چالش امنیت سایبری
از بین بردن تهدیدات سایبری امری غیرممکن به نظر میرسد، بنابراین حفاظت از اطلاعات و دادهها در برابر آنها بدون اینکه اختلالی در رشد و نوآوری ایجاد شود یک مساله مهم مدیریتی به شمار میرود.
مترجم: زهره همتیان
از بین بردن تهدیدات سایبری امری غیرممکن به نظر میرسد، بنابراین حفاظت از اطلاعات و دادهها در برابر آنها بدون اینکه اختلالی در رشد و نوآوری ایجاد شود یک مساله مهم مدیریتی به شمار میرود. امنیت سایبری به معنی حفاظت از مالکیت معنوی با ارزش و اطلاعات کسبوکار به صورت دیجیتال در برابر سرقت و سوءاستفاده است و به طور فزایندهای تبدیل به یک مساله مهم مدیریتی شده است. دولت آمریکا امنیت سایبری را یکی از جدیترین چالشهای امنیت ملی و اقتصادی برای کشورش برمیشمرد.
در حال حاضر شرکتها باید در برابر حملات سایبری آماده باشند و درصدد دفع آنها برآیند. این تهدیدات میتواند از طرف مجرمان رایانهای یا حتی از سوی کارمندان ناراضی صورت گیرد؛ کسانی که اطلاعات حساس را منتشر میکنند و مالکیت معنوی را در اختیار رقبا قرار میدهند یا اینکه در کلاهبرداریهای آنلاین شرکت میکنند. با اینکه شرکتهای پیشرفته اخیرا متحمل رخنه و نفوذهای بسیاری به محیطهای تکنولوژی خود شدهاند، بسیاری از این حملات رایانهای گزارش نمیشوند. در واقع، شرکتها تمایل ندارند اعلام کنند که مجبور به پرداخت باج به مجرمان سایبری شدهاند و نمیخواهند در مورد آسیبهای وارده توضیحی ارائه دهند.با توجه به افزایش سرعت و پیچیدگی تهدیدات، شرکتها باید برای امنیت سایبری شیوههایی را اتخاذ کنند که نیازمند مشارکت بیشتر از سوی مدیرعامل و سایر مدیران ارشد است تا بتوانند اطلاعات حیاتی شرکت را بدون اعمال محدودیت بر رشد و نوآوری حفاظت کنند.
چرا امنیت سایبری مساله بسیار مهمی است؟
اکثر شرکتهای بزرگ به طرز چشمگیری قابلیتهای امنیت سایبری خود را در طول پنج سال گذشته تقویت کردهاند. فرآیندهای رسمی برای شناسایی و اولویتبندی خطرات امنیتی IT و توسعه استراتژیهای کاهش خطرات به اجرا درآمدهاند و صدها میلیون دلار برای اجرای این استراتژیها اختصاص یافته است. محیطهای دسکتاپ نسبت به پنج سال قبل در برابر حملهها بسیار کمتر آسیبپذیرند، پورتهای USB غیرفعال و خدمات پست الکترونیک وب مسدود شدهاند. همچنین طرحها و تکنولوژیهای قدرتمند برای مقابله با حملات در نظر گرفته شدهاند.
به تازگی مصاحبهها و جلسات حل مشکل با مدیران امنیت اطلاعات در ۲۵ شرکت جهانی برگزار شد و نتایج نشان داد که نگرانیهای گستردهای در این زمینه وجود دارد. ترکیبی از دو عامل پیشرفت تکنولوژی در شرکتها و مهم تر از آن فعالان بدخواه، کار حفاظت از اطلاعات و فرآیندهای کسب وکار را پیچیده میسازد. سه نکته مشترک از این مصاحبهها بهدست آمد:
• جابهجایی ارزش (value migration)؛ که به صورت آنلاین انجام میشود. چرا برخی موسسات حملات آنلاین بیشتری را نسبت به چند سال پیش تجربه میکنند؟ جواب ساده است. هرچه معاملات آنلاین بیشتری انجام شود انگیزه بیشتری برای مجرمان سایبری به وجود میآید. به علاوه، شرکتها به دنبال کاوش دادههایی مثل معامله و اطلاعات مشتری یا اطلاعات بازار برای ایجاد مالکیت معنوی با ارزش هستند که این به نوبه خود هدف جذابی است.
