به گزارش سرویس بین الملل پایگاه خبری عدل البرز به نقل از securityintelligence، سازمانها دائماً با تاکتیکهای جدیدی از سوی مجرمان سایبری روبرو میشوند که هدفشان به خطر انداختن با ارزشترین داراییهایشان می باشد.
با وجود پیشرفت تکنولوژی و تکنیکهای متقدم در حوزه امنیت سایبری، بسیاری از رهبران امنیت هنوز از اصطلاحات نسبی و فردی مانند “پایین”، “متوسط” و “بالا” برای ارتباط و مدیریت ریسکهای سایبری استفاده میکنند. این مسئله نشان میدهد که در برخی موارد، توصیفات امنیتی همچنان به طریقی کلی و کمی انجام میشوند و بهجای ابزارها یا معیارهای دقیقتر، از اصطلاحات مبهم و عمومی استفاده میشود.
این عبارات مبهم جزئیات یا بینش لازم را برای ایجاد نتایج عملی که به طور دقیق خطرات سایبری را شناسایی، اندازهگیری، مدیریت و مخابره میکنند، بیان نمیکنند. در نتیجه، مدیران اجرایی و اعضای هیئت مدیره برای مدیریت موثر ریسک سازمانی همچنان ناآگاه هستند و آمادگی ندارند.
مدیران اجرایی تحت فشار هستند تا برنامههای امنیت سایبری شرکتهای خود را بهبود بخشند. در آمریکا به دلیل اجرای مقررات جدید کمیسیون اوراق بهادار و بورس (SEC) این کشور، شرکتهای عمومی ملزم به اطلاعرسانی سریع درباره حملات سایبری و اطلاعات مهم مربوط به مدیریت ریسک سایبری، استراتژی، و حاکمیت خود شده اند.
ارزیابی ریسک سایبری (CRQ) به عنوان موثرترین راه برای به حداکثر رساندن برنامه های مدیریت ریسک سایبری با تبدیل ریسک سایبری به اثرات مالی خاص ظاهر شده است. طبق تحقیقات Forrester، ارزیابی ریسک سایبری اساساً شیوه تعامل رهبران امنیتی با هیئتها و مدیران اجرایی برای بحث در مورد امنیت سایبری را متحول خواهد کرد.
گزارش ریسک سایبری به مدیران اجرایی و هیئت مدیره
سرفصلهای خبری حملات سایبری و سوء استفادههای آسیبپذیری روز صفر به موضوعات معمول گفتگو در اتاقهای هیئت مدیره تبدیل شدهاند. در واقع، ریسک سایبری به یکی از پنج خطر بزرگی که سازمان ها با آن مواجه هستند، تبدیل شده است. در دنیای امروز، برای رهبران امنیتی ضروری است که خطرات سایبری را به شیوه ای واضح، مختصر و قابل درک به هیئت مدیره خود اطلاع دهند. اغلب، گزارشهای امنیت سایبری مملو از جزئیات فنی بسیار زیادی می باشد که مانع از تصمیمگیریهای آگاهانه و ارزیابی دقیق چشمانداز خطر امنیت سایبری میشود. این امر می تواند منجر به سردرگمی و تصمیم گیری فردی شود.
با عملیاتیسازی ارزیابی ریسک سایبری، رهبران امنیتی میتوانند گزارشهای اجرایی ارائه دهند که تأثیرات مالی حملات سایبری به داراییهای حیاتی کسبوکار را منتقل کند، منجر به قطعی در عملیات، قطع اتصال سیستم و کاهش تولید و هزینههای مرتبط با بازیابی گردد.
در مواجهه با ریسک سایبری، بهتر است این ریسک را با استفاده از اصطلاحات و مفاهیمی که در حوزه تجارت معمولاً استفاده میشود، ارتباط داد. این کار باعث میشود تا رهبران تجاری و اجرایی بتوانند بهترین تصمیمات را بگیرند و درک کاملی از تأثیرات مالی و عملیاتی ریسک سایبری داشته باشند.
با استفاده از خروجی های یک برنامه ارزیابی ریسک سایبری، رهبران می توانند با هیئت مدیره و تیم های اجرایی خود هماهنگی ایجاد کنند و استراتژی ها و سرمایه گذاری های کلی کاهش ریسک خود را بهبود بخشند.
بهینه سازی هزینه های امنیتی
مدیران امنیتی برای افزایش اقدامات حفاظتی و کاهش ریسک، با در نظر گرفتن محدودیتهای اقتصادی و بودجههای محدود، تحت فشار هستند. با این حال، روشهای تصمیمگیری سنتی اغلب بر اطلاعات ذهنی تکیه میکنند و توجیه عینی سرمایهگذاریهای امنیتی قبلی یا آینده را چالش برانگیز میسازند. عملیاتی کردن ارزیابی ریسک سایبری به فرآیند تصمیم گیری عینیت می بخشد. این امر سازمان ها را قادر می سازد تا برنامه های امنیت سایبری و سرمایه گذاری های ابزاری را با اولویت بندی هزینه ها بر اساس کاهش ریسک مالی و به حداکثر رساندن بازگشت سرمایه (ROI) بهینه کنند.
