مدیریت و کنترل ریسکهای سایبری در سازمانها
عصر بانک؛تجربه نشان داده است که مسوولیت مدیریت و کنترل ریسکهای سایبری در سازمانها بهویژه بانکها، باید فقط و فقط در سطح مدیریت ارشد سازمانها متمرکز شود و نباید این امر مهم را به خارج از سازمان تفویض کرد.
امروزه، با توجه به اهمیت و نقشآفرینی رو به افزایش اطلاعات و امنیت اطلاعاتی سازمانها، لازم است که یک مقام مسوول مستقیم و متخصص کلیه مسوولیتهای مرتبط با برنامهریزی استراتژیک، اجرا و ارزیابی امنیتی ریسکهای سایبری را بر عهده گیرد. در واقع، نقش و وظیفه مدیران امنیت اطلاعاتی سازمان در سالهای اخیر دستخوش تغییر شده است به طوری که سازمانهایی که تا پیش از این لزومی به تخصیص پستی به نام مدیر امنیت اطلاعات نمیدیدند، در اینباره تجدید نظر کرده و این مسائل را به یکی از اولویتهای اصلی خود تبدیل کردهاند.
علاوهبر این، بسیار مهم است که سازمانها بهویژه بانکها، بین پست مدیر امنیت اطلاعات و بخش فناوری اطلاعات، تفکیک قائل شوند و مدیر امنیت اطلاعات را موظف به گزارشدهی مستقیم به هیاتمدیره (و نه مدیریت تکنولوژی اطلاعات) کردهاند که این مساله، بیانگر این واقعیت است که سازمانهای مالی به ریسکها و تهدیدهای سایبری به مثابه یک چالش کلیدی و بسیار خطرناک مینگرند که مدیریت و کنترل آنها باید بهصورت رسمی و بهروز انجام شده و مستقیما به هیاتمدیره گزارش داده شود.
ارزیابی، سنجش و مدیریت ریسکهای سایبری
حملات سایبری میتوانند هزینههای سنگین و غیرقابلجبرانی را به فعالیتها و اعتبار سازمانها و شرکتها وارد آورند و موجب به سرقت رفتن اطلاعات و سرمایههای معنوی شرکتها و مشتریان آنها شوند. واقعیت این است که هیچ شرکت و سازمان و حتی دولتی از خطر حملات سایبری و ریسکهای مربوط به آنها در امان نیست.
امروزه شاهد آن هستیم که کودکان و نوجوانان اقدام به هک کردن و دانلود غیرقانونی بازیهای ویدئویی میکنند، گروههای سازمانیافته تبهکار به سازمانهای ارائهدهنده خدمات مالی دستبرد سایبری میزنند یا اسرار تجاری و اساسی دولتها را به سرقت میبرند و تروریستها، زیرساختهای حیاتی کشورهای مختلف را به صورت سایبری مورد حمله قرار میدهند و همه این اقدامات؛ پیامدهای منفی گسترده و فاجعه باری را میتواند به دنبال داشته باشد. برای مقابله با حملات و ریسکهای سایبری، هر سازمانی دارای پروفایل ریسک و تهدید سایبری خاص خود است که براساس ماهیت کاری، نوع اطلاعات تبادل شده در حوزه کاری و میزان ارزشمند بودن داراییهای سازمانها، متفاوت خواهد بود و لذا برای تدوین استراتژی سازمانی در زمینه تهدیدهای سایبری، لازم است که مدیریت ارشد سازمان درک درست و کاملی از فرآیند شناسایی و ارزیابی ریسکهای سایبری داشته باشد و به اصطلاح «از نزدیک دستی بر این آتش داشته باشد».
امروزه، با گسترش روزافزون فناوریهای اطلاعاتی و ارتباطی، بر همگان ثابت شده که ارزشمندترین دارایی و سرمایه هر شرکت و سازمانی، اطلاعات آن است و در صورت به سرقت رفتن این اطلاعات، حیثیت و اعتبار آن شرکت و سازمان بر باد خواهد رفت و خسارتهای سنگینی در انتظار آنها خواهد بود. بنابراین، برای جلوگیری از سرقت اطلاعات، باید استراتژیها و سیاستهای مدون و حسابشدهای را طراحی و اجرا کرد تا هم از وقوع حملات سایبری جلوگیری کرد و هم درصورت وقوع چنین حملاتی، بتوان خیلی سریع آنها را شناسایی و با آنها مقابله کرد و برای این کار باید درک درستی از چگونگی شکلگیری و تاثیرگذاری تهدیدها، ارزیابی درجه ریسکها و اتخاذ سیاستهای جامع ضد حمله سایبری به دست آورد.
بهطور کلی، شرکتها و سازمانها میتوانند با برخورداری از الگوهای هوشمند و اطلاعات محور مقابله با ریسکهای سایبری، به بهترین شکل نسبت به ارزیابی، مدیریت و به حداقل رساندن ریسکهای سایبری اقدام کرده و برای این کار لازم است فرآیندهای شناسایی، طبقهبندی و نمایش تهدیدهای سایبری با دقت تمام و توسط خود مدیریت (و نه به وسیله نیروهای خارج از شرکت) انجام شود تا زمینه لازم برای اولویتبندی اقدامات ضدریسکهای سایبری و کاهش حداکثری این تهدیدها و خطرات فراهم شود.
شناسایی حملات در اولین فرصت ممکن
توانایی بالای شرکتها در شناسایی و ردیابی سریع و به موقع حملات سایبری و در نطفه خفه کردن آنها با کمک الگوهای پویا و بهروز مدیریت ریسک سایبری میتواند شرکتها را از پیامدهای منفی حملات سایبری ایمن سازد.
این مساله در مورد شرکتهای مدرن و تکنولوژی محوری که تا حد زیادی با اینترنت و شبکههای مجازی پیوند دارند، از اهمیت حیاتی و تعیینکنندهتری برخوردار است.
مدافعان و محافظان شرکتها و سازمانها در برابر حملات سایبری، به همان چیزهایی نیاز دارند که مزیت اصلی آنها در برابر مهاجمان و عامل برتریشان در این نبرد شدید است و آن عبارت است از اطلاعات موثق و دقیق درباره موارد زیر:
• اینکه شرکت چه میکند و چطور کار میکند؟
• داراییهای کلیدی شرکت کدامند و کجا قرار دارند؟
• کاربران چگونه با شرکت تعامل دارند و شرکت چگونه با جهان خارج (از طریق اینترنت) ارتباط برقرار میکند؟
با برخورداری از اطلاعات کامل و درست درباره چنین مواردی است که شرکتها میتوانند رویکردی استراتژیک و قدرتمند در قبال امنیت سایبری اتخاذ کنند و هرگونه خطر و حملهای را در کوتاهترین زمان ممکن و به کاملترین شکل شناسایی و مهار کنند.
منبع: Banking Tech
مترجم: سیدحسین علوی لنگرودی
/دنیای اقتصاد