هرچیزی که امکان هک شدن داشته باشد هک میشود، یا حداقل کسی برای اینکار تلاش میکند. طی سالهای اخیر شاهد موارد زیادی از نقض امنیتی دادهها بودهایم که بهوسیله آن هکرها توانستند میلیونها گیگ دادههای محرمانه و بیشتر دادههای شخصی را از شرکتهای مورد اعتماد مردم مورد سرقت قرار دهند.
مشکل اینجاست که بیشتر شرکتها به جای اینکه فعال و آیندهنگرانه عمل کنند، صرفا واکنش نشان میدهند. آنها پس از وارد شدن خسارت، واکنش نشان میدهند و تا زمانی که متوجه نقض امنیت شوند، کار کمی از آنها برای کاهش زیان برمیآید.
پس چرا بهطور فعال و پیشگیرانه عمل نکرد؟ آیندهنگر و فعال بودن این فرض را ایجاد میکند که هرچیز هک شدنی هک میشود و باید تدابیری اتخاذ کرد تا از عدم وقوع چنین رویدادی اطمینان حاصل گردد یا حداقل احتمال آن بسیار کم شود.
مبانی استراتژی امنیت سایبری پایدار
ایجاد پایه و اساس برای یک استراتژی امنیت سایبری استوار مستلزم این موارد است:
فهم اینکه از چه چیزی باید حفاظت شود: باید با تهیه یک لیست از هر دارایی قابل هک در شرکت شروع کرد. در صورت بزرگ بودن سازمان، باید با سیستمهای حیاتی شروع کرده و کم کم سراغ سایرین رفت. فهم اینکه کدام سیستمها برای شرکت سودآور بوده و باعث رونق کسبوکار میشوند نقطه خوبی برای شروع کار است. اینها سیستمهای حیاتیای هستند که در صورت هک باعث مختل شدن تجارت میشوند و باید جزو اولین مواردی باشند که محافظت میشوند.
رعایت الزامات قانونی: مورد شکایت قرار گرفتن به واسطه نقض امنیتی میتواند برای سازمان، میلیونها و یا حتی میلیاردها دلار هزینه داشته باشد. بنابراین باید مطمئن بود که در برابر سیستمهای امنیتی که دارای کاربر حساس یا دادههای شرکت هستند رعایت الزامات قانونی صورت گرفته است.
اندازهگیری میزان ریسکپذیری: ریسکپذیری میزان مسئولیتی است که سازمان میتواند در مقابل ریسکها داشته باشد. اگر ریسکپذیری شرکت پایین باشد، باید جهت کاهش مسئولیت، برنامهریزی مناسبی انجام شده و سیستم امنیتی به نحو درستی پیادهسازی شود.
دلایل شکست امنیت سایبری یک سازمان
ویدیوهای بیشتر درباره امنیت
درک چشمانداز ریسک و منشا تهدیدات
در گام بعدی ایجاد استراتژی، باید چشمانداز ریسکها تحلیل شده و ابتدا محیطی که سازمان در آن فعالیت میکند درک شود. زمانی که این درک حاصل شد باید به رقبا نگاه کرد. اگر افراد دیگری در صنعت و فضای یکسان هک شدهاند، بعید نیست که نفری بعدی شما باشید. لازم است که در حد امکان، درک درستی از نحوه پیادهسازی سیستمهای امنیتی آنها به دست آورد و قسمتهایی که دارای همپوشانی هستند، حذف شوند.
همچنین خوب است تحقیقی درباره دلایلی که ممکن است سازمان یا تجارت را مورد هدف قرار دهد، انجام شود. برخی از دلایل ممکن است موارد زیر باشند:
- سود مالی
- انتقام سیاسی
- خرابکاری
تدوین استراتژی امنیت سایبری
در این مقطع، لازم است که آسیبپذیریها و مناطقی که بیشتر مستعد حمله هستند، مشخص شوند. سپس با انتخاب یک چارچوب برای پیادهسازی استراتژی شروع کرد. به طور مثال کنترلهای CISموارد زیر را دربر میگیرد:
- فعالیتهایی که انجام آنها در حفاظت از سیستمها الویت دارد را فراهم میکند
- ترتیب پیگیری امور را در طی اجرای این اقدامات مشخص میکند
پیروی از چنین چارچوبی ایدهی واضحی از آنچه که مورد حفاظت قرار گرفته و آنچه که هنوز مورد حفاظت واقع نشده، همچنین اقدامات مورد نیاز برای حفاظت از سیستمهای امنیتی میدهد.
