مدیریت ریسک چیست و امنیت سایبری یک سازمان

مدیریت ریسک هیچ‌گاه به اندازه دوران کنونی مهم نبوده است. امروزه ریسک‌هایی که سازمان‌ها با آن مواجه هستند پیچیده‌تر و قوی‌تر شده‌اند. ریسک‌های جدید به صورت دائمی در حال ظهور هستند که اغلب به استفاده فراگیر از فناوری دیجیتال مربوط می‌شوند.

مدیریت ریسک سایبری ایده مدیریت ریسک در دنیای واقعی را در نظر گرفته و آن را در فضای مجازی اعمال می کند. این شامل شناسایی خطرات و آسیب پذیری های شما و اعمال اقدامات اداری و راه حل های جامع برای اطمینان از حمایت مناسب سازمان شما می باشد.

همۀ سازمان‏ها برای دست‌یابی به اهداف خود به شناسایی و مدیریت ریسک‏ها نیازمندند زیرا آنها همواره با طیف گسترده‏ای از خطرهای مخرب بالقوه روبه‌رو می‏شوند و به نظر می‏رسد سازمان‏هایی موفق‌اند که بتوانند به‌طور کامل و شایسته ریسک‏هایی را مدیریت کنند که در معرض آنها قرار دارند . مدیریت ریسک تلاش می‏کند ریسک‏ها را شناسایی، ارزیابی و اندازه‏گیری کند؛ سپس اقدامات متقابلی در زمینۀ مدیریت آنها و نه حذف آنها انجام دهد .

مدیریت ریسک در حوزه امنیت یک مفهومی کلیدی است که هدف اصلی آن استفاده از مکانیزم‌های مختلف امنیتی برای حافظت بیشتر از دارایی‌های حیاتی سازمان‌ می‌باشد.

مدیریت ریسک های امنیت سایبریی نیز تا حدی شبیه به سیاست بیمه‌ است. در این نوشتار ، بیان می‌شود که ایجاد یک فرهنگ سازمانی که به اقدامات امنیتی داخلی احترام بگذارد چه اهمیتی دارد و توصیه‌هایی ارائه می‌شود که به کاربران کمک کند مدیریت ریسک سایبری را شروع نمایند.

واژه ریسک (Risk) به معنای احتمال وقوع یک رویداد و پیامدهای آن است.

مدیریت ریسک (Risk Management) فرآیند شناسایی، ارزیابی و کنترل تهدیدات برای سرمایه و درآمد یک سازمان است. این ریسک‌ها از منابع مختلفی مانند عدم قطعیت تامین مالی، بدهی‌های قانونی، مسائل فناوری، خطاهای مدیریت استراتژیک، حوادث و بلایای طبیعی ناشی می‌شوند. به بیانی دیگر، مدیریت ریسک فرآیند شناسایی، تجزیه و تحلیل، پذیرش یا کاهش عدم قطعیت در تصمیمات سرمایه‌گذاری است.

این نقل قول به طور خلاصه ایده‌های اصلی مدیریت ریسک سازمانی را خلاصه می کند :

“فرهنگ، قابلیت‌ها و شیوه‌ها، با تنظیم استراتژی و عملکرد، که سازمان‌ها برای مدیریت ریسک بر ایجاد، حفظ و تحقق ارزش تکیه می‌کنند.”

نقطه شروع فرآیند مدیریت ریسک در شناسایی درست ریسک‌هاست. این همان کاری است که در گام اول فرآیند مدیریت ریسک امنیت اطلاعات انجام می‌دهیم.

در گام اول، یعنی «ارزیابی ریسک»، با «تحلیل ریسک» و «سنجش ریسک» می‌توانیم ریسک‌ها را به‌درستی شناسایی و مشخص کنیم که کدام‌یک از آن‌ها برای سازمان پذیرفته و کدام‌یک پذیرفته نیستند.

فرآیند مدیریت ریسک امنیت اطلاعات از پنج گام تشکیل شده که دو گام اصلی آن ارزیابی ریسک و مقابله با ریسک هستند. اما، سه‌گام بعدی یعنی ارتباط، پایش و بازنگری ریسک نیز از اجزای جدایی‌ناپذیر این فرآیند به‌شمار می‌آیند.

