4 چالش مهم در تحول دنیای دیجیتال

امروزه تحول دیجیتال و بهبود امنیت آن، یکی از موضوعات مهم در جلسات هیئت مدیره سازمان‌ها است. بهبود امنیت، به یکی از موضوع­ های اصلی در پروژه‌های تحول دیجیتالی تبدیل شده است. با این وجود باید توجه داشت که اشتباه در پیاده‌سازی آن می‌تواند برای شرکت­ ها و سازمان ­ها پرهزینه باشد.

تحول دیجیتال برای بقای طولانی مدت بسیاری از سازمان‌ها از این جهت حیاتی است که به آن ها کمک می‌کند پابه ­پای استارتاپ‌های چابک پیش رفته، انتظارات مشتریان را برآورده کرده، فرصت‌های جدید را کشف و هزینه‌ها را کاهش دهند.

علاوه بر این، تحول دیجیتالی می‌تواند به ارتقای سطح امنیت نیز کمک کند. طبق نظرسنجی صورت گرفته توسط مؤسسه 451 Research در سال میلادی گذشته، 49 درصد از کارشناسان IT و مدیران کسب‌وکارها بر این باورند که ایمن‌سازی داده‌های مشتریان، یکی از مهم ترین اهداف آن ها در راستای تحول دیجیتال است.

شرکت تحقیقاتی Lucid نیز در سال جاری یک نظرسنجی از مدیران فناوری اطلاعات انجام داده و باز هم 49 درصد از مدیران IT اعلام کرده ­اند که بهبود امنیت سایبری یکی از دلایلی است که باعث شده سازمان آن ها به دنبال تحول دیجیتال باشد (تا این لحظه شرکت Lucid هنوز نتایج کامل این نظرسنجی را منتشر نکرده است) و 40 درصد نیز اعلام کرده‌اند که سازمان آن ها در زمینه تحول دیجیتال بیشترین سرمایه‌گذاری را صرف امنیت سایبری می‌کند.

Monica Bush مدیر بخش امنیت در شرکت تولید کننده محصولات امنیتی Nintex که اسپانسر این نظرسنجی بوده، می‌گوید: «در حال حاضر بیشتر مدیران IT پروژه‌های تحول دیجیتال را با هدف تقویت و پشتیبانی از راهبردهای امنیت سایبری اجرا می‌کنند». این فعالیت‌ها همه چیز را در بر می‌گیرند، از جمله نظارت بر دسترسی‌های یک کارمند از زمان ورود او به شرکت تا زمانی که شرکت را‌ ترک کند یا پروژه‌های بزرگی مثل ردیابی و نظارت بر داده‌های حساس جهت مطابقت با استانداردهای GDPR و سایر استانداردهای مقرراتی.

همچنین استفاده از زیرساخت‌های مدرن، از جمله راهکارهای مبتنی بر فناوری ابر مثل Office 365 به خودی خود می‌تواند منجر به بهبود امنیت شود. Chad Weinman رئیس بخش خدمات حرفه‌ای در RiskLens می‌گوید که او اخیراً یک تحلیل مخاطره برای سازمان‌های بزرگی که قصد حرکت به سمت استفاده از سرویس‌های ابری را دارند، انجام داده است.

وی می‌گوید: «ما در ابتدا نسبت به محافظت از داده‌هایمان و احتمال قطع دسترسی به آن ها نگران بودیم زیرا در صورت استفاده از سرویس‌های ابری، سیستم ایمیل ما دیگر درون سازمان خودمان نبود اما در نهایت متوجه شدیم که در اغلب موارد، مدیریت Office 365 توسط شرکت مایکروسافت بسیار بهتر از آنچه خود سازمان‌ها انجام می‌دهند است. بنابراین به صورت کلی وقتی به سمت استفاده از سرویس‌های ابری حرکت می‌کنیم، میزان قرار گرفتن داده‌های ما در معرض خطرات به جای افزایش، کاهش پیدا می‌کند».

