میشود. ایجاد پُلی بینافردی و کسب اعتبار راحتتر خواهد بود اگر کار را را امنیت سایبری شخصی مدیر ارشد شروع کنید نه با استراتژی. این مستقیماً امنیت کل شرکت را تحتالشعاع قرار میدهد زیرا دادهها و پسوردهای شخصی CEO اغلب توسط مهاجمین مورد حمله قرار میگیرد. برای مثال رسوایی اواخر 2022 در آمریکا را به یاد بیاورید زمانیکه مهاجمین به شبکه اجتماعی VIP به نام Infragard نفوذ کردند. این شبکه توسط افبیآی برای اطلاعرسانی محرمانه به مدیران سازمانهای بزرگ در مورد جدیترین تهدیدهای سایبری استفاده میشد. هکرها پایگاه داده آن را با آدرس ایمیل و شماره تلفن بیش از 80 هزار عضو سرقت کردند و به قیمت 50 هزار دلار آمریکا به فروش گذاشتند. آنهایی که اطلاعات را خریدند حالا به اطلاعات تماس مجهز بودند میتوانستند یا از اعتماد مدیران آلودهشده استفاده کنند و یا این اطلاعات را درحملات BEC به کار ببرند. با این تفاسیر مهم است که مدیریت از احراز هویت دوعاملی با توکنهای USB و NFC روی همه دستگاهها استفاده کند، پسوردهایش طولانی و خاص باشد، از همه دستگاههای شخصی و کاری خود با نرمافزارهای مناسب محافظت نموده و امور دیجیتالی شخصی را از کاری همیشه جدا نگه دارد.
این را هم بگوییم که هر اشتباهی بهایی دارد و خدا نکند اگر بها سنگین باشد. برای همین مهم است همه ایمیلها و پیوستهای مشکوک شدیداً بررسی شوند. برخی مدیران ممکن است برای مدیریت برخی فایلها یا لینکهای مشکوک از فرد در بخش امنیت اطلاعات کمک گیرند. وقتی مدیریت اصول اولیه امنیت را فراگرفت میشود به آرامی او را به سمت تصمیمگیری استراتژیک سوق داد: آموزش امنیت اطلاعات معمول برای همه کارمندان شرکت. برای هر سطح کارمند، الزامات دانش متفاوت خواهد بود. هر کس از جمله کارمندانی که اصطلاحاً خط مقدم هستند باید قوانین مذکور بهداشت سایبری و نیز توصیههایی در مورد نحوه واکنشدهی به موارد مشکوک و یراستاندارد را در نظر بگیرند. مدیران –خصوصاً آنهایی که در بخش آیتی هستند- از درک عمیقتری از نحوه ادغام امنیت با توسعه محصول و ساز و کار چرخه عمر، اینکه چه خطمشیهای امنیتی باید در دپارتمانها اتخاذ شود و همه اینها روی عملکرد کسب و کار چه تأثیری میگذارد بهره خواهند برد. در مقایسه، کارمندان امنیت اطلاعات خودشان باید به بررسی پروسههای تجاری اتخاذشده در شرکت بپردازند تا بدانند چطور میشود بدون دردسر آنها را با راهکارهای لازم یکپارچهسازی کنند.