اقدامات لازم در فرآیند مدیریت ریسک باید در بازه‌های زمانی معینی تکرار شوند و از نتایج و تجاربی که در هر مرحله به‌دست می‌آید، در نقش ورودی و بازخورد، در مرحله جدید استفاده شود. نیز، باید بازه‌های مورد نظر برای بازنگری ریسک، با توجه به شرایط سازمان درنظر گرفته شوند و حداکثر یک‌ساله باشند.

اهمیت مدیریت ریسک

با وجود مدیریت ریسک، یک سازمان می‌تواند خطرات احتمالی و موانع موجود را قبل از وقوع پیش‌بینی کرده تا در صورت وقوع حوادث مختلف، بهترین شیوه را برای برطرف کردن آن اتخاذ کند. در واقع داشتن یک استراتژی قوی مدیریت ریسک به افراد یا سازمان‌ها کمک می‌کند که بتوانند در صورت بروز خطرات، آن‌ها را به بهترین نحو، مدیریت و کنترل کنند و میزان اثرات آن را تا حد ممکن به حداقل برسانند. توانایی مدیریت ریسک موجب می‌شود تا افراد و سازمان‌ها با اطمینان خاطر بیشتری به تصمیمات تجاری خود بپردازند و با تمرکز بر آن، به اهداف خود نزدیک‌تر شوند. از مهم‌ترین مزایای مدیریت ریسک می‌توان به ایجاد یک محیط کاری امن و مطمئن، افزایش ثبات عملیات تجاری و کاهش مسئولیت حقوقی و داشتن یکی عملکرد مطئمن در برابر آسیب‌های احتمالی اشاره کرد.

بلوغ انجام مدیریت ریسک سازمانی در شرکت های جهان تراز به چه میزان است؟

بر اساس تحقیق سازمان APQC که در سال ۲۰۱۴ انجام گردیده ، به گونه ای که نتایج آن در نمودار زیر مشخص است، حدود ۲۶ درصد از سازمان های پیشرو اعلام نموده اند که مدیریت ریسک را به صورت گسترده و اثربخشی در سازمان خود استقرار داده اند، ۴۳ درصد اعلام داشته اند که این فرایند در سازمان آنها در مرحله بلوغ متوسط است، ۲۰ درصد از سازمان ها اخیرا شروع به استقرار مدیریت ریسک نموده اند و ۱۱ درصد هنوز به این موضوع نپرداخته اند. این آمار نشان می دهد اگرچه مدیریت ریسک سازمانی از موضوعات جدید تحلیل سازمانی به شمار می رود اما توانسته توجه بسیاری از سازمان ها را به خود جلب نماید. با توجه به این میزان پرداختن به مقوله مدیریت ریسک سازمانی، به گونه ای که در نمودار زیر مشخص است، ۱۹% از شرکت ها انجام این فرایند را در سازمان بسیار موثر ۵۳% موثر،۱۶% تا حدودی موثر و ۱۲% بی تاثیر ارزیابی نموده اند.

مدیریت ریسک سازمانی در شرکت های پیشرو چگونه سازماندهی شده است؟

به گونه ای که در مطالب تکمیلی، به تفصیل شرح داده خواهد شد، شرکت های پیشرو معمولا سازماندهی مشخصی را برای مدیریت ریسک سازمانی ایجاد نموده اند، تحقیقات میدانی نشان می دهد موثر ترین روش برای افزایش اثربخشی مدیریت ریسک در سازمان، تدوین آن به صورت یک فرایند در مجموعه فرایندهای پشتیبانی در سازمان و تعیین مالک فرایند برای آن است که وظیفه مدیریت و تسهیل گری ریسک در سازمان و هدایت مدیران کسب و کار در این زمینه را بر عهده دارند. تشکیل کمیته های مدیریت ریسک در سازمان با مشارکت مدیران و ارائه گزارش به مدیریت ارشد راجع به ریسک های پیش رو نیز از دیگر روش های مدیریت این فرایند است که میزان موفقیت در آن، مشابه روش قبلی ارزیابی گردیده است. با توجه به تحلیل میدانی که نتایج آن در نمودار زیر مندرج است، واگذاری شناسائی و مدیریت ریسک به سطح عالی سازمان و هیات مدیره ( به تنهائی و گسترش ندادن آن به لایه های پایین تر مدیریتی، اثربخشی فرایند مدیریت ریسک سازمانی را کاهش خواهد داد.

مشارکت مدیریت ارشد عامل اصلی اثربخشی مدیریت ریسک سازمانی است.

