به گزارش صدای بورس با رشد روزافزون انواع حملات سایبری بهویژه با رخداد پاندمیکووید ۱۹، این نوع از حملات توسعه بیشتری در سرتاسر جهان یافته است، بهگونهای که امروز بیش از هر زمان دیگری میبایست به این نوع از ریسک توجه داشت و در صورت عدم توجه آثار زیانبار و جبرانناپذیری را در پی خواهد داشت.
ریسک امنیت سایبری داراییها
ارزیابی ریسک امنیت سایبری داراییها، اطلاعاتی را شناسایی میکند که ممکن است تحتتأثیر یک حمله سایبری قرار گیرند (مانند سختافزار، سیستمها، لپتاپها، دادههای مشتری و مالکیت معنوی). سپس ریسکهایی را که میتواند بر آن داراییها تأثیر بگذارد، شناسایی میکند. اغلب شرکتهای کوچک و متوسط (SME) که به ارائه خدمات دیجیتال متکی هستند، تا زمانی که با نقض (شکاف) امنیتی مواجه نشوند، متوجه نمیشوند که سرمایهگذاری کافی در امنیت سایبری چقدر مهم است. عواقب آن میتواند قابلتوجه باشد و موجب تحمیل مواردی از ضررهای مالی گرفته تا آسیب زدن به شهرت و از دست دادن اطلاعات بااهمیت آنها شود.
یکی از مواردی که به دفعات مشاهده شده است، شکاف (خلأ) آشکار بین ریسک و امنیت سایبری است. و این مایه تأسف است در جایی که شاهد آن خواهید بود که فقط در ظاهر این کار بهخوبی انجام شده (ریسک و امنیت سایبری با هم کار میکنند)، سطح بلوغ امنیتی به طور کلی و آگاهی از ریسکهای امنیت سایبری در بین ارکان راهبری، مدیران اجرایی و اعضای هیئتمدیره هنوز بهخوبی به این درک مشترک نرسیده است.
همراهی ریسک و امنیت سایبری
سؤال واضحی که مطرح میشود این است که چرا باید ریسک و امنیت سایبری نزدیکتر شود؟ پاسخ کوتاه و ساده این است که ریسک و امنیت سایبری به طور مناسب درک، مستند، اولویتبندی و درمان (پیشگیری و اقدامات تأمینی لازم در جهت مرتفع شدن آن مسئله) شوند. چگونه این اتفاق میافتد؛ ریسک معمولاً ریسکهای امنیت سایبری را تعیین میکند که ممکن است بر یک سازمان/مؤسسه/شرکت تأثیر بگذارد. سپس امنیت سایبری با ریسک کار میکند تا به مدیریت این ریسکها در سطح کنترل کمک کند. اگرچه روند کلی کمی پیچیدهتر از آن است. اما در ادامه این نوشتار به بررسی این موضوع میپردازیم.
اولین چیزی که باید بررسی شود نقشهایی است که هر دو حوزه در یک سازمان/مؤسسه/شرکت ایفا میکنند. این موارد به شرح زیر است:
ریسک
بخش ریسک تمام ریسکهای سازمان/مؤسسه/شرکت را که ممکن است به شکلی مضر بر آن تأثیر بگذارد، مدیریت میکند. اینها شامل ریسک سایبری و اثرات مرتبط با آن خواهد بود. یک بخش مدیریت ریسک مؤثر بهوضوح این ریسکها را کمیپذیر میکند و راههایی برای مدیریت این ریسکها با توجه به ریسکپذیری سازمان/مؤسسه/شرکت ارائه میدهد. ریسکپذیری باید از طریق ارکان راهبری، مدیران اجرایی و هیئت مدیره تعریف شود و مورد توافق قرار گرفته باشد (قرار گیرد).
