اکثر گفت و گوهایی که تاکنون در مورد مدیریت موثر ریسک سازمانی صورت گرفته، معمولا بر روی آسیب پذیری ها و تهدیدات، تمرکز دارند.
درک و برداشتن گام هایی برای محافظت در برابر تهدیدات و کاهش آسیب پذیری ها در جهت حفظ یک وضعیت امنیتی سایبری قدرتمند، امری ضروری است. با این حال گفته می شود این ابعاد، تنها یک بخش از استراتژی مدیریت جامع ریسک می باشند. و این فاکتور “اختلال در عملکردهای تجاری” است که موجب تنش ها و ایجاد چالش های فراوان می شود.
یک رویکرد همه جانبه برای مدیریت ریسک مورد نیاز است تا سازمان ها را در برابر مجموعه ای از فعالیت های مخرب، به طور کامل محافظت کند. مدیریت موثر تهدیدات سایبری مستلزم درک صحیحی از تاثیرات بالقوه حملات و عواقب آن بر روی شبکه و همین طور عملکرد کلی و برندینگ سازمان می باشد.
به عنوان تعریفی صحیح و گویا از تهدیدات سایبری باید گفت یک تهدید مالی و برندینگ ناشی از عدم موفقیتِ سیستم فناوری اطلاعات یک سازمان است. به منظور ارزیابی تهدیدات، باید احتمال وقوع حملات و همین طور عواقب ناشی از آنها را مورد بررسی قرار داد. برای بررسی احتمال یک “عامل تهدید” از خود می پرسیم چه کسی و یا چه چیزی ممکن است به ما نزدیک شود و برای بررسی “آسیب پذیری ها”، به این سوال می پردازیم که کدام نقاط ضعف می تواند منجر به حمله شود. بنابراین به یک معادله ساده برای بررسی حملات سایبری خواهیم رسید.
مدیریت موثر ریسک ما را ملزم به بررسی هر سه فاکتور “تهدیدات”، “آسیب پذیری ها” و همین طور “عواقب و تاثیرات حملات سایبری” نموده و بعد از آن توصیه به در نظر گرفتن تمامی راه های کاهش هر یک از المان ها می کند. چنانچه تنها بر روی “تهدیدات” و “آسیب پذیری ها” تمرکز شود، هرگز نمی توان ارزیابی صحیحی انجام داد و حتی نمی توان به طور موثر، تهدیدات سایبری را کاهش داد. لازم به ذکر است پیامدها و اقدامات مناسب برای کاهش تهدیدات برای هر سازمان با سازمان دیگر متفاوت می باشد.
این روند را می توان با در نظر گرفتن تهدیدات سایبری که می توانند بر روی سازمان تاثیر بگذارند و یا اینکه در صورت به خطر افتادن یک شبکه یا سیستم، چه اتفاقاتی خواهد افتاد، آغاز کرد. یکی از روش های در نظر گرفتن تاثیرات و پیامدهای حملات این است که تصور کنید اگر داده های محرمانه و مهم سازمان خود را از دست بدهید، چه اتفاقی خواهد افتاد. یکی از نتایجی که ممکن است به همراه داشته باشد، عدم دسترسی به ارتباطات کلیدی است. و فراتر از عدم دسترسی به زیرساخت های فناوری اطلاعات، در صورت موفقیت آمیز بودن یک حمله سایبری، چه تاثیرات بالقوه ای ممکن است به همراه خواهد داشت؟ کدام تهدیدات و یا آسیب پذیری ها ممکن است منجر به توقف تولید و یا آسیب مالی گردد؟ چگونه می توان این آسیب پذیری ها را مدیریت و برنامه ریزی کرد؟
نگرانی و چالش مدیران اجرایی در بخش های عمومی و خصوصیِ صنایع در تداوم عملکردها و تاثیر هر گونه اختلال بر روی تجارت، امری بدیهی است. بر اساس نظرسنجی که گارتنر انجام داده، 88 درصدِ هییت مدیره ها، چالش های امنیت سایبری را از نقطه نظر خطرات تجاری نگاه می کنند، نه یک مشکل فنی در بخش IT.
مستندسازیِ کلیه پیامدهای احتمالیِ یک حمله سایبری را می توان به عنوان اولین گام در جهت مدیریت موثر ریسک دانست. علاوه بر این، به ایجاد زمینه ای برای توسعه طرح تداوم کسب و کار نیز کمک می کند.
مسلما حذف کامل خطرات، غیر ممکن است، اما ایجاد و پیاده سازی یک طرح تداوم تجاری، قطعا به کاهش بیشتر پیامدهای ناشی از حوادث امنیتی می انجامد. لازم به ذکر است ارزیابی های امنیتی و همین طور توسعه طرح های تداوم تجاری، تضمین می کنند یک کسب و کار در پیِ حوادث امنیتی، مقاوم خواهد بود؛ حتی اگر برای مدتی روند تنزلی داشته باشد. ضمنا این اطمینان را ایجاد می کند که در سریع ترین حالت ممکن، همه چیز به روال عادی بازخواهد گشت.
این طرز تفکر که تنها تیم امنیت و CISO (مدیریت ارشد امنیت اطلاعات)، مسئولین اصلیِ مقابله با تهدیدات سایبری هستند، اشتباهی بیش نیست و بسیاری از دپارتمان های سازمانی می بایست در این امر، دخیل باشند. درست مانند یک تکنسین برق که دانش کافی از تاثیرات قطعی برق بر روی کسب و کار شما ندارد، از CISO و تیم امنیت نیز نمی توان انتظار داشت اطلاعات کافی در خصوص همه پیامدهای حوادث امنیتی بر کل سازمان داشته باشند.
در اصل این وظیفه مدیرعامل و یا مدیر ارشد یک سازمان است که سطح تحمل تهدیدات را تعریف کند. سپس کل سازمان اعم از اعضا هییت مدیره و همچنین اعضا تیم های اجرایی، مالی، حقوقی، ارتباطات و بازاریابی می بایست با یکدیگر در تعامل بوده تا به ارزیابی صحیح، اولویت بندی و تصمیم گیری در مورد نحوه کاهش تهدیدات سایبری برسند.
مدیریت تهدیدات سایبری یک فرایند مستمر است؛ نه یک فعالیت موقتی. حتی جامع ترین و برترین فرایند ها و پالیسی های مدیریت تهدیدات سایبری نیز در صورت عدم کفایت اجرایی، بی فایده خواهند بود.
چشم انداز تهدیدات به طور مداوم در حال تغییر و تحول است. با اعمال هر تغییری، اعم از افزودن یک endpoint و یا افزایش واحدهای تجاری، یک خطر بالقوه نیز اضافه می شود. در نتیجه، ارزیابی منظم و قانونمند تهدیدات، درک و شناسایی پیامدهای احتمالی آن ها بر روی کسب و کار و همچنین تنظیم برنامه ها، امری لازم الاجرا است. بهتر است برنامه ها و فرایندهای مدیریت ریسک را به اطلاع دپارتمان های مربوطه رسانده شود، زیرا مدیریت ریسک، مسئولیتی همگانی است.