تصمیم گیری نحوه مواجهه با ریسک سازمانی معمولا از نوع تصمیم گیری های استراتژیک سازمان است که در تصمیمات روزمره و مداوم مدیریت ارشد تجلی می یابد. بنابر این درک عمیق مدیران ارشد از ریسک های پیش رو برای سازمان و تعمیم آن در تمامی رفتارهای مدیریتی، کلید اثربخشی مدیریت ریسک خواهد بود. برای به دست آوردن این ویژگی، مدیران ارشد را باید در مراحل شناسائی، تحلیل و کمی سازی ریسک ها مشارکت دارد باید توجه داد به صرف تحلیل ریسک توسط کارشناسان و ارائه آن به مدیر ارشد فرهنگ مدیریت ریسک در رفتار مدیریتی آنها نهادینه نخواهد شد. به گونه ای که در این نمودار مشخص است شاخص اثربخشی مدیریت ریسک در سازمان هایی که مدیران آن درگیر شناسائی و کمی سازی بوده اند بسیار بیشتر و شاخص شکست آن بسیار کمتر از سازمان هایی است که مدیر ارشد تنها به دریافت و بررسی نتایج تحلیل ریسک اکتفا کرده است.

اثربخشی مدیریت ریسک سازمانی به تکرار آن است

مدیریت ریسک سازمانی می تواند یک پروژه یا یک فرایند در سازمان به شمار آید. تحقیقات میدانی از سازمان های پیشرو نشان می دهد مواجه با مدیریت ریسک به عنوان یک فرایند مستمر در سازمان و انجام پر تواتر آن در مقاطع زمانی کوتاه مدت، اثربخشی آن را به شدت افزایش خواهد داد. زیرا دوره های انجام مدیریت ریسک سازمانی موجب تجمیع دانش و تجربه کسب شده هر دوره در دوره بعد می گردد و شاخص اثربخشی آن را افزایش می دهد، همانگونه که در نمودار زیر نیز نشان داده شده است، اثربخشی مدیریت ریسک در اثر تکرار آن به شدت افزایش یافته و شاخص بی اثر بودن آن نیز در تداوم نیافتن آن گزارش گردیده است. به گونه ای که شاخص اثر بخشی در تکرار های سه بار و بیشتر در سال ۹۲% و شاخص بی اثر بودن در اثر انجام آن تنها یک بار در سال ۵۶% و تجربه یک باره آن در سازمان حدود ۸۹% گزارش گردیده است.

باورهای غلط در مورد مدیریت ریسک چیست؟

هر چند که این روزها مدیریت ریسک در رویکرد مدیریت فرآیندهای کسب و کار گسترش پیدا کرده اما هنوز هم در تجارت به عنوان یک پتانسیل منفی در نظر گرفته می‌شود. در صورتی که مدیریت ریسک، فرآیندی است که به توانایی تشخیص و استفاده بیشتر از فرصت‌ها بستگی دارد.

هر چند این جمله که «خطر معمولا با نتایج منفی همراه است»، درست است. اما هدف مدیریت ریسک، تشخیص فرصت‌ها برای سرمایه گذاری بر روی توانمندی‌هایی است که یا پنهان‌اند و یا کم‌تر آشکار شده‌اند. بنابراین، می‌توانیم بگوییم گاهی اوقات روبرو شدن با خطر، برای دستیابی به عملکرد بهتر و موثرتر، ضروری است.

گفتیم که مدیریت ریسک، چارچوبی برای پیگیری مداوم و بهینه سازی فرآیندهای یک تجارت است. بر اساس اصول پیشرفت و بهبود مستمر، مدیریت ریسک، فرآیندی در حال انجام است که به سادگی متوقف نمی‌شود. بنابراین، وقتی صحبت از Risk management باشد، حتما جایی برای بهبود فرآیندها وجود دارد.

تعریف امنیت سایبری

امنیت سایبری شامل یک سری پروتکل است که یک شرکت یا یک فرد برای اطمینان از اطلاعات از “ICA” خود پیروی می کند. ICA مخفف کلمات یکپارچگی، محرمانه بودن و در دسترس بودن می باشد. اگر از امنیت مناسبی برخوردار باشید، می توانید خیلی سریع در مواقع قطعی برق، خطاها یا خرابی های هارد را بازیابی کنید. زیرا این نوع حوادث باعث می شود كه كارایی شما در برابر حملات خارجی و هكرها آسیب پذیرتر شود.