امنیت سایبری
بخش امنیت سایبری باید مدیریت تمام ریسکهای مربوط به امنیت سایبری برای سازمان/مؤسسه/شرکت را بر عهده داشته باشد. وظیفه اصلی درک ریسکها، پیادهسازی و مدیریت کنترلها برای مدیریت این ریسکهاست تا سازمان/مؤسسه/شرکت تحتتأثیر و مورد حملات غافلگیرانه امنیت سایبری قرار نگیرد.
هدف از توضیحات بالا تعریف کامل نقش هر بخش نیست، بلکه صرفاً خلاصه کردن عملکردهای اصلی است. و حتی اگر فقط به آن نگاه کنید، حوزههای عملیاتی و اهمیت هر یک مشخص میشود.
براساس تجارب موجود همکاری در زمینه ریسک و امنیت سایبری مستلزم موارد زیر است:
ریسک اقداماتی که ممکن است بر سازمان/مؤسسه/شرکت تأثیر بگذارد کمیپذیر و مستند شود.
️سپس ریسکهای امنیت سایبری با بخش امنیت سایبری مورد بحث و مورد توافق اجرای مشترک و عملیاتی قرار گیرد.
️رؤسای (مدیران) ریسک و امنیت سایبری (افسر ارشد ریسک و افسر ارشد امنیت) سپس برای تعیین یک طرح درمان ریسک با یکدیگر همکاری میکنند. سپس آنها به طور مشترک این را به ارکان راهبری، مدیران اجرایی و هیئت مدیره ارائه خواهند داد تا:
️در مرحله اول، آنها را در مورد ریسکهای امنیت سایبری که احتمالاً سازمان/مؤسسه/شرکت را تحتتأثیر قرار میدهد با اولویتهای تعیینشده براساس تأثیر احتمالی آموزش دهند.
️طرحهای درمان ریسک را برای هر ریسک اولویتبندیشده ترسیم کنند.
️ارقام بازده سرمایهگذاری را به ارکان راهبری، مدیران اجرایی و هیئت مدیره ارائه دهند تا از طرح درمان ریسک حمایت کنند و پس از آن به یک برنامه امنیت سایبری برای ارتقای وضعیت امنیتی سازمان/مؤسسه/شرکت و کاهش ریسکپذیری آن تبدیل شود.
هنگامیکه برنامه مشترک اجرا میشود، هر دو «رئیس» (مدیران ریسک و امنیت سایبری) به طور منظم پیشرفتهای انجامشده را به ارکان راهبری، مدیران اجرایی و هیئت مدیره ارائه میدهند و بهوضوح کاهش ریسک امنیت سایبری را گزارش میکنند.
وضعیت کلی ریسک و برنامههای اجرایی درمانی پس از آن حداقل هر شش ماه یکبار با توجه به ریسکهای سایبری جدید و نوظهور پایش، بهروزرسانی و بازخوردگیری میشود تا اطمینان نسبی حاصل شود که سیستم ایجادشده و اقدامات در حال انجام کارکرد درستی را دارد.
در این مقطع باید سه نکته رعایت شود:
️ابتکارات امنیت سایبری باید بخشی از چارچوب کلی مدیریت ریسک سازمانی باشد و ریسکهای امنیت سایبری باید در این چارچوب اولویتبندی شده و مانند سایر ریسکهای سازمانی با آنها برخورد شود.
️هر ابتکار امنیت سایبری باید با اهداف مدیریت ریسک سازمان/مؤسسه/شرکت، ریسک و امنیت سایبری همسو باشد و از نظر پولی با توجه به کاهش ریسکها توجیه شود.
️ارکان راهبری، مدیران اجرایی و هیئت مدیره باید از نظر درک نیاز به ابتکارات امنیت سایبری و همچنین تأییدکننده بودن این ابتکارات، بخشی از این فرآیند باشند. گزارش منظم و دقیق در مورد این برنامه به منظور حصول اطمینان از مشاهده پیشرفتهای انجامشده از طریق ارکان راهبری، مدیران اجرایی و هیئت مدیره مهم است (امنیت یک سفر است نه الزاماً یک هدف!).