ادغام امنیت سایبری در استراتژی و فرآیندهای شرکت
با دیجیتالی شدن اقتصاد، چشمانداز جرایم سایبری پیچیدهتر میشود و رگولاسیون نیز تشدید. مدیریت ریسک سایبری از این رو به مهمترین وظیفهی یک مدیر تبدیل میشود. این ابعاد تکنولوژیکی، انسانی، مالی، قانونی و سازمانی را شامل میشود؛ پس رهبران هر حوزه باید در سازگاری با استراتژی و فرآیندهای شرکت دخیل باشند. حال چطور میشود ریسک تأمینکننده یا کنتراکتور هکشده را کم کرد –با توجه به اینکه در چنین سناریویی میتوانیم به تارگت ثانویه تبدیل شویم؟ چه قوانینی در صنعت ما ذخیره و انتقال دادههای حساس را مانند اطلاعات شخصی مشتری نظارت میکند؟ اثر عملیاتی حمله باجافزاری که همه کامپیوترها را مسدود و پاک میکند چه خواهد بود و چقدر طول میکشد همه را از بکآپهایشان ریستور کرد؟ آیا وقتی حملهای به ما جلوی شرکا و عموم میشود میتوان اعتبار خدشهدار شده را با پول اندازهگیری کرد؟
اینها سوالاتی است که سرویسها و متخصصین امنیت اطلاعات سایر دپارتمانها باید از خود بپرسند (در این میان حمایت سازمانی و فنی نیز نیاز است). مهم است که یادآوری کنیم مدیریت ارشدی که سیستم محافظتی میخرد علاج همه دردهای سازمان را در دستان خود ندارد: بین 46 تا 77 درصد همه رخدادها به عامل انسانی مربوط میشود. از عدم رعایت مقررات و افراد مخرب داخلی گرفته تا عدم شفافیت فناوری اطلاعات از سوی پیمانکاران. با وجود این، مسائل امنیت اطلاعات همیشه حول محور بودجه میچرخد.
سرمایهگذاری اشتباه
پول برای امنیت اطلاعات همیشه کم است و این درحالیست که مشکلات برای حل شدن تمامی ندارند. پس باید به ترتیب الزامات صنعت مربوطه را اولویتبندی کرد و تهدیدهایی که بیشترین ربط را به سازمان شما داشته و پتانسیل آسیبرسانی حداکثری را دارند مقدم دانست. این برای همه حوزهها صادق است- از بستن آسیبپذیری گرفته تا آموش کارمندان. هیچیک را نباید نادیده گرفت. هر کدام اولویتهای خود را خواهند داشت. با همگام جلو رفتن با بودجه اختصاصدادهشده میشود ریسکهای کلیدی را حذف کرد و بعد به ریسکهای کمتر محتمل رسید.
اینکه بخواهیم احتمال ریسکها را خودمان ترتیببندی کنیم عملاً غیرممکن است پس باید گزارشات چشمانداز تهدید صنعت خود را بررسی کنید و بردارهای حمله معمول را تحلیل نمایید. البته وقتی بودجه قرار باشد افزایش باید به چیزهای جالبتری هم خواهید رسید. بالغترین رویکرد بودجهبندی آنی است که بر اساس ریسکها و هزینه مربوطه برای واقعیسازی و کاستن آنها باشد اما همچنین رویکرد بسیار سختی است. مثالهای زنده –در حالت ایدهآل از تجربه رقبا- مهمترین نقش را در جلسات مدیران دارند. اما خیلی هم راحت نمیشود به چنین تجاربی دست یافت و برای همین است که رایج است افراد به محکزنیهای مختلف متوسل میشوند که برای برخی حوزههای تجاری و کشورها بودجه در نظر میگیرند.
هر نوع ریسکی را لحاظ کنید
بحث امنیت اطلاعات معمولاً بیش از حد بر روی هکرها و راهکارهای نرمافزاری متمرکز میشود تا آنها را شکست دهد. اما عملیات روزانه بسیاری از سازمانها با خطرات دیگری نیز مواجه است که به امنیت اطلاعات نیز مربوط میشود. بدون شک، یکی از رایجترین موارد در سالهای اخیر، خطر نقض قوانین مربوط به ذخیرهسازی و استفاده از دادههای شخصی: GPDR، CCPA و موارد مشابه بوده است. رویه فعلی اجرای قانون نشان میدهد که نادیده گرفتن آنها یک گزینه نیست: دیر یا زود تنظیم کننده جریمه ای را اعمال میکند و در بسیاری از موارد - به ویژه در اروپا - ما در مورد مبالغ قابل توجهی صحبت میکنیم.