مدیریت ریسک های امنیت سایبری چیست؟

مدیریت ریسک امنیت سایبری فرایندی است مربوط به شناسایی ریسک‌هایی که سازمان‌ها با آن‌ها مواجه می‌شوند و سپس اولویت‌بندی و انتخاب تکنولوژی‌های کنترل امنیتی، بهترین راهکارها و سیاست‌هایی برای کاهش یا از بین بردن این ریسک‌ها. درست همان‌گونه که هیچ بیمه‌ی خودرویی نمی‌تواند تضمین کند که کسی تصادف نخواهد کرد، هیچ سازمانی هم نمی‌تواند به‌طور کامل تمام آسیب‌پذیری‌ها سیستم خود را از بین ببرد یا جلوی تمام حملات سایبری را بگیرد. مدیریت ریسک امنیت سایبری به سازمان‌ها کمک می‌کند که به ریسک‌هایی بپردازند که بیشترین تأثیر را روی عملیات‌شان دارند.

هرچقدر سازمان در مورد تهدیداتی که بیشترین احتمال را برای تأثیرگذاری روی سازمان دارد و در مورد آسیب‌پذیری‌های موجود در زیرساخت‌ اطلاعات بیشتری داشته باشد، بهتر می‌تواند ریسک را کاهش داده و در صورت رخداد یک حادثه‌ی امنیتی نتایج را بهینه‌سازی نماید.

مفهوم مدیریت ریسک در امنیت سایبری

مدیریت ریسک در امنیت سایبری علاوه بر استفاده از ابزارهای امنیت فیزیکی مانند درب‌ها، قفل‌های امنیتی و گاوصندوق‌ها، شامل کلیه اقدامات مربوط به استفاده از راهکارهای ترکیبی، شامل استراتژی‌ها، تکنولوژی‌های امنیتی وحتی آموزش کاربران برای حفاظت از اطلاعات سازمان در برابر حملات نیز می‌شود. در حال حاضر هر نوع حمله‌ای می‌تواند سیستم‌های اطلاعاتی سازمان را به خطر بیاندازد و باعث به سرقت رفتن اطلاعات ارزشمند سازمان و آسیب به شهرت سازمانی شود. با توجه به افزایش میزان حملات سایبری نیاز به استفاده از راهکارهای مدیریت ریسک در حوزه سایبری افزایش چشمگیری داشته است.

ایده اصلی پیاده سازی راهکارهای مدیریت ریسک در حوزه‌ امنیت سایبری از مدیریت ریسک در دنیای واقعی الهام گرفته شده است. مدیریت ریسک سایبری شامل شناسایی خطرات و آسیب پذیری‌های امنیتی، شناسایی اقدامات و پیاده سازی راهکارهای جامع امنیتی جهت اطمینان از امنیت دارایی‌های سازمان می‌شود.

راهکارهای امنیت سایبری و سرویس‌های مدیریت ریسک

در حالت ایده آل، سازمان‌ها ساختار امنیتی جامعی شامل ترکیبی از فن آوری‌های مختلف مانند فایروال‌ها، امنیت نقاط پایانی(Endpoint security)، سیستم‌های جلوگیری از نفوذ، سیستم Threat intelligence و سیستم کنترل دسترسی را در شبکه خود پیاده سازی می‌کنند. سازمان‌ها برای رسیدن به این نقطه ممکن است بخواهند بر روی سرویس‌های ارزیابی ریسک برای داشتن یک ارزیابی جامع و ارایه راهکار، تمرکز نمایند تا این اطمینان حاصل شود که بودجه امنیتی آنها به صورت بهینه‌ای هزینه می‌شود.

شرکت‌های مختلفی در دنیا سرویس‌های مدیریت ریسک جامع ارایه می‌دهند که در زیر تعدادی از آن‌ها آورده شده است:

• Deloitte
• E&Y
• Booz Allen Hamilton
• Hewlett Packard Enterprise
• Coalfire
• KMPG
• PwC
• Symantec

امنیت سایبری با چه چالش‌هایی روبه‌رو است؟

موضوع امنیت سایبری به‌طور مداوم توسط مواردی از قبیل هکرها، از دست دادن اطلاعات، حفظ حریم خصوصی، مدیریت ریسک و تغییر استراتژی‌های امنیت سایبری، به چالش کشیده ‌می‌شود. همچنین، درحال حاضر هیچ نشانه‌ای از کاهش حملات سایبری نیز وجود ندارد. علاوه بر این، با توجه به افزایش نقاط ورودی که برای حملات به‌وجود آمده است، تدابیر امنیتی بیشتری برای امنیت شبکه‌ها و دستگاه لازم است.