بنابراین به طور خلاصه، برای موفقیت ابتکارات امنیت سایبری در یک سازمان/مؤسسه/شرکت، هم ریسک و هم امنیت سایبری باید با هم کار کنند:
️شناخت ریسکها و کمیپذیر کردن ریسکهای امنیت سایبری که ممکن است بر سازمان/مؤسسه/شرکت تأثیر بگذارد در جهت ادراک بهتر میتواند کمککننده باشد.
️امنیت سایبری مواردی را که به اولویتبندی و اجرای کنترلهایی که به مدیریت این ریسکها کمک میکند تأیید میکند.
امنیت سایبری نیازمند این است که به عنوان یک «فرهنگ سازمانی» پذیرفته شود و هرچه این فرهنگ از طرف ارکان راهبری، مدیران اجرایی و هیئت مدیره جدیتر گرفته شود، موجب تقویت بهکارگیری و ارتقای امنیت خواهد شد.
به یاد داشته باشیم، تأمین امنیت مطلوب که از آن سخن به میان آمد برای هر سازمان/مؤسسه/شرکت متفاوت خواهد بود، اما همین تفاوت دارای نقاط مشترکی همچون ساختارهای پایه است، هر چقدر بتوانید در جهت اطمینانبخشی از امنیت سایبری به مشتریان، مخاطبان، دریافتکنندگان خدمات و در کلیت ذینغعان سازمان/مؤسسه/شرکت کوشا باشید این اطمینان باعث اعتمادسازی دوجانبه میشود.
در این همراهی میتوانید با پرسشنامهای که نباید زیاد خستهکننده باشد از نظرات کاربران خود به صورت کاملاً عادی در مورد امنیت سایبری جویا شوید و برای آن زمان صرف کنید تا بتوانید امینت پایدار بهتری را که از دیدگاه برونسازمانی نیز به آن پرداخته شده است ایجاد کنید.
در پایان سؤالاتی اساسی مطرح میشود که در مقالات دیگر تلاش بر آن است پاسخی به آنها داده شود تا این مهم با جوانب بیشتری قابل درک و تبیین باشد:
۱-آیا افشای ریسک سایبری میتواند نقش لازم و بسزایی را در اطمینانبخشی برای کلیه ذینفعان به همراه داشته باشد؟
۲-آیا افشای ریسک سایبری را میتوان در زمره افشاهای ضروری
در نظر گرفت؟
۳-آیا با صرف افشای ریسک سایبری میتوان این انتظار را داشت که درک درستی از اقدامات شرکتها انجام پذیرفته است؟
۴-آیا افشای ریسک سایبری میتواند رخنه و حملات گستردهتر از سوی متهاجمان سایبری را تسریع و قوت بخشد؟
۵-آیا افشای ریسک سایبری در حال حاضر در جهان پذیرفته شده است؟ آیا میتوان به صورت داوطلبانه این افشا را انجام داد؟
۶-آیا افشای سایبری نقش بازدارندگی دارد یا در جهت ترغیب به آن متهاجمان را وادار به حمله میکند؟
۷-آیا افشای سایبری در ارکان راهبری شرکتها شامل مدیران ارشد، اعضای هیئت مدیره، کمیتههای ریسک و حسابرسی بهخوبی درک و قابلپذیرش شده است؟
۸-آیا اقدامات زیرساختی لازم برای این افشا و جلوگیری از تبعات آن صورت پذیرفته است؟
۹-آیا آموزشهای لازم در جهت نحوه گزارشگری و بازخوردگیری از افشاهای آن در دستور کار قرار گرفته است؟
۱۰-آیا محیط گزارشگری استقبال لازم را از این نوع از افشاهای نوین خواهد کرد و همچنین بهای لازم را به این نوع از افشاهای نوین
خواهد داد؟
منبع: ماهنامه بازار و سرمایه شماره ۱۳۰