بر اساس نظر کارشناسان، پروژه‌های تحول دیجیتال می‌توانند منجر به کاهش قابلیت مشاهده اطلاعات محیط‌ های شرکتی، کاهش بررسی‌ها و نظارت‌های انسانی و کاهش میزان قرار گرفتن در معرض مخاطرات جدید شوند. در واقع، طبق نظرسنجی که اخیراً شرکت Fortinet انجام داده است تا به امروز در تلاش‌هایی که شرکت‌ها جهت تحول دیجیتال انجام می‌دهند، امنیت بزرگ ترین چالش محسوب می‌شود و 85 درصد از مدیران امنیت فناوری اطلاعات آن را یک مانع بزرگ تلقی می‌کنند.

طبق گفته Sean Joyce مدیر امنیت اطلاعات و حریم خصوصی شرکت PricewaterhouseCoopers، شرکت‌های کمی مدیریت مخاطرات سایبری و عوامل تهدید کننده حریم خصوصی را به درستی در برنامه تحول دیجیتال خودشان پیاده‌سازی می‌کنند. وی می‌گوید: «فردی در آینده پیروز خواهد بود که از فاز طراحی گرفته تا رسیدن به فاز تولید، عملیات مدیریت مخاطرات را به خوبی انجام دهد؛ این یک فرصت مهم است».

1- کاهش قابلیت مشاهده داده‌ها و فرایندها

بر اساس گفته Weinman از شرکت RiskLens وقتی زیرساختی توسط شخص ثالث میزبانی می‌شود، معمولاً سازمان‌ها کنترل کمتری بر داده‌هایی که می‌توانند جمع‌آوری کنند، دارند. او می‌گوید: «اگر میزبانی این سرویس‌ها را درون سازمان خودتان انجام دهید، قابلیت مشاهده بیشتری نسبت به آن ها دارید، می‌توانید در هر زمان، شرایط را کنترل کنید و اطلاعات زیادی در دسترس شما باشد». هر چند شرکت‌های ارایه دهنده خدمات ابری می‌توانند یکسری کنترل و گزارش در اختیار شما قرار دهند اما این کنترل‌ها نسبت به وقتی که خود سازمان زیرساخت‌هایش را کنترل می‌کند، کمتر است.

مشکل عدم دید کافی هم وقتی سیستم جدیدی به صورت محلی نصب می‌شود ممکن است وجود داشته باشد (اگر شرکت از قبل برای مدیریت زیرساخت جدید برنامه‌ریزی نکرده باشد). Will Gragido مسئول محافظت در برابر تهدیدهای پیشرفته در شرکت Digital Guardian می‌گوید: «هر زمان که عدم قطعیتی در رابطه با وضعیت یک دارایی یا نصب نرم‌افزارهای جدید در آن دارایی وجود داشته باشد، شما در معرض خطر قرار دارید و سطح حمله در سازمان شما افزایش می‌یابد».

برای مثال، مخازنی را در نظر بگیرید که در محیط‌های مبتنی بر رایانش ابری، محیط‌های درون‌سازمانی یا در سرویس‌های ابر‌ ترکیبی وجود دارند. Gragido می‌گوید: «سال ها است که ناتوانی در ایمن‌سازی مناسب مخازن، یک مشکل مهم محسوب می‌شود».

به گفته او یکی از مشکلات این است که امنیت، درآمدزا نیست. وی می‌گوید: «بیشتر کسب‌وکارها از امنیت، درآمدزایی ندارند. بنابراین از قدیم امنیت، نگرانی مهمی برای بیشتر افراد محسوب نمی‌شد هرچند این شرایط به مرور زمان تغییر کرده است. به دلیل بلوغ بیشتر زیرساخت‌ها و افزایش سرعت رشد آن ها در بسیاری از موارد، سازمان­ ها نمی‌توانند آن ها را از نظر امنیت تقویت کنند».