• انتظار میرود که شرکتها بیش از گذشته دارای سیستم «باز» باشند. به طور فزایندهای افراد شاغل در واحدهای تجاری خواستار دسترسی به شبکههای شرکت هستند و این کار را از طریق همان دستگاههای قابل حملی (تلفن همراه، تبلت و...) انجام میدهند که در زندگی روزمره خود استفاده میکنند. در حالی که تلفنهای همراه هوشمند و تبلتها امکان ارتباط را افزایش میدهند، اما در عین حال انواع تهدیدات امنیتی جدید را نیز دربردارند: هنگامی که هکرها دستگاهی را رمزگشایی یا کرک کنند، برای بدافزارها یک مسیر ورود آسان به شبکههای شرکت ایجاد میشود.
• فعالیتهای بدخواهانه در حال پیچیدهتر شدن هستند. سازمانهای حرفهای جرائم رایانهای، هکرهای سیاسی و گروههای تحت حمایت دولتهای رقیب به لحاظ تکنولوژی پیشرفته تر شده اند و در برخی موارد از مهارتها و منابع تیمهای امنیتی شرکتها پیش افتادهاند. هکرها در ازای هر دستگاهی که مورد نفوذ قرار دهند پول دریافت میکنند. در نتیجه، در ۵ سال گذشته حملات هدفمند و پیچیدهتر شده است. امروزه ردیابی ویروسها بسیار مشکل تر شده است. اغلب این ویروسها اطلاعاتی را میدزدند که سود مالی داشته باشد.
به کارگیری مدل جدید امنیت سایبری بر پایه کسبوکار
در حال حاضر بیش از هر زمان دیگری، حفاظت از تکنولوژی شرکتها در برابر آسیبهای مخرب و استفاده نامناسب نیازمند اعمال محدودیتهای هوشمند بر چگونگی دسترسی کارمندان، مشتریان و شرکا به اطلاعات و برنامههای شرکت است. تدابیر امنیتی ناکافی منجر به از دست دادن اطلاعات حیاتی میشود، اما کنترلهای شدید افراطی نیز میتواند مانع انجام کار شود یا اثرات نامطلوب دیگری به جای گذارد. برای مثال، به کار بردن یک نرمافزار امنیتی در یک بانک سرمایه گذار باعث شده متخصصان ادغام و مالکیت (M&A) مجبور شوند خدمات ایمیل و لپتاپهای شرکت را کنار بگذارند و به جای آن از کامپیوترهای شخصی خود و ایمیل تحت وب استفاده کنند.
امنیت سایبری باید در سطوح ارشد مورد توجه قرار گیرد
در بسیاری از سازمانها، امنیت سایبری اساسا یک مساله مربوط به تکنولوژی در نظر گرفته میشود. اکثر مصاحبهشوندگان معتقدند که مدیران ارشد شرکت برای سبک و سنگین کردن سرمایهگذاریها، ریسکها و رفتار کاربر درک بسیار کمی نسبت به مفاهیم تجاری و ریسکهای امنیتی IT دارند. موسسات بسیار کمی امنیت سایبری را به جای حاکمیت تکنولوژی بخش اصلی استراتژی کسب وکار قرار دادهاند. مدیرعامل یک شرکت سعی کرد با مشارکت مستقیم خود با مدیران امنیتی ارشد در انجام تصمیم گیریهای کلیدی، اهمیت امنیت سایبری را نشان دهد. برخی از سازمانها اقدام به، بهکارگیری ماموران امنیتی اطلاعات در واحدهای کسبوکار کردهاند تا به طور نزدیک با مدیران ارشد آنجا همکاری داشته باشند.
به جای«پیشبرد تکنولوژی» به فکر «پشتیبانی از کسبوکار» باشید
شرکتها بایستی به طور فزاینده برای برخورد با ریسکهای سایبری تفکرشان را تغییر دهند. به جای پرداختن به آسیبپذیریهای مربوط به تکنولوژی، شرکتها ابتدا باید از مهمترین سرمایهها یا فرآیندهای کسبوکار (مانند اطلاعات کارت اعتباری مشتری) حمایت کنند که ما آن را رویکرد «پشتیبانی از کسبوکار» مینامیم. تاکنون بسیاری از موسسات بزرگ برنامههای چندساله را برای طبقهبندی اطلاعات شرکت اجرا کردهاند، به گونهای که میتوانند سیاستها و تلاشهای امنیت سایبری را روی مهمترین سرمایههای اطلاعاتی متمرکز کنند. شرکتها شروع به ارزیابی خصوصیات ریسک سایبری در زنجیره ارزش کامل کردهاند، در عین حال به شفافسازی انتظارات خود از فروشندگان و ارتقای همکاری با شرکای اصلی کسب وکار میپردازند.
