مفاهیم کلیدی مدیریت مخاطرات سایبری

امروزه، سازمان‌ها برای رسیدن به اهداف و ماموریت‌های خود از سیستم‌های اطلاعاتی و اینترنت استفاده می‌کنند. از طرف دیگر، پیچیدگی و شدت تهدیدات سایبری هم دائماً در حال افزایش است؛ به طوریکه این امر منجر به افزایش مخاطرات سایبری‌ شده است که می‌تواند عملکرد سازمان یا زنجیره تولید سازمان و یا اطلاعات حساس مشتری را به خطر بیاندازد. در این مقاله، جهت کمک به بحث‌های مدیریت مخاطرات امنیت سایبری سازمان‌ها، سوالات کلیدی‌ به همراه مفاهیم مدیریت مخاطرات سایبری مطرح می‌شود.

پنج سوالی که مدیران عامل باید درباره مخاطرات سایبری بپرسند

چگونه مدیر اجرایی درباره سطح فعلی و پیامدهای تجاری‌ مخاطرات سایبری سازمان مطلع می‌شود؟
سطح فعلی و پیامدهای تجاری مخاطرات سایبری روی سازمان، چقدر است؟ چه برنامه‌ای برای مواجه با مخاطرات شناسایی شده وجود دارد؟
برنامه امنیت سایبری سازمان، چگونه استانداردها و بهترین تجارب این حوزه را پوشش می‌دهد؟
چه تعداد و چه نوع‌هایی از رخدادهای سایبری در یک هفته شناسایی می‌شود؟ سطح آستانه‌ای که منجر به اطلاع رسانی به مدیر اجرایی می‌شود چقدر است؟
برنامه پاسخ به رخدادهای سایبری سازمان، به چه میزان جامع است؟ این برنامه، هر چند وقت یکبار تست می‌شود؟

مفاهیم کلیدی مدیریت مخاطرات سایبری

گنجاندن مخاطرات سایبری در فرآیند راهبری و مدیریت‌ مخاطرات موجود

امنیت سایبری، پیاده سازی چک لیستی از تعدادی الزامات نیست؛ بلکه مدیریت مخاطرات سایبری، تا رسیدن به یک سطح قابل پذیرش است. مدیریت مخاطرات امنیت سایبری -به عنوان بخشی از چارچوب اداره سازمان، مدیریت مخاطرات و تداوم کسب و کار- از طریق سازمان، چارچوب استراتژیکی را برای مدیریت مخاطرات امنیت سایبری فراهم می‌کند.

درگیر کردن مدیر عامل در بحث‌های مربوط به مدیریت مخاطرات سایبری

استفاده از تجارب مدیر عامل در تعریف استراتژی مدیریت مخاطرات و سطوح قابل قبول آنها، امکان مدیریت بهتر مخاطرات سایبری را که نیازمندی‌های کسب و کار سازمان را هدف قرار داده است- فراهم می‌کند. ارتباط منظم میان مدیر عامل و کسانی که مسئول مدیریت مخاطرات سایبری هستند باعث می شود تا از مخاطرات فعلی که سازمان و کسب و کار را تحت تاثیر قرار می‌دهد بهتر آگاهی یابند.

پیاده سازی استانداردها و بهترین تجارب

یک برنامه امنیت سایبری جامع، جهت محافظت از سیستم‌ها و شناسایی مشکلات احتمالی از استانداردها و بهترین تجارب این حوزه، و جهت پاسخ و بازیابی به موقع به تهدیدات از فرآیندهای آگاهی رسانی درباره تهدیدات فعلی استفاده می‌کند. انطباق با الزامات به داشتن امنیت سایبری ابتدایی برای شناسایی آسیب پذیری‌های شناخته شده کمک می‌کند اما در شناسایی تهدیدات پویا کمکی نمی‌کند. استفاده از یک رهیافت مبتنی بر مخاطره، برای اعمال استانداردها و تجارب امنیت سایبری به مدیریت بهتر مخاطرات سایبری کمک می‌کند.

ارزیابی و مدیریت مخاطرات سایبری سازمان

شناسایی دارایی‌های حیاتی و پیامدهای تهدیدات سایبری برای فهم میزان مخاطره سازمان امری مهم است. نتایج ارزیابی مخاطرات، ورودی کلیدی برای شناسایی و اولویت بندی فعالیت‌های محافظتی، تخصیص منابع، و توسعه خط مشی‌ها و استراتژی‌های مدیریت مخاطرات سایبری به یک سطح قابل قبول است.

نظارت و بازبینی

کارمندان اجرایی، مسئول مدیریت و مواظبت از فرآیند مدیریت مخاطرات سازمان هستند. فعالیت‌های نظارت سایبری شامل ارزیابی منظم از بودجه‌های امنیت سایبری، برنامه‌های استفاده از فناوری اطلاعات، برون سپاری فناوری اطلاعات، خدمات ابر، گزارش‌های رخداد، نتایج ارزیابی مخاطرات و خط مشی‌های سطح بالا است.

توسعه و تست برنامه‌ها و رویه‌های پاسخ به رخداد

حتی سازمانی که به خوبی در مقابل حملات امنیتی مقاوم شده باشد، در برخی اوقات، رخدادهای سایبری را تجربه کرده است. زمانی که یک شبکه مقاوم در برابر تهدیدات مورد نفوذ قرار گیرد، مدیر عامل باید راه حل جایگزین را ارائه دهد. مستند کردن منظم برنامه‌های پاسخ به رخدادهای سایبری متداول باعث می شود تا امکان پاسخ بهنگام به رخداد وجود داشته باشد و پیامدهای ناشی از آن کاهش یابد.

هماهنگ کردن برنامه‌ریزی پاسخ به رخدادهای سایبری در سازمان

پاسخ سریع به رخداد می‌تواند خسارت احتمالی را کم یا حتی از آن جلوگیری کند. مولفه کلیدی آماده سازی پاسخ به رخدادهای سایبری، برنامه ریزی پاسخ همراه با کمک CIO/CISO، مدیران تجاری، برنامه ریزان تداوم کسب و کار، اپراتورهای سیستم، مشاوران حقوقی و روابط عمومی سازمان است. این برنامه ریزی شامل ترکیب خط مشی‌ها و رویه‌های پاسخگویی به رخداد سایبری با برنامه‌های تداوم کسب و کار و ترمیم خرابی است.

حفظ آگاهی محیطی از تهدیدات سایبری

آگاهی محیطی از مخاطرات سایبری سازمان شامل تشخیص بهنگام رخدادهای سایبری، همراه با آگاهی از تهدیدات و آسیب پذیری‌های جاری خاصِ آن نوع سازمان و پیامدهای مرتبط است. تحلیل، جمع آوری و یکپارچه نمودن داده‌های مربوط به مخاطرات از منابع مختلف و شرکت در به اشتراک گذاری اطلاعات مربوط به تهدیدات با شرکا، به سازمان در شناسایی و پاسخ به رخدادها کمک کرده و این اطمینان را حاصل می‌کند که فعالیت‌هایی که برای محافظت از سازمان انجام می‌شود متناسب با مخاطره است.