ماموریتی بالاتر از خطر - ۲۹ شهریور ۹۴

منبع: Banking Tech

مترجم: سیدحسین علوی لنگرودی

تجربه نشان داده است که مسوولیت مدیریت و کنترل ریسک‌های سایبری در سازمان‌ها به‌ویژه بانک‌ها، باید فقط و فقط در سطح مدیریت ارشد سازمان‌ها متمرکز شود و نباید این امر مهم را به خارج از سازمان تفویض کرد.

امروزه، با توجه به اهمیت و نقش‌آفرینی رو به افزایش اطلاعات و امنیت اطلاعاتی سازمان‌ها، لازم است که یک مقام مسوول مستقیم و متخصص کلیه مسوولیت‌های مرتبط با برنامه‌ریزی استراتژیک، اجرا و ارزیابی امنیتی ریسک‌های سایبری را بر عهده گیرد. در واقع، نقش و وظیفه مدیران امنیت اطلاعاتی سازمان در سال‌های اخیر دستخوش تغییر شده است به طوری که سازمان‌هایی که تا پیش از این لزومی به تخصیص پستی به نام مدیر امنیت اطلاعات نمی‌دیدند، در این‌باره تجدید نظر کرده و این مسائل را به یکی از اولویت‌های اصلی خود تبدیل کرده‌اند.

علاوه‌بر این، بسیار مهم است که سازمان‌ها به‌ویژه بانک‌ها، بین پست مدیر امنیت اطلاعات و بخش فناوری اطلاعات، تفکیک قائل شوند و مدیر امنیت اطلاعات را موظف به گزارش‌دهی مستقیم به هیات‌مدیره (و نه مدیریت تکنولوژی اطلاعات) کرده‌اند که این مساله، بیانگر این واقعیت است که سازمان‌های مالی به ریسک‌ها و تهدیدهای سایبری به مثابه یک چالش کلیدی و بسیار خطرناک می‌نگرند که مدیریت و کنترل آنها باید به‌صورت رسمی و به‌روز انجام شده و مستقیما به هیات‌مدیره گزارش داده شود.

ارزیابی، سنجش و مدیریت ریسک‌های سایبری

حملات سایبری می‌توانند هزینه‌های سنگین و غیرقابل‌جبرانی را به فعالیت‌ها و اعتبار سازمان‌ها و شرکت‌ها وارد آورند و موجب به سرقت رفتن اطلاعات و سرمایه‌های معنوی شرکت‌ها و مشتریان آنها شوند. واقعیت این است که هیچ شرکت و سازمان و حتی دولتی از خطر حملات سایبری و ریسک‌های مربوط به آنها در امان نیست.

امروزه شاهد آن هستیم که کودکان و نوجوانان اقدام به هک کردن و دانلود غیرقانونی بازی‌های ویدئویی می‌کنند، گروه‌های سازمان‌یافته تبهکار به سازمان‌های ارائه‌دهنده خدمات مالی دستبرد سایبری می‌زنند یا اسرار تجاری و اساسی دولت‌ها را به سرقت می‌برند و تروریست‌ها، زیرساخت‌های حیاتی کشورهای مختلف را به صورت سایبری مورد حمله قرار می‌دهند و همه این اقدامات؛ پیامدهای منفی گسترده و فاجعه باری را می‌تواند به دنبال داشته باشد. برای مقابله با حملات و ریسک‌های سایبری، هر سازمانی دارای پروفایل ریسک و تهدید سایبری خاص خود است که براساس ماهیت کاری، نوع اطلاعات تبادل شده در حوزه کاری و میزان ارزشمند بودن دارایی‌های سازمان‌ها، متفاوت خواهد بود و لذا برای تدوین استراتژی سازمانی در زمینه تهدیدهای سایبری، لازم است که مدیریت ارشد سازمان درک درست و کاملی از فرآیند شناسایی و ارزیابی ریسک‌های سایبری داشته باشد و به اصطلاح «از نزدیک دستی بر این آتش داشته باشد».

امروزه، با گسترش روزافزون فناوری‌های اطلاعاتی و ارتباطی، بر همگان ثابت شده که ارزشمندترین دارایی و سرمایه هر شرکت و سازمانی، اطلاعات آن است و در صورت به سرقت رفتن این اطلاعات، حیثیت و اعتبار آن شرکت و سازمان بر باد خواهد رفت و خسارت‌های سنگینی در انتظار آنها خواهد بود. بنابراین، برای جلوگیری از سرقت اطلاعات، باید استراتژی‌ها و سیاست‌های مدون و حساب‌شده‌ای را طراحی و اجرا کرد تا هم از وقوع حملات سایبری جلوگیری کرد و هم درصورت وقوع چنین حملاتی، بتوان خیلی سریع آنها را شناسایی و با آنها مقابله کرد و برای این کار باید درک درستی از چگونگی شکل‌گیری و تاثیرگذاری تهدیدها، ارزیابی درجه ریسک‌ها و اتخاذ سیاست‌های جامع ضد حمله سایبری به دست آورد.

به‌طور کلی، شرکت‌ها و سازمان‌ها می‌توانند با برخورداری از الگوهای هوشمند و اطلاعات محور مقابله با ریسک‌های سایبری، به بهترین شکل نسبت به ارزیابی، مدیریت و به حداقل رساندن ریسک‌های سایبری اقدام کرده و برای این کار لازم است فرآیندهای شناسایی، طبقه‌بندی و نمایش تهدیدهای سایبری با دقت تمام و توسط خود مدیریت (و نه به وسیله نیروهای خارج از شرکت) انجام شود تا زمینه لازم برای اولویت‌بندی اقدامات ضدریسک‌های سایبری و کاهش حداکثری این تهدیدها و خطرات فراهم شود.

شناسایی حملات در اولین فرصت ممکن

توانایی بالای شرکت‌ها در شناسایی و ردیابی سریع و به موقع حملات سایبری و در نطفه خفه کردن آنها با کمک الگوهای پویا و به‌روز مدیریت ریسک سایبری می‌تواند شرکت‌ها را از پیامدهای منفی حملات سایبری ایمن سازد.

این مساله در مورد شرکت‌های مدرن و تکنولوژی محوری که تا حد زیادی با اینترنت و شبکه‌های مجازی پیوند دارند، از اهمیت حیاتی و تعیین‌کننده‌تری برخوردار است.

مدافعان و محافظان شرکت‌ها و سازمان‌ها در برابر حملات سایبری، به همان چیزهایی نیاز دارند که مزیت اصلی آنها در برابر مهاجمان و عامل برتری‌شان در این نبرد شدید است و آن عبارت است از اطلاعات موثق و دقیق درباره موارد زیر:

• اینکه شرکت چه می‌کند و چطور کار می‌کند؟

• دارایی‌های کلیدی شرکت کدامند و کجا قرار دارند؟

• کاربران چگونه با شرکت تعامل دارند و شرکت چگونه با جهان خارج (از طریق اینترنت) ارتباط برقرار می‌کند؟

با برخورداری از اطلاعات کامل و درست درباره چنین مواردی است که شرکت‌ها می‌توانند رویکردی استراتژیک و قدرتمند در قبال امنیت سایبری اتخاذ کنند و هرگونه خطر و حمله‌ای را در کوتاه‌ترین زمان ممکن و به کامل‌ترین شکل شناسایی و مهار کنند.