چشمانداز نگران کنندهتر که برای شرکتها در پیش است، اعمال جریمههای مبتنی بر گردش مالی برای افشای اطلاعات یا مدیریت نادرست دادههای شخصی است، بنابراین ممیزی جامع از سیستمها و فرآیندهای اطلاعاتی با هدف حذف گام به گام تخلفات بسیار به موقع خواهد بود. تعدادی از صنایع معیارهای خاص خود را دارند، بهویژه بخشهای مالی، مخابراتی و پزشکی و همچنین اپراتورهای زیرساختهای حیاتی. بهبود انطباق با الزامات نظارتی در بخشهای خود باید وظیفه نظارت منظم مدیران در این حوزهها باشد.
واکنشدهی صحیح
متأسفانه، با وجود تلاشهای بسیار رخدادهای امنیت سایبری تقریباً اجتنابناپذیرند. اگر مقیاس یک حمله به اندازه کافی بزرگ باشد که توجه اتاق هیئت مدیره را به خود جلب کند، تقریباً به طور قطع به معنای اختلال در عملیات یا نشت دادههای مهم است. نه تنها امنیت اطلاعات، بلکه واحدهای تجاری نیز باید آماده پاسخگویی باشند، در حالت ایدهآل با گذراندن تمرینات. حداقل، مدیریت ارشد باید روش های پاسخگویی را بداند و از آنها پیروی کند تا شانس نتیجه مطلوب را کاهش ندهد. سه مرحله اساسی برای مدیرعامل وجود دارد:
- فوراً در مورد رخداد به گروههای کلیدی مربوطه اطلاع دهید؛ بسته به زمینه: دپارتمانهای مالی و قانونی، بیمه گذاران، رگولاتورهای صنعتی، رگولاتورهای محافظت داده، اجرای قانون، مشتریان قربانی. در بسیاری از موارد، قاب زمانی برای چنین اطلاعرسانی توسط قانون تعیین میشود اما اگر این کار انجام نشد رگولاسیون اینترنتی باید جایگزین گردد. عقل سلیم حکم میکند این اطلاعیه بیشتر فوری باشد تا صرفاً یک اعلامیه. منظور اینکه پیش از خبر دادن اطلاعات در مورد ماهیت رخداد باید جمعآوری گردد (مانند ارزیابی اوله مقیاس و اقدامات اولیهای که در واکنش به رخداد انجام شده است).
- رخداد را بررسی کنید. باید مقیاس و پیامدهای حمله بدرستی ارزیابی شود. جدا از اقدامات تماماً فنی، برای مثال تحقیقات کارمندان نیز میتواند بسیار حائز اهمیت باشد. در طول بررسی، نباید شواهد دیجیتالی حمله یا مصنوعات دیگر آسیب ببینند. در بسیاری از موارد بهتر است برای بازرسی و رفع رخداد از متخصصین برون سازمانی کمک بگیرید.
- یک جدول زمانی ارتباطاتی تهیه کنید. اشتباه رایج شرکتها این است که سعی دارند خرابی ناشی از وقوع رخداد را پنهان کنند. دیر یا زود مقیاس حقیقی مشکل برملا خواهد شد و عقب انداختن آن آسیب را تشدید میکند (هم آسیب به اعتبار سازمان هم از نظر مالی و...). از این رو ارتباطات داخلی و خارجی باید طبق روال و نظاممند باشد. باید از اقداماتی که قرار است انجام شود و آنچه در آینده پیشبینی میشود درک روشنی داشت. ایده خوبیست اگر بشود ارتباطات را متمرکز کرد؛ بدینمعنا که نمایندگان برونسازی و درونسازمانی را تعیین کرد و نگذاشت کس دیگری این نقش را دست گیرد.
صحبت در مورد خصوص امنیت سایبری با مدیریت کار زمانبری است و اغلب مدیران برای شنیدن این اخبار جایزه به کسی نمیدهند پس این 5 درس میتواند همه این زحمات را در یکی دو نشست کوتاه خلاصه کند. تعامل شرکت با امنیت اطلاعات پروسه طولانی است که به تلاش دوطرفه برای درک همدیگر نیاز دارد. فقط رویکردی نظاممند و گام به گام که بر روال خاصی انجام شده و عملاً شامل همه مدیران شود میتواند شما را در رقابت بر سر جهتیابی سایبری بین رقبا پیروز کند.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
