۴ آبان ۱۴۰۱ - ۱۸:۰۰

ضرورت های افشا، مدیریت ریسک و التزام امنیت سایبری

ضرورت های افشا، مدیریت ریسک و التزام امنیت سایبری

تحلیل احمد حاتمی، حسابدار رسمی و تحلیلگر امنیت سایبری و ریسک CRA از موضوعات مهم حوزه مدیریت ریسک و امنیت دارایی ها در شرایط کنونی را در این مطلب بخوانید.

به گزارش صدای بورس با رشد روزافزون انواع حملات سایبری به‌ویژه با رخداد پاندمی‌کووید ۱۹، این نوع از حملات توسعه بیشتری در سرتاسر جهان یافته است، به‌گونه‌ای که امروز بیش از هر زمان دیگری می‌بایست به این نوع از ریسک توجه داشت و در صورت عدم توجه آثار زیان‌بار و جبران‌ناپذیری را در پی خواهد داشت.

ریسک امنیت سایبری دارایی‌ها
ارزیابی ریسک امنیت سایبری دارایی‌ها، اطلاعاتی را شناسایی می‌کند که ممکن است تحت‌تأثیر یک حمله سایبری قرار گیرند (مانند سخت‌افزار، سیستم‌ها، لپ‌تاپ‌ها، داده‌های مشتری و مالکیت معنوی). سپس ریسک‌هایی را که می‌تواند بر آن دارایی‌ها تأثیر بگذارد، شناسایی می‌کند. اغلب شرکت‌های کوچک و متوسط (SME) که به ارائه خدمات دیجیتال متکی هستند، تا زمانی که با نقض (شکاف) امنیتی مواجه نشوند، متوجه نمی‌شوند که سرمایه‌گذاری کافی در امنیت سایبری چقدر مهم است. عواقب آن می‌تواند قابل‌توجه باشد و موجب تحمیل مواردی از ضررهای مالی گرفته تا آسیب زدن به شهرت و از دست دادن اطلاعات بااهمیت آن‌ها شود.
یکی از مواردی که به دفعات مشاهده شده است، شکاف (خلأ) آشکار بین ریسک و امنیت سایبری است. و این مایه تأسف است در جایی که شاهد آن خواهید بود که فقط در ظاهر این کار به‌خوبی انجام شده (ریسک و امنیت سایبری با هم کار می‌کنند)، سطح بلوغ امنیتی به طور کلی و آگاهی از ریسک‌های امنیت سایبری در بین ارکان راهبری، مدیران اجرایی و اعضای هیئت‌مدیره هنوز به‌خوبی به این درک مشترک نرسیده است.

همراهی ریسک و امنیت سایبری
سؤال واضحی که مطرح می‌شود این است که چرا باید ریسک و امنیت سایبری نزدیک‌تر شود؟ پاسخ کوتاه و ساده این است که ریسک و امنیت سایبری به طور مناسب درک، مستند، اولویت‌بندی و درمان (پیشگیری و اقدامات تأمینی لازم در جهت مرتفع شدن آن مسئله) شوند. چگونه این اتفاق می‌افتد؛ ریسک معمولاً ریسک‌های امنیت سایبری را تعیین می‌کند که ممکن است بر یک سازمان/مؤسسه/شرکت تأثیر بگذارد. سپس امنیت سایبری با ریسک کار می‌کند تا به مدیریت این ریسک‌ها در سطح کنترل کمک کند. اگرچه روند کلی کمی ‌پیچیده‌تر از آن است. اما در ادامه این نوشتار به بررسی این موضوع می‌پردازیم.
اولین چیزی که باید بررسی شود نقش‌هایی است که هر دو حوزه در یک سازمان/مؤسسه/شرکت ایفا می‌کنند. این موارد به شرح زیر است:
ریسک
بخش ریسک تمام ریسک‌های سازمان/مؤسسه/شرکت را که ممکن است به شکلی مضر بر آن تأثیر بگذارد، مدیریت می‌کند. این‌ها شامل ریسک سایبری و اثرات مرتبط با آن خواهد بود. یک بخش مدیریت ریسک مؤثر به‌وضوح این ریسک‌ها را کمی‌پذیر می‌کند و راه‌هایی برای مدیریت این ریسک‌ها با توجه به ریسک‌پذیری سازمان/مؤسسه/شرکت ارائه می‌دهد. ریسک‌پذیری باید از طریق ارکان راهبری، مدیران اجرایی و هیئت مدیره تعریف شود و مورد توافق قرار گرفته باشد (قرار گیرد).