حفاظت از اطلاعات به جای حفاظت از محیط
اکثر سازمانها با قرار دادن سیستمهای حفاظتی پیچیده در محیط اطراف خود سعی بر رسیدن به امنیت سایبری دارند. واقعیت این است که فرد حملهکننده احتمالا یک راه نفوذ پیدا میکند یا اینکه کارمندی ممکن است سهوا شکافی ایجاد کند، برای مثال اطلاعات حساس یک مشتری را ایمیل کند.
شرکتهای پیشرو در حال تغییر ساختارهای امنیتی شان از دستگاهها و مکانها به نقشها و دادهها هستند. با وصل کردن لپتاپ خود به شبکه در نقطهای از شرکت، تنها ممکن است بتوانید به وبسایتهای در دسترس عموم وارد شوید. اما دستیابی به اطلاعات و برنامههای شرکت نیازمند تایید هویت شما است.
امنیت به زودی به یک تصمیم اساسی طراحی در ساختارهای تکنولوژی بنیادین تبدیل میشود. برای مثال، اگر اطلاعات کارت اعتباری مشتری در یک پایگاه داده قرار بگیرد، یک مجرم سایبری برای انجام معاملات کلاهبرداری تنها میتواند یک بار به آن نفوذ کند. جدا کردن شمارههای کارت اعتباری و تاریخهای انقضا تا حد زیادی کار را پیچیده میکند. از آنجا که مسوول پایگاه دادهها یا سیستمهای مخرب میتوانند حتی خطرناکتر از کاربر نهایی بیدقت باشند، برخی از سازمانهای فناوری اطلاعات در اقدامی شروع کردهاند به محدود کردن تعداد افرادی که میتوانند به دادهها و سیستمهای تولید دسترسی داشته باشند.
اقدامات لازم برای اطمینان از امنیت سایبری
در سازمانهای مهم و برجسته، امنیت سایبری باید یکی از موارد ثابت دستورجلسه هیاتها و مدیران عامل قرار گیرد. به منظور پیشی گرفتن از تهدیدات، مدیران باید در گفتوگوهای مداوم شرکت داشته باشند تا اطمینان یابند که استراتژیشان به طور پیوسته درحال تکامل است و تعادل مناسبی بین ریسکها و فرصتهای کسبوکار ایجاد میشود. ما معتقدیم که این گفتوگو باید با تعدادی پرسش مهم آغاز شود:
• چه کسی مسوول توسعه و حفظ رویکرد چند کارکردی در امنیت سایبری است؟ تا چه حدی رهبران کسبوکار این مساله را مربوط به خود میدانند؟
• مهمترین اطلاعات کدامند و «ارزش در معرض خطر» به هنگام نفوذ چیست؟ چه وعدههایی به مشتریان یا شرکای خود برای حفاظت از اطلاعات آنها دادهایم؟
• اعتماد و امنیت سایبری در پیشنهاد ارزش به مشتری چه نقشی ایفا میکنند و چه اقداماتی برای حفظ اطلاعات و حمایت از تجربه مشتری انجام دهیم؟
• چگونه از تکنولوژی و فرآیندهای کسبوکار برای حفاظت از اطلاعات مهم خود استفاده میکنیم؟ شیوه ما چگونه با شیوههای همکاران و بهترین عملکردها برابری میکند؟
• آیا شیوه و رویکرد ما در حال رشد و تکامل است و آیا فرآیندهای کسبوکار را مطابق آن تغییر میدهیم؟
• آیا روابط فروشندگان و شرکای خود را مدیریت میکنیم تا از حفاظت دوجانبه اطلاعات اطمینان یابیم؟
• به عنوان یک صنعت، آیا ما برای کاهش تهدیدات امنیت سایبری به طور موثر با یکدیگر و با نهادهای دولتی مرتبط همکاری میکنیم؟
از آنجاییکه ارزشها بیشتر به صورت آنلاین انتقال مییابند و شرکتها برای تعامل با مشتریان و سایر شرکای خود شیوههای نوآورانهتر را اتخاذ میکنند، چالش امنیت سایبری تنها افزایش پیدا خواهد کرد.از آنجا که شدت و پیچیدگی حملات و پیشرفته شدن محیطهای IT به سرعت در حال افزایش است، پرداختن به این چالش نیازمند راههایی است که پیمودن مسیر استراتژی، عملکردها، مدیریت ریسک و فعالیتهای تکنولوژی و قانونی را کوتاه کند. شرکتها باید این امر را به عنوان ابتکار مدیریتی گسترده به کار گیرند تا بتوانند بدون اعمال محدودیت بر رشد و نوآوری کسبوکار از سرمایههای مهم اطلاعاتی حفاظت و نگهداری کنند.
منبع: Mckinsey
ارسال نظر