بیشتر مردم ریسک سایبری را به عنوان آسیب احتمالی ناشی از فناوری اطلاعات و سیستم های ارتباطی یک شرکت تصور می کنند. این دیدگاه محدود به این دلیل است که کسب‌وکارها نقض داده‌ها و حملات سایبری را به دلیل نقص در سیستم‌های فناوری اطلاعات یک سازمان بیشتر گزارش می‌کنند.

به گزارش سرویس بین الملل پایگاه خبری عدل البرز به نقل از techgraph ، نقض سایبری می تواند منجر به اختلال در کسب و کار، آسیب به شهرت، سرقت مالکیت معنوی و کاهش بهره وری شود. همه اینها به عنوان خطرات سایبری جدی محسوب می شوند. این خطرات می توانند توانایی عملیاتی سازمان را به خطر بیندازند و بر تداوم کلی کسب و کار تأثیر بگذارند.

بنابراین، کسب‌وکارها باید رویکرد گسترده‌تری برای مدیریت ریسک سایبری داشته باشند. درواقع، رویکرد مدیریت ریسک‌های سایبری باید بر تصاحب دیدگاه جامع در سراسر سازمان تمرکز کند. این عبارت به معنای به‌دست آوردن دیدگاه جامع از وضعیت کلی ریسک‌های سایبری سازمان می باشد که شامل بررسی به‌روزرسانی و مشاهده لحظه‌ای ریسک‌های سایبری، از جمله ریسک‌های ناشی از اشخاص ثالث می‌شود. کمیت‌سازی ریسک، اولویت‌بندی و توانایی‌های ارتباطی که بینش‌های کلیدی را به هیئت مدیره منتقل می‌کند، در رویکرد مدیریت ریسک کل‌نگر مهم می باشند.

بسیاری از کسب‌وکارها اهمیت مدیریت ریسک سایبری را درک کرده‌اند و با تخصیص منابع بیشتر برای مبارزه با تهدیدات سایبری، آن را در اولویت قرار داده اند. بر اساس یک نظرسنجی در سال ۲۰۱۹، ۷۹ درصد از مشاغل، ریسک سایبری را در بین پنج اولویت اصلی کسب و کار خود قرار می دهند. اما چه عاملی شرکت ها را از مدیریت موثرتر ریسک سایبری باز می دارد؟

چالش های اصلی در مدیریت ریسک سایبری

سرعت فزاینده تحول دیجیتال سطوح حمله را گسترش می دهد و چشم انداز خطر را برای پیش بینی پیچیده می کند. اتخاذ فناوری‌ها و استراتژی‌های جدیدتر مانند تعامل با تأمین‌کنندگان شخص ثالث، فعال کردن دسترسی از راه دور، استفاده از خدمات تلفن همراه، و خدمات برون‌سپاری، قرار گرفتن در معرض خطر را افزایش می‌دهد.

بنابراین، با این که رهبران ملزومات را تشخیص می دهند اما آنها هنوز برای داشتن دسترسی به داده ها، نحوه اندازه گیری تأثیر بالقوه، و مهمتر از همه نحوه برقراری ارتباط با هیئت مدیره با چالش مواجه هستند.

عدم مشاهده ریسک: CISO و تیم‌های امنیتی که وظیفه محافظت از دارایی‌های IT خود را در برابر حملات باج‌افزار و فیشینگ دارند، ابزاری ندارند که بتواند دیدگاه یکپارچه‌ای از ریسک‌ها و روندها داشته باشد و به رهبران کسب‌وکار کمک کند تا در برابر خطرات نوظهور سریع‌تر واکنش نشان دهند.

خطر سایبری ناشی از نقض تصادفی سایبری از طرف فروشنده شخص ثالث یا شریکی خارج از شرکت می تواند کل زنجیره تامین را مختل کند و بر تجارت تأثیر منفی بگذارد.

کسب‌وکارها برای محافظت از سازمان در برابر عوامل بد، به راه‌حل‌هایی با هوش تهدید عملی نیاز دارند. آن‌ها به راه‌حل‌هایی نیاز دارند که بتوانند همه تهدیدات نوظهور را شناسایی کرده و خطرات مرتبط با کسب‌وکارشان را بهتر پیگیری کند. نظارت بر کنترل مداوم (CCM) مجموعه ای خودکار از فناوری ها می باشد که سیستم ها و عملکردهای تجاری را به طور مداوم آزمایش و نظارت می کند. این فناوری به متخصصان ریسک کمک می‌کند تا کنترل‌های امنیتی را ارزیابی کنند، شکاف‌ها را شناسایی کنند و مسائل را به طور فعال حل کنند.

کمیت سنجی و اولویت‌بندی ریسک سایبری: کسب‌وکارها معمولاً با اولویت‌بندی تهدیدات سایبری دست و پنجه نرم می‌کنند، زیرا فاقد ابزار لازم برای تعیین کمیت ریسک هستند. رهبران کسب‌وکار نمی‌توانند بدون اندازه‌گیری ریسک، تصمیم بگیرند که کدام ریسک‌ها را باید مورد توجه قرار دهند. ولی، با استفاده از ابزارها و راه‌حل‌های مناسب، کسب‌وکارها می‌توانند تأثیر ریسک سایبری را به شکل ارزش پولی ارزیابی کنند.