بیشتر بخوانید: روش ارتقاء امنیت سایبری در بخش های مختلف سازمان
انتخاب نگرش مدیریت ریسک
هرآنچه که سازمانها برای پیادهسازی سیستم امنیتی خود انجام میدهند باید از منظر مدیریت ریسک صورت گیرد. به همین دلیل است که یک چارچوب پیادهسازی بسیار مهم است. اگر همهچیز در لیست اقدامات بهطرز صحیح انجام شوند، امکان حمله بسیار کم است.
هنگام تلاش برای کاهش ریسک، سوالاتی وجود دارند که باید به آنها پاسخ داد:
- سطح بلوغ امنیتی سازمان چقدر است؟ چقدر به بهترین روشهای امنیتی پایبند است؟ پاسخگویی به این سوال کمک میکند تا حوزههای بهینهسازی را مشخص کنیم. این یک فرآیند مکرر بسیار کارآمد است چرا که در آینده این ارزیابیها جهت مقایسه بین نتایج سابقه و نتایج جدید مورد استفاده قرار میگیرند.
- چه پشتههای (Stacks) تکنولوژیای پیادهسازیشدهاند؟ هر نرمافزار یا سختافزار در Stack که کمتر مورد استفاده قرار گرفته، نقطه نفوذی برای استفاده مهاجمان است. اگر چنین نرمافزار یا سختافزاری موجود است، باید راهی برای خلاصی یا جایگزینی آنها یافت.
- چگونه میتوان سریع پیروز شد؟ آسیبپذیریها و حوزههای بنیادیای که سریعا قابل رفع هستند، بهترین نقطه شروع هستند. باید به یاد داشت که اگر کاربر میتواند تنها در دقایقی این آسیبپذیریها و روزنهها را پیدا کند، هکرها نیز میتوانند. نیاز به یک طرح عملی برای مشخص کردن مشکلاتی که سریعا قابل حل هستند وجود دارد. سپس به ترتیب از بالای لیست شروع به اقدام کرده و به پایین لیست رفت بطوری که شناسایی آسیبپذیریها و رفع آنها سختتر شود.
اجرای طرح امنیتی
پس از تکمیل طرح امنیتی، زمان اجرای آن است. اما قبل از آن، آیا سازمان توانایی اجرای نقشه بهطور موثر را دارد؟ آیا افراد مناسبی وجود دارند تا اطمینان حاصل گردد همهچیز در طرح درست انجام شده است؟ برای پاسخگویی به این سوالات، شاید نیاز باشد تا به سراغ رزومه همه افراد تیم رفت و توانایی آنها را در زمینه IT و سایر موارد ارزیابی کرد.
اگر کسی در تیم دارای مدرک فوق لیسانس علوم کامپیوتری (Computer Science) از یک موسسه معتبر مانند دانشگاه Wilfrid Laurier باشد، به احمال زیاد دانش و مهارت مورد نیاز را دارد. همچنین مهم است که تحلیلی در خصوص قابلیت پیشرفت استراتژی امنیت سایبری و امکان استفاده از آن در آینده نیز صورت پذیرد. سوالات دیگری که باید درباره آنها فکر کرد اینها هستند:
- آیا در سازمان تغییرات قابل توجهی مانند ادغام یا دستآورد اکتسابی ایجاد می شود؟ باید بهخاطر داشت که اگر یک شرکت را بدست میآوریم، سیستمهای سایبری و IT آن را نیز بدست میآوریم. اگر آنها به سیستمهای خود استحکام ندادهاند، ممکن است آسیبپذیریهای سایبری آنها به ما نیز برسد.
- آیا این استراتژی میتواند طی یک بروزرسانی انجام شود؟ بعضی وقتها، استحکام دادن به سیستمهای امنیتی میتواند منجر به سایر مشکلات IT شود. اگر کاربر سریعا هر بروزرسانی نرمافزاری را انجام دهد و هیچگونه مشکلی در حوزه سایبری پیشبینی نکند، میتواند استحکام بخشی را بعدا انجام دهد. گذشته از همه اینها، اگر یک سیستم عملیاتی یا بروزرسانیهای در مقیاس بزرگ را اجرا میکنیم، نرمافزارها و سختافزارهای جدید باید امتحان شوند.
هر سازمان، یک استراتژی امنیت سایبری
هر سازمانی باید یک استراتژی امنیت سایبری داشته باشد. تهدیدات سایبری همیشه در اطراف ما وجود دارند کافیست تنها چند هکر میلیونها گیگ از دادههای شرکت را در اینترنت پخش کنند. باید یک استراتژی طراحی کرده و همین حالا شروع به Patchکردن آسیبپذیریها کرد.
