طرح‌ ریزی راهبرد امنیت سایبری

طرح‌ ریزی راهبرد امنیت سایبری

تهدید ناشی از حملات سایبری، تهدید مهمی محسوب می‌شود و همواره در حال تکامل است.
به گزارش کارگروه امنیت سایبربان؛ یک برآورد نشان می‌دهد که جرائم سایبری می‌تواند بیش از دو تریلیون دلار خرج روی دست کسب‌وکارها بگذارد؛ این رقم تقریباً چهار برابر رقم برآورد شده در سال 2015 است.
نیروهای مخربی که محرک رشد و کارآمدی کسب‌وکارهای امروزی هستند، همان فعالیت‌هایی هستند که به این سطح گسترده حمله برای حملات اینترنتی کمک می‌کردند. اینترنت، ابر، فناوری‌های موبایلی و اجتماعی که به طور ذاتی برای همرسانی طراحی شده‌اند، به بسترهای جریان اصلی تبدیل شده‌اند. برون‌سپاری، پیمانکاری و نیروی کار از راه دور (دورکاری)، کنترل عملیاتی را دگرگون می‌سازند. داده، به گسترش خود ادامه می‌دهد و همزمان با این گسترش، لزوم حفاظت از آن نیز اهمیت بیشتری پیدا می‌کند.

در عین حال، طیف مهاجمان از هکرها گرفته تا کشورهای مستقل را در بر می‌گیرد. این مهاجمان در هر شکلی که باشند، همواره در حال نوآوری و دگرگون کردن کنترل‌های رایج هستند و برخی از این کنترل‌ها هم از دسترس مجریان قانونی کشور خارج است.

در خاورمیانه، بی‌ثباتی فزاینده سیاسی از سال 2010 به ظهور گروه‌های هکتیویستی متعدد و عوامل تهدیدآفرین مورد حمایت ملتها-کشورها منجر شده است. این گروه‌ها تقریباً به طور روزانه در دولت‌ها و همچنین سازمان‌های دولتی و خصوصی، خرابی به بار آورده‌اند. شمعون، بدافزار مخربی که دیسک سخت رایانه‌ها را پاک می‌کرد و بخش انرژی عربستان سعودی را در سال 2012 هدف گرفته بود، در اواخر سال 2016 و ابتدای سال 2017 بازگشت غافلگیرکننده‌ای داشت.

همان‌طور که تنش‌های محلی تشدید می‌شود، بر تعداد و شدت حملات سایبری نیز افزوده می‌شود چراکه عوامل تهدید سایبری همچنان به فضای سایبری به دید محلی برای انجام فعالیت سیاسی و ایجاد تفرقه بین طرفینی که با آنها درگیری مستقیم دارند، نگاه می‌کنند.

به علاوه، در خاورمیانه، به ویژه کشورهای شورای همکاری خلیج فارس، منطقه‌ای محسوب می‌شود که منابع اقتصادی قابل‌ملاحظه‌ای را در خود جای داده است و همین امر، این منطقه را به هدفی برای این‌گونه حملات تبدیل کرده است. تقریباً همه قبول دارند که افراد و مؤسسات موجود در منطقه غرب آسیا، در مقایسه با متوسط جهانی، دو برابر بیش از مناطق دیگر در معرض این حملات قرار دارند.
گزارش اخیر شرکت مایکروسافت نشان داده است که تعداد سامانه‌های رایانه‌ای که در کشورهای غرب آسیا به بدافزار آلوده شده‌اند، در چهار فصل متوالی سال 2015، دستکم دو برابر متوسط جهانی بوده است.

خطوط دفاعی
جرائم سایبری، در بحبوحه افزایش نگرانی‌ها بر سر آسیب‌های مالی، عملیاتی و اعتباری، خیلی زود به یکی از ریسک‌های اصلی سازمانی در مؤسسات گوشه و کنار دنیا تبدیل شد. این ریسک باعث شده که هیئت‌مدیره، مدیریت اجرایی و کارکنان خط مقدم، گوش‌به‌زنگ و هوشیار شوند.

توجه به ریسک سایبری برای هر کسی که در سازمان فعالیت می‌کند، الزامی است اما مسئولیت نهایی نظارت بر ریسک، بر عهده روسای ارشد است.
در هر حال، بسیاری از اعضای هیئت‌مدیره و مدیران عالی، از چالش‌های روزمره نظارت، شناسایی و پاسخگویی به ریسک‌های سایبری نوظهور، بسیار فاصله دارند. آن رهبرانی به درک حیاتی از این موضوع می‌رسند که نگرش عمیق‌تری به جایگاه سازمان خود در حوزه ریسک سایبری داشته باشند.

مدیریت ریسک به شیوه کارآمد، محصول لایه‌های متعدد دفاع در برابر ریسک است. سه خط دفاعی که در ادامه بیان می‌شود، صرفاً اختصاص به امنیت سایبری ندارد اما در مواجهه با هر ریسکی در کسب‌وکار باید در سطحی جدی، فعال و عملیاتی شود. مهم‌تر از همه، این تدابیر به هیئت‌مدیره در شناخت و پرداختن به ریسک‌های متعدد دنیای دیجیتالی کمک می‌کند.

* مالکیت ریسک سایبری باید در اختیار مدیریت باشد:
شرکت‌هایی که ریسک‌های امنیت اطلاعات را به خوبی مدیریت می‌کنند، نوعاً مسئولیت نظام‌های امنیتی خود را به عالی‌ترین سطوح سازمان می‌سپارند. مالکیت، مسئولیت و پاسخگویی در حوزه ارزیابی، کنترل و کاهش ریسک، در اختیار مدیریت است.

* اجرای مدیریت ریسک و کارکردهای تطابق:
کارکردهای مدیریت ریسک، موجب تسهیل و نظارت بر اجرای مؤثر امور مدیریت ریسک به دست رهبران می‌شود و به صاحبان ریسک، در گزارش دهی اطلاعات مرتبط با ریسک در سرتاسر شرکت، کمک می‌کند.
حسابرسی داخلی به طور جدی، ضروری است:

کارکرد حسابرسی داخلی، هیئت‌مدیره و مدیران اجرایی را به نحو اطمینان بخشی از میزان کارآمدی سازمان در ارزیابی و مدیریت ریسک‌های خود، آگاه می‌سازد. از جمله، نحوه فعالیت اولین و دومین خطوط دفاعی را تشریح می‌کند. ضروری است که این خط دفاعی، دستکم به قوت دو خط دفاعی اول باشد.

بدون کارکردی که اطمینان مناسب و عینی فراهم آورد، شرکت‌ها با این ریسک حقیقی مواجهند که اقدامات اطلاعاتی آنها نامناسب انجام شود یا حتی منسوخ گردد. این همان وظیفه‌ای است که حسابرسی داخلی منحصراً برای به انجام رسانیدن آن پدید آمده است؛ اما برای تحقق این امر، باید اختیار و منابع لازم برای سازگار شدن را در اختیار داشته باشد.

درباره نویسنده:
فعدی مطلق (Fadi Mutlak) از مشاوران خدمات ریسک سایبری در شرکت دیلویت و توشی میدل ایست (Deloitte & Touche Middle East) است.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *