در این مقاله، جهت كمك به بحثهای مدیریت مخاطرات امنیت سایبری سازمانها، سوالات كلیدی به همراه مفاهیم مدیریت مخاطرات سایبری مطرح میشود.
پنج سوالی كه مدیران عامل باید درباره مخاطرات سایبری بپرسند
(1) چگونه مدیر اجرایی درباره سطح فعلی و پیامدهای تجاری مخاطرات سایبری سازمان مطلع میشود؟
(2) سطح فعلی و پیامدهای تجاری مخاطرات سایبری روی سازمان، چقدر است؟ چه برنامهای برای مواجه با مخاطرات شناسایی شده وجود دارد؟
(3) برنامه امنیت سایبری سازمان، چگونه استانداردها و بهترین تجارب این حوزه را پوشش میدهد؟
(4) چه تعداد و چه نوعهایی از رخدادهای سایبری در یك هفته شناسایی میشود؟ سطح آستانهای كه منجر به اطلاع رسانی به مدیر اجرایی میشود چقدر است؟
(5) برنامه پاسخ به رخدادهای سایبری سازمان، به چه میزان جامع است؟ این برنامه، هر چند وقت یكبار تست میشود؟
مفاهیم كلیدی مدیریت مخاطرات سایبری
گنجاندن مخاطرات سایبری در فرآیند راهبری و مدیریت مخاطرات موجود
امنیت سایبری، پیاده سازی چك لیستی از تعدادی الزامات نیست؛ بلكه مدیریت مخاطرات سایبری، تا رسیدن به یك سطح قابل پذیرش است. مدیریت مخاطرات امنیت سایبری -به عنوان بخشی از چارچوب اداره سازمان، مدیریت مخاطرات و تداوم كسب و كار- از طریق سازمان، چارچوب استراتژیكی را برای مدیریت مخاطرات امنیت سایبری فراهم میكند.
درگیر كردن مدیر عامل در بحثهای مربوط به مدیریت مخاطرات سایبری
استفاده از تجارب مدیر عامل در تعریف استراتژی مدیریت مخاطرات و سطوح قابل قبول آنها، امكان مدیریت بهتر مخاطرات سایبری را -كه نیازمندیهای كسب و كار سازمان را هدف قرار داده است- فراهم میكند. ارتباط منظم میان مدیر عامل و كسانی كه مسئول مدیریت مخاطرات سایبری هستند باعث می شود تا از مخاطرات فعلی كه سازمان و كسب و كار را تحت تاثیر قرار میدهد بهتر آگاهی یابند.
پیاده سازی استانداردها و بهترین تجارب
یك برنامه امنیت سایبری جامع، جهت محافظت از سیستمها و شناسایی مشكلات احتمالی از استانداردها و بهترین تجارب این حوزه، و جهت پاسخ و بازیابی به موقع به تهدیدات از فرآیندهای آگاهی رسانی درباره تهدیدات فعلی استفاده میكند. انطباق با الزامات به داشتن امنیت سایبری ابتدایی برای شناسایی آسیب پذیریهای شناخته شده كمك میكند اما در شناسایی تهدیدات پویا كمكی نمیكند. استفاده از یك رهیافت مبتنی بر مخاطره، برای اعمال استانداردها و تجارب امنیت سایبری به مدیریت بهتر مخاطرات سایبری كمك میكند.
ارزیابی و مدیریت مخاطرات سایبری سازمان
شناسایی داراییهای حیاتی و پیامدهای تهدیدات سایبری برای فهم میزان مخاطره سازمان امری مهم است. نتایج ارزیابی مخاطرات، ورودی كلیدی برای شناسایی و اولویت بندی فعالیتهای محافظتی، تخصیص منابع، و توسعه خط مشیها و استراتژیهای مدیریت مخاطرات سایبری به یك سطح قابل قبول است.
نظارت و بازبینی
كارمندان اجرایی، مسئول مدیریت و مواظبت از فرآیند مدیریت مخاطرات سازمان هستند. فعالیتهای نظارت سایبری شامل ارزیابی منظم از بودجههای امنیت سایبری، برنامههای استفاده از فناوری اطلاعات، برون سپاری فناوری اطلاعات، خدمات ابر، گزارشهای رخداد، نتایج ارزیابی مخاطرات و خط مشیهای سطح بالا است.
توسعه و تست برنامهها و رویههای پاسخ به رخداد
حتی سازمانی كه به خوبی در مقابل حملات امنیتی مقاوم شده باشد، در برخی اوقات، رخدادهای سایبری را تجربه كرده است. زمانی كه یك شبكه مقاوم در برابر تهدیدات مورد نفوذ قرار گیرد، مدیر عامل باید راه حل جایگزین را ارائه دهد. مستند كردن منظم برنامههای پاسخ به رخدادهای سایبری متداول باعث می شود تا امكان پاسخ بهنگام به رخداد وجود داشته باشد و پیامدهای ناشی از آن كاهش یابد.
هماهنگ كردن برنامهریزی پاسخ به رخدادهای سایبری در سازمان
پاسخ سریع به رخداد میتواند خسارت احتمالی را كم یا حتی از آن جلوگیری كند. مولفه كلیدی آماده سازی پاسخ به رخدادهای سایبری، برنامه ریزی پاسخ همراه با كمك CIO/CISO، مدیران تجاری، برنامه ریزان تداوم كسب و كار، اپراتورهای سیستم، مشاوران حقوقی و روابط عمومی سازمان است. این برنامه ریزی شامل تركیب خط مشیها و رویههای پاسخگویی به رخداد سایبری با برنامههای تداوم كسب و كار و ترمیم خرابی است.
حفظ آگاهی محیطی از تهدیدات سایبری
آگاهی محیطی از مخاطرات سایبری سازمان شامل تشخیص بهنگام رخدادهای سایبری، همراه با آگاهی از تهدیدات و آسیب پذیریهای جاری خاصِ آن نوع سازمان و پیامدهای مرتبط است. تحلیل، جمع آوری و یكپارچه نمودن دادههای مربوط به مخاطرات از منابع مختلف و شركت در به اشتراك گذاری اطلاعات مربوط به تهدیدات با شركا، به سازمان در شناسایی و پاسخ به رخدادها كمك كرده و این اطمینان را حاصل میكند كه فعالیتهایی كه برای محافظت از سازمان انجام میشود متناسب با مخاطره است.
موسسه نرم افزاری ترسیم رایانه شرق