بدون تعیین کمی خطرات در زمینه وضعیت کنترل امنیتی فعلی به عنوان یک خط پایه، سازمان ها نمی توانند به طور دقیق میزان اثربخشی ابتکارات امنیتی خود را تعیین کنند یا سرمایه گذاری بعدی خود را تعیین کنند. درک قرار گرفتن در معرض ریسک مالی سازمان به رهبران امنیتی اجازه می دهد تا روی مناطقی با مهم ترین فرصت های کاهش ریسک تمرکز کنند و ابتکارات امنیتی را که با کسب و کار هماهنگ هستند را اولویت بندی کنند تا مهم ترین خطرات پیش روی کسب و کار را کاهش دهند.
توسعه برنامه ریسک سازمانی
برای ارائه یک نمایه کلی ریسک سازمانی به تصمیم گیرندگان، ریسک سایبری باید به طور کامل در برنامه مدیریت ریسک کلی سازمانی (ERM) ادغام شود. با این حال، این فرایند تنها با درک پیامدهای مالی تهدیدات سایبری امکان پذیر می باشد تا سازمان ها بتوانند تلاش های کاهش ریسک خود را با اهداف تجاری هماهنگ کنند و انعطاف پذیری کلی سازمان را افزایش دهند.
از لحاظ تاریخی، بسیاری از سازمانها رویههای مدیریت ریسک مستقل از جمله ERM، ریسک امنیت سایبری، ریسک عملیاتی و انطباق و ریسک فناوری اطلاعات را توسعه دادهاند. ارزیابی ریسک سایبری در حال تبدیل شدن به بهترین روش در بین سازمانهای پیشرو برای توسعه و اجرای برنامههای مدیریت ریسک موثر، ارتقای امتیازدهی ریسک و یکپارچهسازی رویههای ERM می باشد. سازمان های پیشرو که از ارزیابی ریسک سایبری برای بهبود فرآیندهای مدیریتی خود استفاده کرده اند، یک مدل عملیاتی واحد و یکپارچه برای مدیریت ریسک ایجاد کرده اند. این مسئله امکان تجزیه و تحلیل بهتر را برای شناسایی و ردیابی روندها در خطوط کسب و کار یا حوزه های عملکردی و همچنین خطرات سیستماتیک برای سازمان فراهم می کند.
در حالی که نیاز به رویکرد جدیدی در تفکر درباره مدیریت ریسک وجود دارد که چندین عملکرد مدیریت ریسک را در بر میگیرد، اما نتیجه این تغییر در دیدگاه و ادغام عملکردهای مختلف مدیریت ریسک، یک فرآیند شناسایی، تجزیه و تحلیل، و گزارشدهی ریسک استاندارد، یکپارچه و به خوبی درک شده است. به عبارت دیگر، این تغییر در رویکرد منجر به ایجاد یک فرآیند مدیریت ریسک شده که به صورت استاندارد و یکسان اجرا میشود و توسط افراد به خوبی درک میشود.
بسیاری از خطرات ناشی از خطوط مختلف کسب و کار ماهیت مشابهی دارند و دلایل اصلی مشترکی دارند. استفاده از یک فرآیند ارزیابی مدیریت ریسک منحصر به فرد به ما امکان می دهد تا اثرات مورد انتظار را به سرعت شناسایی کنیم و مهمتر از آن، از رویکردهای کاهش اثبات شده برای مقابله با این خطرات استفاده کنیم.
از آنجایی که شرکتها با اتخاذ ارزیابی ریسک سایبری به رشد قابلیتهای ریسک سایبری خود ادامه میدهند، باید ارزیابی ریسک سایبری را در سایر عملکردهای ریسک در نظر بگیرند و در جهت اتخاذ یک مدل عملیاتی مدیریت ریسک یکپارچه تلاش کنند.
اتخاذ ارزیابی ریسک سایبری می تواند به سازمان شما کمک کند تا گزارش امنیت سایبری را بهبود ببخشد، بودجه ها را بهینه کنید، نقشه های راه امنیتی مبتنی بر ریسک ایجاد کنید، آسیب پذیری ها را اولویت بندی و ERM را تقویت کنید. با انجام این کار، رهبران امنیتی، مدیران اجرایی و اعضای هیئت مدیره خود را قادر می سازند تا تصمیمات آگاهانه، مبتنی بر ریسک و مسئولیت مالی را در مورد ریسک اتخاذ کنند.
سازمان ها می توانند گام های ساده ای برای پیشرفت در این مسیر بردارند. برای استفاده موفق از مدل ارزیابی ریسک سایبری (CRQ) توصیه میشود که با شروع با یک یا دو مورد کاربرد کوچک شروع کرده و مواردی را انتخاب کنید که بهترین تطابق را با اهداف امنیتی سازمان شما را دارند. سپس، این مدل را به فرآیندهای تجاری مرتبط با امنیت معرفی کرده و آن را به عنوان یک عنصر اساسی واحد در فعالیتهای سازمان جای دهید. این اقدام باعث میشود که CRQ به صورت موثر در فرآیندهای تجاری شما جا بیافتد و نتایج قابل اجرا تولید کند که در نهایت منجر به بهبود در مدیریت ریسک سایبری میشود.
پایان پیام/
بیشتر بخوانید: نحوه مدیریت ریسک سایبری