این مشکل وقتی تشدید می‌شود که واحدهای تجاری، بدون مشورت با بخش IT فناوری‌های جدید را خریداری می‌کنند. تنظیم و استفاده از سرویس‌های ابری به سرعت و بدون نیاز به داشتن اطلاعات و مهارت‌های فنی چشمگیر قابل انجام است. به گفته Gragido: «من بارها شاهد بودم که واحدهای تجاری، خودشان زیرساخت‌های مختلف را می‌سازند و نمی‌توانند منتظر بخش IT بمانند. این رویکرد منجر به همان رفتار قدیمی «اجازه نگرفتن و التماس برای بخشش در آینده» می‌شود که مشکلات مختلفی را ایجاد می‌کند». وقتی از وجود سیستمی اطلاع نداشته باشید، هیچ دیدی هم نسبت به آن ندارید.

2- کنار گذاشتن انسان‌ها از فرایند امنیت

کارمندان، مسئول بسیاری از (اگر نخواهیم بگوییم بیشترِ) مشکلات امنیتی هستند که در یک سازمان ایجاد می‌شود. وقتی دستورات یک تراکنش را وارد می‌کنند مرتکب اشتباه تایپی می‌شوند، فراموش می‌کنند که کنترل‌های امنیتی را فعال کنند، ایمیل‌های فیشینگ را باز می‌کنند و روی لینک‌های مخرب کلیک می‌کنند، قربانی کلاهبرداری می‌شوند و همواره بر استفاده از کلمه­ های عبور تکراری در پلتفرم‌های مختلف پافشاری می‌کنند.

Trevor Brown مدیر ارشد فناوری در شرکت SecurityFirst می‌گوید: «اغلب وقت ­ها راهکارهای سایبری ما نسبت به خود ما قوی‌تر هستند زیرا بازی کردن با ما انسان‌ها کار راحتی است». به گفته او انسان‌ها خیلی از وقت ­ها سعی می‌کنند بر اساس احساس­شان عمل کنند و وقتی فرایندها را به صورت کامل خودکارسازی کنیم، این مشکل از بین می‌رود.

برای مثال، مسأله‌ای ساده مثل تزریق SQL را در نظر بگیرید. ممکن است یک انسان پس از مشاهده کد مربوط به ارسال یک فرم حتی بدون این که قبلاً آن را دیده باشد، بلافاصله آن را معتبر تلقی کند اما یک رایانه اگر برای این کار برنامه‌ریزی نشده باشد، نمی‌تواند آن را انجام دهد. به گفته وی: «گاهی وقت­ ها ما چیزی را مشاهده می‌کنیم و حس درونی­ مان به ما می‌گوید که آن چیز بدون مشکل و درست است؛ اما ماشین‌ها این طور نیستند».

وی کاملاً از این مشکل آگاه است زیرا شرکت خودش در حال خودکارسازی است. وی می‌گوید: «ما هم اکنون در حال بررسی این موضوع درباره محصولات خودمان هستیم. نمی‌توان با استفاده از انسان‌هایی که باید همواره پشت کنسول باشند، به بهره ­وری بالا و کاهش هزینه‌ها دست یافت».

3- ناشناخته‌ها

تحولات دیجیتال گاهی وقت ­ها می‌توانند مسیرهای جدید و پیش‌بینی نشده‌ای برای حمله ایجاد کنند. برای مثال سیستم باکت‌های ذخیره اطلاعات شرکت آمازون با نام S3 را در نظر بگیرید که ارزان­ قیمت، راحت، با قابلیت تنظیم و ایمن‌سازی آسان است و در عین حال امکان باز گذاشتن قفل آن به صورت تصادفی وجود دارد.

