مفاهيم كليدی مديريت مخاطرات سايبری

IRCAR201312194
تاريخ: 12/09/92

امروزه، سازمان‌ها براي رسيدن به اهداف و ماموريت‌هاي خود از سيستم‌هاي اطلاعاتي و اينترنت استفاده مي‌كنند. از طرف ديگر، پيچيدگي و شدت تهديدات سايبري هم دائماً در حال افزايش است؛ به طوريكه اين امر منجر به افزايش مخاطرات سايبري‌ شده است كه مي‌تواند عملكرد سازمان يا زنجيره توليد سازمان و يا اطلاعات حساس مشتري را به خطر بياندازد.
در اين مقاله، جهت كمك به بحث‌هاي مديريت مخاطرات امنيت سايبري سازمان‌ها، سوالات كليدي‌ به همراه مفاهيم مديريت مخاطرات سايبري مطرح مي‌شود.
پنج سوالي كه مديران عامل بايد درباره مخاطرات سايبري بپرسند
(1) چگونه مدير اجرايي درباره سطح فعلي و پيامدهاي تجاري‌ مخاطرات سايبري سازمان مطلع مي‌شود؟
(2) سطح فعلي و پيامدهاي تجاري مخاطرات سايبري روي سازمان، چقدر است؟ چه برنامه‌اي براي مواجه با مخاطرات شناسايي شده وجود دارد؟
(3) برنامه امنيت سايبري سازمان، چگونه استانداردها و بهترين تجارب اين حوزه را پوشش مي‌دهد؟
(4) چه تعداد و چه نوع‌هايي از رخدادهاي سايبري در يك هفته شناسايي مي‌شود؟ سطح آستانه‌اي كه منجر به اطلاع رساني به مدير اجرايي مي‌شود چقدر است؟
(5) برنامه پاسخ به رخدادهاي سايبري سازمان، به چه ميزان جامع است؟ اين برنامه، هر چند وقت يكبار تست مي‌شود؟

مفاهيم كليدي مديريت مخاطرات سايبري
گنجاندن مخاطرات سايبري در فرآيند راهبري و مديريت‌ مخاطرات موجود
امنيت سايبري، پياده سازي چك ليستي از تعدادي الزامات نيست؛ بلكه مديريت مخاطرات سايبري، تا رسيدن به يك سطح قابل پذيرش است. مديريت مخاطرات امنيت سايبري -به عنوان بخشي از چارچوب اداره سازمان، مديريت مخاطرات و تداوم كسب و كار- از طريق سازمان، چارچوب استراتژيكي را براي مديريت مخاطرات امنيت سايبري فراهم مي‌كند.

درگير كردن مدير عامل در بحث‌هاي مربوط به مديريت مخاطرات سايبري
استفاده از تجارب مدير عامل در تعريف استراتژي مديريت مخاطرات و سطوح قابل قبول آنها، امكان مديريت بهتر مخاطرات سايبري را -كه نيازمندي‌هاي كسب و كار سازمان را هدف قرار داده است- فراهم مي‌كند. ارتباط منظم ميان مدير عامل و كساني كه مسئول مديريت مخاطرات سايبري هستند باعث مي شود تا از مخاطرات فعلي كه سازمان و كسب و كار را تحت تاثير قرار مي‌دهد بهتر آگاهي يابند.

پياده سازي استانداردها و بهترين تجارب
يك برنامه امنيت سايبري جامع، جهت محافظت از سيستم‌ها و شناسايي مشكلات احتمالي از استانداردها و بهترين تجارب اين حوزه، و جهت پاسخ و بازيابي به موقع به تهديدات از فرآيندهاي آگاهي رساني درباره تهديدات فعلي استفاده مي‌كند. انطباق با الزامات به داشتن امنيت سايبري ابتدايي براي شناسايي آسيب پذيري‌هاي شناخته شده كمك مي‌كند اما در شناسايي تهديدات پويا كمكي نمي‌كند. استفاده از يك رهيافت مبتني بر مخاطره، براي اعمال استانداردها و تجارب امنيت سايبري به مديريت بهتر مخاطرات سايبري كمك مي‌كند.
ارزيابي و مديريت مخاطرات سايبري سازمان
شناسايي دارايي‌هاي حياتي و پيامدهاي تهديدات سايبري براي فهم ميزان مخاطره سازمان امري مهم است. نتايج ارزيابي مخاطرات، ورودي كليدي براي شناسايي و اولويت بندي فعاليت‌هاي محافظتي، تخصيص منابع، و توسعه خط مشي‌ها و استراتژي‌هاي مديريت مخاطرات سايبري به يك سطح قابل قبول است.

نظارت و بازبيني
كارمندان اجرايي، مسئول مديريت و مواظبت از فرآيند مديريت مخاطرات سازمان هستند. فعاليت‌هاي نظارت سايبري شامل ارزيابي منظم از بودجه‌هاي امنيت سايبري، برنامه‌هاي استفاده از فناوري اطلاعات، برون سپاري فناوري اطلاعات، خدمات ابر، گزارش‌هاي رخداد، نتايج ارزيابي مخاطرات و خط مشي‌هاي سطح بالا است.

توسعه و تست برنامه‌ها و رويه‌هاي پاسخ به رخداد
حتي سازماني كه به خوبي در مقابل حملات امنيتي مقاوم شده باشد، در برخي اوقات، رخدادهاي سايبري را تجربه كرده است. زماني كه يك شبكه مقاوم در برابر تهديدات مورد نفوذ قرار گيرد، مدير عامل بايد راه حل جايگزين را ارائه دهد. مستند كردن منظم برنامه‌هاي پاسخ به رخدادهاي سايبري متداول باعث مي شود تا امكان پاسخ بهنگام به رخداد وجود داشته باشد و پيامدهاي ناشي از آن كاهش يابد.
هماهنگ كردن برنامه‌ريزي پاسخ به رخدادهاي سايبري در سازمان
پاسخ سريع به رخداد مي‌تواند خسارت احتمالي را كم يا حتي از آن جلوگيري كند. مولفه كليدي آماده سازي پاسخ به رخدادهاي سايبري، برنامه ريزي پاسخ همراه با كمك CIO/CISO، مديران تجاري، برنامه ريزان تداوم كسب و كار، اپراتورهاي سيستم، مشاوران حقوقي و روابط عمومي سازمان است. اين برنامه ريزي شامل تركيب خط مشي‌ها و رويه‌هاي پاسخگويي به رخداد سايبري با برنامه‌هاي تداوم كسب و كار و ترميم خرابي است.

حفظ آگاهي محيطي از تهديدات سايبري
آگاهي محيطي از مخاطرات سايبري سازمان شامل تشخيص بهنگام رخدادهاي سايبري، همراه با آگاهي از تهديدات و آسيب پذيري‌هاي جاري خاصِ آن نوع سازمان و پيامدهاي مرتبط است. تحليل، جمع آوري و يكپارچه نمودن داده‌هاي مربوط به مخاطرات از منابع مختلف و شركت در به اشتراك گذاري اطلاعات مربوط به تهديدات با شركا، به سازمان در شناسايي و پاسخ به رخدادها كمك كرده و اين اطمينان را حاصل مي‌كند كه فعاليت‌هايي كه براي محافظت از سازمان انجام مي‌شود متناسب با مخاطره است.