یکی از مهمترین عناصر امنیت سایبری، تحول در ماهیت خطرات امنیتی است. با ظهور فناوری‌های جدید و استفاده از این فناوری‌ها و روش‌های جدید، راه‌های جدید حمله سایبری نیز توسعه ‌می‌یابد. تطابق با این تغییرات و پیشرفت حملات ‌می‌تواند برای سازمان‌ها چالش برانگیز باشد با ذکر این نکته که باید شیوه‌های محافظت در برابر حملات سایبری نیز به‌روز شود. این کار همچنین شامل اطمینان از تغییر همه عناصر امنیت سایبری و محافظت در برابر آسیب‌پذیری‌های احتمالی ‌می‌شود. این موضوع به ویژه ‌می‌تواند برای سازمان‌های کوچکتر، چالش برانگیزتر باشد.

علاوه براین، امروزه اطلاعات بالقوه زیادی از افراد وجود دارد که سازمان‌ها باید از آن‌ها محافظت کنند. با جمع‌آوری داده‌های بیشتر توسط افراد مهاجم و خرابکار، احتمال وقوع جرایم سایبری که ‌قصد سرقت اطلاعات شخصی شناسایی شده را دارد، نگرانی دیگری است. به عنوان مثال، سازمانی که اطلاعات شناسایی شخصی را در فضای ابری ذخیره ‌می‌کند، ممکن است در معرض حمله باج افزار قرار بگیرد و باید از آنچه در توان دارد برای جلوگیری از نقض اطلاعات ذخیره شده در فضای ابری استفاده کند.

رویه امنیت سایبری همچنین باید برای آموزش کاربر نهایی نیز برنامه ریزی دقیقی داشته باشد، زیرا یک کارمند ممکن است به طور تصادفی ویروس را در محیط کار روی رایانه کاری، لپ تاپ یا تلفن هوشمند خود وارد کند و موجب صدمه به شبکه سازمانی شود. مواردی از این دست که براساس عدم آگاهی کاربر اتفاق ‌می‌افتد، با آموزش‌های پیوسته و برنامه‌ریزی شده، از بین خواهند رفت.

یکی دیگر از چالش‌های بزرگ امنیت سایبری، شامل کمبود نیروی تخصصی در این حوزه است. هرچه رشد اطلاعات و تهدیدات امنیتی بیشتر ‌می‌شود، نیاز به پرسنل متخصص امنیت سایبری به منظور تجزیه و تحلیل، مدیریت و پاسخگویی به حوادث نیز افزایش ‌می‌یابد.

با این حال، پیشرفت‌های جدیدی در یادگیری ماشین و هوش مصنوعی (AI) برای کمک به سازماندهی و مدیریت اطلاعات آغاز شده است؛ اگرچه هنوز به تأثیرگذاری لازم نرسیده است.

گرگ ویت، کارشناس ریسک، مهندس امنیت ارشد صنایع هانتینگتون اینگالز و معمار چارچوب‌های انستیتوی ملی استاندارد و فناوری(NIST) در زمینه امنیت سایبری، می‌گوید: «برای در نظر گرفتن اینکه چه چیزی ممکن است اشتباه پیش برود، باید با آنچه باید درست پیش برود، شروع کنید. حریم خصوصی و خطرات نیروی کار هر آنچه که مرتبط است.

ویت گفت: هنگام شناسایی خطرات، درک این نکته مهم است که طبق تعریف، چیزی فقط در صورتی یک خطر است که تأثیر داشته باشد. برای مثال، طبق دستورالعمل گزارش بین سازمانی NIST (NISTIR 8286A) در مورد شناسایی خطر امنیت سایبری در ERM، چهار عامل زیر باید برای یک سناریوی ریسک منفی وجود داشته باشد:

دارایی یا منابع ارزشمندی که ممکن است تحت تأثیر قرار گیرد؛

منبع اقدام تهدیدآمیز که علیه آن دارایی عمل می کند.

یک شرایط یا آسیب پذیری از قبل موجود که آن منبع تهدید را قادر می سازد تا عمل کند.