امنیت سایبری
بخش امنیت سایبری باید مدیریت تمام ریسک‌های مربوط به امنیت سایبری برای سازمان/مؤسسه/شرکت را بر عهده داشته باشد. وظیفه اصلی درک ریسک‌ها، پیاده‌سازی و مدیریت کنترل‌ها برای مدیریت این ریسک‌هاست تا سازمان/مؤسسه/شرکت تحت‌تأثیر و مورد حملات غافلگیرانه امنیت سایبری قرار نگیرد.
هدف از توضیحات بالا تعریف کامل نقش هر بخش نیست، بلکه صرفاً خلاصه کردن عملکردهای اصلی است. و حتی اگر فقط به آن نگاه کنید، حوزه‌های عملیاتی و اهمیت هر یک مشخص می‌شود.
براساس تجارب موجود همکاری در زمینه ریسک و امنیت سایبری مستلزم موارد زیر است:
ریسک اقداماتی که ممکن است بر سازمان/مؤسسه/شرکت تأثیر بگذارد کمی‌پذیر و مستند شود.
️سپس ریسک‌های امنیت سایبری با بخش امنیت سایبری مورد بحث و مورد توافق اجرای مشترک و عملیاتی قرار گیرد.
️رؤسای (مدیران) ریسک و امنیت سایبری (افسر ارشد ریسک و افسر ارشد امنیت) سپس برای تعیین یک طرح درمان ریسک با یکدیگر همکاری می‌کنند. سپس آن‌ها به طور مشترک این را به ارکان راهبری، مدیران اجرایی و هیئت مدیره ارائه خواهند داد تا:
️در مرحله اول، آن‌ها را در مورد ریسک‌های امنیت سایبری که احتمالاً سازمان/مؤسسه/شرکت را تحت‌تأثیر قرار می‌دهد با اولویت‌های تعیین‌شده براساس تأثیر احتمالی آموزش دهند.
️طرح‌های درمان ریسک را برای هر ریسک اولویت‌بندی‌شده ترسیم کنند.
️ارقام بازده سرمایه‌گذاری را به ارکان راهبری، مدیران اجرایی و هیئت مدیره ارائه دهند تا از طرح درمان ریسک حمایت کنند و پس از آن به یک برنامه امنیت سایبری برای ارتقای وضعیت امنیتی سازمان/مؤسسه/شرکت و کاهش ریسک‌پذیری آن تبدیل شود.
هنگامی‌که برنامه مشترک اجرا می‌شود، هر دو «رئیس» (مدیران ریسک و امنیت سایبری) به طور منظم پیشرفت‌های انجام‌شده را به ارکان راهبری، مدیران اجرایی و هیئت مدیره ارائه می‌دهند و به‌وضوح کاهش ریسک امنیت سایبری را گزارش می‌کنند.
وضعیت کلی ریسک و برنامه‌های اجرایی درمانی پس از آن حداقل هر شش ماه یک‌بار با توجه به ریسک‌های سایبری جدید و نوظهور پایش، به‌روزرسانی و بازخوردگیری می‌شود تا اطمینان نسبی حاصل شود که سیستم ایجادشده و اقدامات در حال انجام کارکرد درستی را دارد.
در این مقطع باید سه نکته رعایت شود:
️ابتکارات امنیت سایبری باید بخشی از چارچوب کلی مدیریت ریسک سازمانی باشد و ریسک‌های امنیت سایبری باید در این چارچوب اولویت‌بندی شده و مانند سایر ریسک‌های سازمانی با آن‌ها برخورد شود.
️هر ابتکار امنیت سایبری باید با اهداف مدیریت ریسک سازمان/مؤسسه/شرکت، ریسک و امنیت سایبری هم‌سو باشد و از نظر پولی با توجه به کاهش ریسک‌ها توجیه شود.
️ارکان راهبری، مدیران اجرایی و هیئت مدیره باید از نظر درک نیاز به ابتکارات امنیت سایبری و همچنین تأییدکننده بودن این ابتکارات، بخشی از این فرآیند باشند. گزارش منظم و دقیق در مورد این برنامه به منظور حصول اطمینان از مشاهده پیشرفت‌های انجام‌شده از طریق ارکان راهبری، مدیران اجرایی و هیئت مدیره مهم است (امنیت یک سفر است نه الزاماً یک هدف!).
بنابراین به طور خلاصه، برای موفقیت ابتکارات امنیت سایبری در یک سازمان/مؤسسه/شرکت، هم ریسک و هم امنیت سایبری باید با هم کار کنند:
️شناخت ریسک‌ها و کمی‌پذیر کردن ریسک‌های امنیت سایبری که ممکن است بر سازمان/مؤسسه/شرکت تأثیر بگذارد در جهت ادراک بهتر می‌تواند کمک‌کننده باشد.
️امنیت سایبری مواردی را که به اولویت‌بندی و اجرای کنترل‌هایی که به مدیریت این ریسک‌ها کمک می‌کند تأیید می‌کند.
امنیت سایبری نیازمند این است که به عنوان یک «فرهنگ سازمانی» پذیرفته شود و هرچه این فرهنگ از طرف ارکان راهبری، مدیران اجرایی و هیئت مدیره جدی‌تر گرفته شود، موجب تقویت به‌کارگیری و ارتقای امنیت خواهد شد.
به یاد داشته باشیم، تأمین امنیت مطلوب که از آن سخن به میان آمد برای هر سازمان/مؤسسه/شرکت متفاوت خواهد بود، اما همین تفاوت دارای نقاط مشترکی همچون ساختارهای پایه است، هر چقدر بتوانید در جهت اطمینان‌بخشی از امنیت سایبری به مشتریان، مخاطبان، دریافت‌کنندگان خدمات و در کلیت ذی‌نغعان سازمان/مؤسسه/شرکت کوشا باشید این اطمینان باعث اعتمادسازی دوجانبه می‌شود.
در این همراهی می‌توانید با پرسش‌نامه‌ای که نباید زیاد خسته‌کننده باشد از نظرات کاربران خود به صورت کاملاً عادی در مورد امنیت سایبری جویا شوید و برای آن زمان صرف کنید تا بتوانید امینت پایدار بهتری را که از دیدگاه برون‌سازمانی نیز به آن پرداخته شده است ایجاد کنید.
در پایان سؤالاتی اساسی مطرح می‌شود که در مقالات دیگر تلاش بر آن است پاسخی به آن‌ها داده شود تا این مهم با جوانب بیشتری قابل درک و تبیین باشد:
۱-آیا افشای ریسک سایبری می‌تواند نقش لازم و بسزایی را در اطمینان‌بخشی برای کلیه ذی‌نفعان به همراه داشته باشد؟
۲-آیا افشای ریسک سایبری را می‌توان در زمره افشاهای ضروری
در نظر گرفت؟
۳-آیا با صرف افشای ریسک سایبری می‌توان این انتظار را داشت که درک درستی از اقدامات شرکت‌ها انجام پذیرفته است؟
۴-آیا افشای ریسک سایبری می‌تواند رخنه و حملات گسترده‌تر از سوی متهاجمان سایبری را تسریع و قوت بخشد؟
۵-آیا افشای ریسک سایبری در حال حاضر در جهان پذیرفته شده است؟ آیا می‌توان به صورت داوطلبانه این افشا را انجام داد؟
۶-آیا افشای سایبری نقش بازدارندگی دارد یا در جهت ترغیب به آن متهاجمان را وادار به حمله می‌کند؟
۷-آیا افشای سایبری در ارکان راهبری شرکت‌ها شامل مدیران ارشد، اعضای هیئت مدیره، کمیته‌های ریسک و حسابرسی به‌خوبی درک و قابل‌پذیرش شده است؟
۸-آیا اقدامات زیرساختی لازم برای این افشا و جلوگیری از تبعات آن صورت پذیرفته است؟
۹-آیا آموزش‌های لازم در جهت نحوه گزارشگری و بازخوردگیری از افشاهای آن در دستور کار قرار گرفته است؟
۱۰-آیا محیط گزارشگری استقبال لازم را از این نوع از افشاهای نوین خواهد کرد و همچنین بهای لازم را به این نوع از افشاهای نوین
خواهد داد؟

منبع: ماهنامه بازار و سرمایه شماره ۱۳۰

کد خبر 459088

برچسب‌ها

اخبار مرتبط

  • روایت خاندوزی از مقاومت در برابر حذف امضاهای طلایی

    روایت خاندوزی از مقاومت در برابر حذف امضاهای طلایی

    وزیر اقتصاد از مقاومت دستگاه‌ها در صدور ۱۴۸ هزار مجوز خبر داد و گفت: از ابزارهای نظارتی در داخل دولت و هم کمیسیون های نظارتی مجلس استفاده می‌کنیم تا دستگاه‌ها مکلف به تسهیل و تسریع صدور مجوز در مهلت مقرر در قانون شوند.

نظر شما

شما در حال پاسخ به نظر «» هستید.
0 + 0 =