تصمیم‌گیرندگان می‌توانند از این اطلاعات برای اولویت‌بندی ریسک‌ها و سرمایه‌گذاری‌ها با کمیت سنجی تأثیر مالی واقعی ریسک‌ها استفاده کنند. کمیت سنجی ریسک سایبری به سازمان ها کمک می کند تا بفهمند کجا باید سرمایه گذاری کنند و چه میزان سرمایه گذاری کفایت می کند.

کمیت سنجی ریسک به تصمیم گیرندگان کمک می کند تا ریسک ها را شناسایی کرده و کنترل های امنیتی قوی پیرامون آنها ایجاد کنند. رهبران کسب و کار می توانند از اطلاعات برای تصمیم گیری در مورد اقداماتی استفاده کنند که منجر به انعطاف پذیری بیشتر و عملکرد بهتر تجاری می شود. روش‌ها و ابزارهای اندازه‌گیری ریسک‌های سایبری، نقش بسیار مهمی در ارتباط ریسک‌ها به صورت مالی با سازمان دارند، به ویژه زمانی که بخواهند میزان قابل قبول اختلال‌های عملیاتی را به صورت پولی ارزیابی کنند.

ناتوانی در مدیریت موثر خطرات ابری و باج‌افزار پیچیده: با انتقال داده‌های طبقه‌بندی‌شده بیشتر به فضای ابری، تیم‌های امنیتی باید اطمینان حاصل کنند که پیکربندی و رویه‌های امنیتی مناسب را در اختیار دارند. گاهی اوقات تیم های واکنش به حادثه فاقد مهارت ها و ابزارهای لازم برای انجام تحقیقات قانونی بر روی داده های ابری هستند که کسب و کار را در معرض خطرات ناشی از ابر قرار می دهد.

در مدیریت ریسک‌های ابری، یک استراتژی ابر امن، درک عمیقی از ایمنی ارائه‌دهندگان ابر، و سرمایه‌گذاری در پلتفرم‌های مناسب برای اتوماسیون عملکردهای امنیتی امری حیاتی می باشد. به عنوان مثال، نظارت بر کنترل‌ مستمر (CCM)، آزمون و نظارت خودکار و پیوسته کنترل‌های امنیتی ابر را ممکن می‌سازد و به سازمان‌ها اجازه می‌دهد که به صورت پیشگامانه آسیب‌پذیری‌ها را شناسایی کرده، ایمنی ابر را بهبود بخشند و هزینه‌های مربوط به حسابرسی‌ها را کاهش دهند.

گزارش ریسک سایبری به هیئت مدیره: مدیران امنیت اطلاعات (CISOs)، به عنوان مسئولان امنیت سازمان‌ها، با چالش‌هایی مواجه هستند که نیازمند مهارت‌ها و استراتژی‌های خاص برای موفقیت در گزارش دادن به هیئت‌مدیره (بورد) و اعضای ارشد کارکنان می باشد. یکی از چالش‌های اصلی در این حوزه، توجیه سرمایه‌گذاری‌های لازم برای مدیریت ریسک‌های سایبری به اعضای هیئت‌مدیره است. این مدیران امنیت باید بتوانند ریسک‌های سایبری را به زبانی ساده و قابل درک برای اعضای هیئت‌مدیره و دیگر اعضای اجرایی (C-suite) توضیح دهند.

بسیاری از اعضای هیئت‌مدیره در زمینه فناوری اطلاعات و امنیت سایبری تجربه و آگاهی فنی ندارند و به جزئیات تکنیکی مرتبط با ریسک‌های سایبری آشنا نیستند. به همین دلیل، مدیران امنیت باید از طریق ارتباطات مؤثر و در زبانی ساده، ابزارها، فرآیندها و سیاست‌های امنیتی را به هیئت‌مدیره توضیح دهند تا آن‌ها بتوانند تصمیم‌گیری‌های بهتری در خصوص سرمایه‌گذاری در امنیت سایبری بگیرند.

رویکردی مدرن برای مدیریت ریسک سایبری

مدیریت ریسک سایبری در چشم انداز ریسک در حال تحول امروزی پیچیده و چالش برانگیز می باشد. تهدیدات سایبری به تنهایی وجود ندارند. گسترش دستگاه های تلفن همراه و اینترنت اشیا (IoT) نقاط دسترسی بالقوه را افزایش داده است. به عنوان مثال، هکرها می توانند از داده های استخراج شده از طریق وب اسکرپینگ سوء استفاده کرده و از آن برای انجام حملات فیشینگ استفاده کنند. یک نقض واحد می تواند منجر به خطرات جدی با عواقب شدید گردد. رویکرد مدرن برای مدیریت ریسک، از رهبران ریسک سایبری می‌خواهد که چشم انداز ریسک مرتبط و تأثیر ریسک‌ها را درک کنند. به همین منظور، کسب‌وکارها باید در راهکارهای نرم‌افزاری مخصوص ریسک سایبری سرمایه‌گذاری کنند که با استانداردهای امنیتی معتبر مانند ISO 27001، NIST CSF و NIST SP800-53 همخوانی دارند. این اقدام به مدیران امنیت اطلاعات (CISOs)، حرفه‌ای‌های ریسک و تیم‌های امنیتی کمک می‌کند تا یک برنامه ریسک سایبری بر اساس بهترین شیوه‌ها و چارچوب‌های صنعتی ایجاد کنند و از این طریق توانایی‌های کلی سازمان خود را در ارتقاء حوزه‌های حکومت سایبری، ریسک و مطابقت بهبود بخشند.

پایان پیام/