برخی از اثرات مضری که از منبع تهدید که از آن آسیب پذیری سوء استفاده می کند، رخ می دهد.

در حالی که معیارهای NIST به ریسک های منفی مربوط می شود، فرآیندهای مشابهی را می توان برای مدیریت ریسک های مثبت اعمال کرد.

چارچوب‌های ریسک

چارچوب مدیریت مخاطره (RFM) سرنام Risk Management Framework را باید به‌عنوان یک فرآیند ساختاریافته تعریف کرد که به سازمان اجازه می‌دهد مخاطره را شناسایی و ارزیابی کند و آن‌را تا حد قابل قبول کاهش دهد و اطمینان حاصل کند مخاطره در سطح قابل قبول و کنترل‌شده‌ای وجود دارد. در اصل، RMF یک رویکرد ساختاریافته برای مدیریت مخاطره (ریسک) است.

همان‌گونه که مشاهده می‌کنید، طیف گسترده‌ای از چارچوب‌های مدیریتی در دسترس قرار دارند، آن‌چه برای شما به‌عنوان یک متخصص امنیت اطلاعات باید مهم باشد این است که اطمینان حاصل کنید سازمان دارای یک RMFاست که بدون مشکل کار می‌کند. برخی چارچوب‌ها در مقایسه با نمونه‌های دیگر مورد پذیرش بیشتر سازمان‌ها قرار دارند، زیرا کارکرد مثبت خود در طول سال‌های گذشته را نشان داده‌اند. از این‌رو، هنگام انتخاب یک چارچوب باید تحقیق کاملی انجام دهید و گزینه هماهنگ با استراتژی‌های تجاری سازمان را انتخاب یا در صورت لزوم ویرایش و پیاده‌سازی کنید. یکی از چارچوب‌های موفق و مهم در این حوزه NIST RMF است .

راه اندازی سیستم مدیریت ریسک

قبل از راه اندازی سیستم مدیریت ریسک سایبری، شرکت باید تعیین کند که چه دارایی هایی را برای محافظت و تعیین اولویت در اختیار دارد. همانطور که مؤسسه ملی استاندارد و فناوری (NIST) در چارچوب خود برای بهبود امنیت زیرساختهای بحرانی خاطرنشان می کند ، هیچ راه حل کلی برای مدیریت ریسک وجود ندارد. سازمان های مختلف دارای زیرساخت های فناوری مختلف و خطرات بالقوه متفاوتی هستند. برخی از سازمانها مانند شرکتهای خدمات مالی و کسب و کارهای آنلاین علاوه بر نگرانیهای مربوط به مشاغل که باید در سیستم مدیریت ریسک فضای مجازی مورد توجه قرار گیرند دارای نگرانیهای نظارتی هستند. امنیت سایبری باید از یک رویه لایه بردار استفاده کند و از مهمترین دارایی ها، مانند داده های شرکت و مشتری، از محافظت های اضافی برخوردار است. در نظر داشته باشید که آسیب به حسن شهرت از یک نقض می تواند صدمات بیشتری نسبت به خود نقض وارد کند.

سیتریکس توصیه می کند که سازمانها روشهای کاملی را برای کلیه فعالیتهایی که ممکن است خطرات امنیت سایبری ایجاد کند، مستند و اجرا کرده باشند. برنامه های امنیت سایبری شرکت باید از رویه های پیشرو در صنعت مطابق با ISO 270001/2 باشد.

فرآیند مدیریت ریسک

با یک چارچوب امنیت سایبری که از هر منطقه از مشاغل تهیه شده است شروع کنید تا مشخص شود وضعیت ریسک مطلوب کسب و کار شما چیست.

ه Guidance Software استفاده از فناوری های جدید نرم افزاری را که می توانند داده ها را در سراسر شرکت پیدا کنند را توصیه می کند. پس از نقشه برداری داده ها ، سازمان ها تصمیم گیری بهتری در مورد نحوه اداره این داده ها انجام می دهند و رد پای خطرات آنها را کاهش می دهند. به عنوان مثال حتی با آموزش و ایجاد فرهنگ امنیتی در کارمندان، باز هم ممکن است شخصی اطلاعات حساس سازمان را به طور غیر عمدی، مانند داده های ذخیره شده در ردیف های پنهان در Excell یا در یادداشت های power-pointیا در یک ایمیل طولانی، ذخیره کنند و بیرون بفرستند. اسکن برای داده های حساس و سپس حذف داده های ذخیره شده در جایی که در آن قرار نگرفته، خطر از دست دادن تصادفی داده های حساس را کاهش می دهد.

