چرا امنیت سایبری برای هر کسب‌وکار باید سفارشی شود؟

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

امروزه حملات باج افزارها به‌شدت افزایش‌یافته است. در یک مطالعه‌ی IDC تخمین زده‌شده که تقریباً 37 درصد سازمان‌ها قربانی باج افزارها می‌شوند. فیشینگ، حملات انکار سرویس و جک رمز ارز نیز در حال افزایش هستند و پیش‌بینی می‌شود خسارات مربوط به جرائم سایبری در سال 2022 از 7 تریلیون دلار در سطح جهان فراتر رود.

 

هر سازمانی باید اقداماتی را برای محافظت در برابر این نوع حملات انجام دهد. بااین‌حال هیچ برنامه جهانی که حفاظت از هر شرکتی را تضمین کند، وجود ندارد. استراتژی امنیت سایبری باید بر اساس نیازها، آسیب‌پذیری‌ها و تحمل ریسک‌های منحصربه‌فرد هر سازمان تنظیم شود. امنیت سایبری هر سازمان باید فرآیندهای عملیاتی، گردش کار بخش و الزامات خدمات مشتری را نیز در نظر بگیرد. بسیاری از سازمان‌ها به‌اشتباه تدابیر امنیتی سخت‌گیرانه‌ای را اعمال می‌کنند که مانع بهره‌وری می‌شود و باعث می‌شود کاربران راهکار‌های پرخطر ایجاد کنند.

رویکرد مبتنی بر ریسک

رویکرد مبتنی بر ریسک برای امنیت سایبری با تجزیه‌وتحلیل تأثیر تجاری یا BIA (Business Impact Analysis) شروع می‌شود که شامل مستندسازی فرآیندهای کسب‌وکار و رتبه‌بندی آن‌ها بر اساس اهمیت آن‌ها است. فرآیندها باید از منظر فنی و غیر فنی ارزیابی شوند. همه وابستگی‌های اساسی - ازجمله پرسنل، امکانات، سیستم‌ها، برنامه‌ها، داده‌ها و سایر منابع - باید در نظر گرفته شوند.

گام بعدی انجام ارزیابی ریسک برای شناسایی آسیب‌پذیری‌ها و تهدیدهای بالقوه برای فرآیندهای کلیدی کسب‌وکار است. برای هر ریسک باید ارزشی بر اساس پیامدهای بالقوه برای سازمان تعیین شود. معیارهای سفارشی کمک می‌کنند تا اطمینان حاصل شود که سرمایه‌گذاری‌های امنیت سایبری با چالش‌های خاص سازمان مرتبط است.

اکنون فرآیند انتخاب و اجرای کنترل‌های امنیتی فرامی‌رسد که شامل سیاست‌ها، رویه‌ها و ابزارهای موردنیاز برای کاهش خطرات است. بسیاری از سازمان‌ها از یک یا چند چارچوب امنیتی برای هدایت تصمیمات خود استفاده می‌کنند. این چارچوب‌ها انعطاف‌پذیری را برای استفاده از کنترل‌های جبران‌کننده ارائه می‌دهند، که جایگزین‌هایی برای اقدامات امنیتی هستند که اجرای آن‌ها بسیار دشوار است.

اعتبار سنجی و حاکمیت مستمر

بااین‌حال، با فرض اینکه همه این موارد به‌درستی کار کنند، اما بازهم کافی نیست. کنترل‌های امنیتی باید پس از اجرا آزمایش و تائید شوند. ارزیابی‌های آسیب‌پذیری، تست‌های نفوذ و تمرین‌های ایجاد آمادگی به سازمان‌ها کمک می‌کنند تا تعیین کنند که آیا کنترل‌های امنیتی آن‌ها سطوح کافی از حفاظت را فراهم می‌کند یا خیر. این ارزیابی‌ها همچنین می‌توانند هرگونه شکاف در محیط امنیتی را شناسایی کنند.

آزمایش و اعتبارسنجی باید مستندات و گزارش‌هایی را ارائه دهد که انطباق با الزامات قانونی و مقرراتی را تسهیل کند. این گزارش‌ها همچنین می‌توانند به سازمان‌ها کمک کنند تا برای بیمه سایبری اقدام کنند و نرخ‌های مطلوبی را دریافت کنند.

هر مرحله از رویکرد مبتنی بر ریسک باید به یک فرآیند قابل تکرار تبدیل شود. ارزیابی‌های BIA و ریسک باید حداقل سالیانه انجام شود، درصورتی‌که تغییرات قابل‌توجهی در ساختار سازمانی، فرآیندهای عملیاتی یا محیط فناوری اطلاعات وجود داشته باشد، باید برای آن‌یک برنامه‌ریزی بررسی اضافی انجام شود.

مشارکت در سطح سازمان

سازمان‌ها همچنین باید این فرصت را به کارکنان بدهند تا مسائل مربوط به امنیت سایبری را گزارش کنند. نه‌فقط شکاف‌هایی که آسیب‌پذیری ایجاد می‌کنند، بلکه کنترل‌هایی که بر جریان کار تأثیر می‌گذارند. به‌عنوان‌مثال، آیا کاربران برای ذخیره و انتقال فایل ها به ابزارهای در حد مصرف‌کننده و ناامن متوسل می‌شوند؟ آیا آن‌ها اعتبار ورود به سیستم را به اشتراک می‌گذارند؟ آیا دسترسی به منابع موردنیاز خیلی طول می‌کشد؟

حاکمیت مستمر کنترل‌ها و شیوه‌های امنیت سایبری نیز می‌تواند به ایجاد پاسخگویی در سراسر سازمان کمک کند. کارکنان باید مسیر روشنی برای تشدید رویدادهای امنیتی و مستندسازی تغییرات سازمانی و رویه‌ای داشته باشند. آن‌ها همچنین باید مسئولیت‌های خود و عواقب عدم رعایت سیاست‌های تعیین‌شده را درک کنند.

نقش مراکز داده در امنیت سایبری سازمان‌ها

مرکز داده مهم‌ترین و حیاتی‌ترین بخش یک سازمان محسوب می‌شود. جاییکه تمام اطلاعات و داده‌های درون سازمان و داده‌های تأثیرگذار در تجارت در آن نگه‌داری می‌شوند. اطمینان از حفاظت از مراکز داده سازمان همان حفظ امنیت سایبری سازمان است. ارائه راهکارها و الزامات مناسب و مبتنی بر حفظ امنیت سایبری، تعمیر و نگه‌داری، مدیریت کنترل و بررسی به‌موقع مراکز داده باعث افزایش اطمینان در جهت حفظ اطلاعات حیاتی سازمان می‌شود.

آدرس ما بر روی نقشه

address

تهران، خیابان ولیعصر، نرسیده به میدان ولیعصر، روبروی وزارت دادگستری ،کوچه ولدی، مجتمع اداری و تجاری ولیعصر،برج شمالی، طبقه چهارم، واحد  ۲۴

تلفن تماس

 ( ۱۰ خط ) ۰۲۱۸۸۹۴۳۴۲۴</br>

  • فکس: ۰۲۱۸۸۹۴۳۴۲۴ داخلی 109