توصیه می شود که فرایند مدیریت ریسک از رویکرد مدل بلوغ امنیت با پنج سطح زیر در نظر گرفته شود:

۱. نقطه اولیه نقطه شروع استفاده از یک فرآیند تکراری جدید یا غیر مستند است

۲. قابل تکرار – فرایند حداقل به اندازه کافی مستند است که تکرار همان مراحل ممکن است انجام شود

۳. تعریف شده – فرایند به عنوان یک فرایند تجاری استاندارد تعریف و تأیید می شود

۴- مدیریت –فرایند مطابق با معیارهای توافق شده از نظر کمی مدیریت می شود

۵- بهینه سازی – مدیریت فرایند شامل بهینه سازی / بهبود فرآیند عمدی است.

هنگامی که وضعیت ریسک مورد نظر تعیین می شود، زیرساخت فناوری شرکت را بررسی کنید تا یک Baseline را برای وضعیت ریسک فعلی تعیین کنید و آنچه که شرکت برای حرکت از حالت فعلی به حالت مورد نظر در زمان خطر نیاز دارد را تعیین کنید.

تا زمانی که اقدامات لازم برای درک خطرات احتمالی انجام شود، احتمال مواجهه با ریسک و قربانی شدن یک واقعه امنیت سایبری کمتر خواهد بود.

همچنین توصیه می شود یک ،برآیند محاسبه ریسک را انجام دهید، سپس اولویت بندی های پیشرفتهای امنیت شبکه را انجام دهید که بیشترین پیشرفت را با کمترین هزینه ارائه می دهند. برای برخی از شرکتها ممکن است ۹۹ درصد از کل به روزرسانی های امنیتی ساخته شده کافی باشد برخی دیگر، به ویژه در صنایع حساس، می خواهند به ۱۰۰ درصد نزدیک شوند. بنابراین باید مراحل و اهداف افزایشی وجود داشته باشد (یعنی بهبود ۵ درصدی در طی شش ماه) که می تواند اندازه گیری شود تا مشخص شود آیا شرکت به سمت وضعیت ریسک سایبری برنامه ریزی شده خود پیش می رود یا خیر.

با این وجود ، حتی اگر سیستم های شبکه به گونه ای متصل باشند که نفوذ به یک منطقه بی اهمیت بتواند راه ورود غیرمجاز را به سیستم های مهم تر و داده های حساس تر باز کند، حتی آسیب پذیری های امنیتی کوچک نیز می تواند منجر به خسارات بزرگی شود.

تنها راه ایمن سازی سیستم ۱۰۰ درصد اطمینان از عدم دسترسی هر کسی است که در این حالت عملی نیست. هرچه یک سیستم بیشتر ایمن شده باشد، کارکنان مجاز برای انجام دچار دشواری بیشتری خواهند شد. اگر کاربران مجاز تشخیص دهند که برای انجام کار خود به سختی میتوانند به سیستمها یا داده های موردنیاز خود دسترسی پیدا کنند، ممکن است به دنبال راه حل هایی برای آسان سازی باشند که می تواند سیستم را به خطر بیاندازند.

کاهش ریسک

از جمله اقدامات احتیاطی در مورد امنیت سایبری میتوانید موارد زیر را در نظر بگیرید:

• محدود کردن اینترنت دستگاه ها
• نصب کنترل دسترسی به شبکه NACکه در یک مقاله به صورت کامل توضیح دادیم
• محدود کردن تعداد افراد دارای مجوز ادمین و حقوق کنترل برای هر ادمین
• نصب آپدیت ها و بروز رسانی خودکار برای سیستم ها
• محدودیت های سیستم عامل های قدیمی تر یعنی دستگاه هایی که Windows XP یا سیستم عامل قدیمی دارند که دیگر پشتیبانی نمی شوند
• فایروال
• برنامه های ضد ویروس و امنیت نقطه پایانی endpoint security
• تایید اعتبار دوعاملی برای دسترسی به سیستم های خاص و فایل ها
• ارزیابی ساختار مدیریت فعلی برای اطمینان از وجود تعادل در کل سیستم
• محدود سازی دسترسی های ادمین

توصیه هایی برای بهبود مدیریت ریسک:

رمزگذاری پیشرفته: رمزگذاری ویژگی جدیدی در پایگاه داده ها نیست ، اما امروز رمزگذاری باید به شیوه ای استراتژیک تر و منظم تر انجام شود تا از داده ها در برابر مجرمان سایبری و تهدیدات داخلی محافظت شود. این شامل دسترسی مبتنی بر سلسله مراتبی ، رمزنگاری مبتنی بر استانداردها ، مدیریت کلید پیشرفته ، جداسازی سلسله مراتبی است که به طور چشمگیری ریسک را کاهش می دهد.

اگرچه رمزگذاری داده ها در برابر نقض های بیرونی مفید است، اما از محافظت در برابر سرقت داده های داخلی کمک چندانی نمی کند. خودی های دارای دسترسی به داده های حساس اعتبار لازم برای رمزگشایی آن را دارند. بنابراین شرکتها همچنین باید از محافظت در برابر داده هایی که از سیستم های سازمانی حذف می شوند، محافظت کنند.

کاهش دسترسی : سازمانها باید بین به اشتراگ گذاری داده ها و امنیت آنها تعادل برقرار کنند.

امنیت در سطح عناصر: در حالی که کاهش دسترسی مهم است، شرکت ها باید بر اساس نقش یک کارمند، این کار را در سطح کل سازمان انجام دهند.

عنصر انسانی با خطای انسانی همراه است

گذشته از اقدامات احتیاطی فن آوری، آموزش اولیه و آموزش مداوم در مورد تهدیدات امنیتی بسیار ضروری است. بسیاری از هکرها فراتر از تروجان ها، ویروس ها و سایر بدافزارها به سمت فیشینگ و مهندسی اجتماعی اقدام کرده اند و افراد دارای حقوق اداری و افراد را برای دسترسی به پرونده های اجرایی حاوی نرم افزارهای مخرب یا تهیه مدارک معتبر یا اطلاعات شخصی یا شرکتی هدف قرار داده اند.

ه National Institute of Standards and Technology NIST توصیه می کند اطلاعات مربوط به امنیت سایبری را در خط مشی شرکت برای کارمندان شرکت و شرکای تجاری درج کنید تا آنها بدانند که چیست و چه چیزی قابل قبول نیست.

واکنش به رخداد

فقط دسترسی به اینترنت یک شرکت را در معرض خطر امنیت سایبری قرار می دهد. تلاش های خارجی و داخلی برای به خطر انداختن داده های سازمان انجام خواهد شد. بنابراین باید برنامه های پاسخ به رخداد در نظر گرفته شود تا مشخص شود که در صورت بروز حادثه امنیتی چه اقداماتی باید انجام شود افزایش تلاش هکرها در سازمان می تواند به معنای افزایش اقدامات احتیاطی باشد. در صورت بروز یک نقض واقعی، شرکت باید برنامه های مفصلی را در اختیار داشته باشد تا چه کسی در داخل و خارج از شرکت اعلام کند، اطلاعات تماس با اجرای قانون، تأمین کنندگان مشاغل و مشتریان، یک لیست چک لیست اقدام، پاسخ به روابط عمومی و غیره را در اختیار شما قرار دهد.

ه NISTیک برنامه جامع اقدام و پاسخ به حوادث ارائه می دهد.

مدیریت ریسک به صورت یک روند مداوم

مدیریت ریسک سایبری یک روند مداوم است، NIST برنامه جامع خود را ” a living document ” می نامد که در صورت نیاز مورد بازنگری و به روز رسانی قرار می گیرد. هنگامی که یک شرکت ارزیابی ریسک اصلی خود را انجام می دهد و پیشرفت های خود را از وضعیت فعلی تا وضعیت ریسک مورد نظر انجام می دهد، ارزیابی های دوره ای و منظمی باید انجام شود تا به دنبال آسیب پذیری ها و تهدیدات جدید و چگونگی رسیدگی به آنها برای حفظ وضعیت ریسک شرکت در سطح مطلوب باشد.

در این نوشتار به موضوع مدیریت ریسک پرداخته شد. در ابتدا این موضوع که مدیریت ریسک چیست مورد بررسی و تحلیل قرار گرفت. در ادامه نیز تعاریف و مفاهیم مرتبط با مدیریت ریسک امنیت سایبری در یک سازمان و جنبه‌های گوناگون آن مورد بحث و بررسی قرار گرفت.