در سال‌های اخیر تعداد زیادی از شرکت‌ها از جمله شرکت‌هایی با فناوری روز و آگاه از فناوری ذخیره اطلاعات در Amazon باعث شده‌اند که این اطلاعات حساس افشا شوند. از این بین می‌توان به شرکت‌هایی همچون Accenture، Dow Jones، Verizon و آژانس اطلاعات نظامی INSCOM اشاره کرد. همچنین محققان شرکت Kenna Security به تازگی متوجه شده‌اند که سازمان‌ها با استفاده از تنظیمات عمومی Google Groups منجر به نشت ایمیل‌های حساس می‌شوند. این سازمان‌ها شامل سازمان‌های موجود در لیست Fortune 500، بیمارستان‌ها، دانشگاه‌ها و مؤسسه­ های دولتی آمریکایی هستند.

Zia Hayat مدیرعامل شرکت Callsign که یک شرکت عرضه ­کننده فناوری‌های احراز هویتی است، می‌گوید: «G Suite شرکت گوگل محصولی است که خیلی از سازمان‌ها در راستای تحولات جدید به سمت استفاده از آن روی آورده ­اند. همین هفته پیش با یکی از مشتریانم که از G Suite استفاده می‌کند صحبت می‌کردم. باز هم متوجه شدم که عدم انجام تنظیمات درست و مراقبت‌های لازم موجب شده که بسیاری از سازمان‌ها در صنایع مختلف در معرض از دست دادن داده‌هایشان قرار بگیرند».

4- نیاز به طرحی برای امنیت سایبری

مدیران ارشد امنیت، نقش مهمی در تضمین وجود یک طرح امنیت سایبری قوی در راهبرد تحول دیجیتال یک شرکت دارند. کلید کارایی و مؤثر واقع شدن این افراد، طبق گفته‌های Hayat تمرکز بر مشکلاتی است که بیشترین اهمیت را برای شرکت دارند.

Hayat می‌گوید من کارشناس امنیت هستم و معمولاً ما تمایل داریم که در لفافه صحبت کنیم. بنابراین باید نمونه‌های ملموس و شفافی پیدا کنید که نه تنها تکنیکی باشند بلکه بتوانند نشان دهند که وقوع حوادث مختلف چه تأثیراتی بر برند شما دارند.

برای مثال وی می‌گوید که رخنه‌های امنیتی بر ارزش [سهام] یک شرکت در بازار تأثیرگذار هستند. «می‌توانید یک گراف ساده از هزینه‌های تحمیل شده بر سازمان‌های مختلف پس از حوادث امنیتی ترسیم کنید، از جمله حادثه پیش آمده برای Equifax، هزینه‌های ایجاد شده برای Target و هزینه‌هایی (از نظر از دست دادن ارزش در بازار) که فیسبوک پس از غفلت در حفظ حریم خصوصی و امنیت کاربران متحمل شد. این هزینه‌ها با مقیاس بزرگی رو به افزایش هستند».

به گفته Weinman از شرکت RiskLens، مدیران ارشد امنیت باید همواره سعی کنند متعادل عمل کنند. برای مثال، خیلی از کارشناسان امنیت صرفاً بر مخاطرات جانبی ناشی از انتقال داده‌ها و فرایندها به ابر تمرکز دارند بدون این که مزایای آن را در نظر بگیرند. وی بیان می­ کند:

«این رویکرد، رویکرد تحلیلی مناسبی نیست بلکه بیشتر باعث گسترش ترس، عدم اطمینان و شک می‌شود و می‌تواند باعث از بین رفتن اعتبار مدیران امنیت شود. ممکن است سازمان مربوطه باز هم به دلیل مشاهده ارزش، فرصت یا امکان صرفه‌جویی در هزینه‌ها، چنین پروژه‌هایی را اجرا کند و در نتیجه مدیر امنیت به حاشیه رانده شود».

Weinman اضافه می‌کند: «که اگر مدیران امنیت بتوانند هدفمندانه درباره امنیت و مخاطرات موجود برای کسب‌وکارها صحبت کنند، امکان این که بتوانند تأثیرگذار باشند، بیشتر می‌شود. وی پیشنهاد می‌کند که کارشناسان امنیت در زمینه ارزیابی مخاطرات به استانداردهای بین‌المللی از جمله چارچوب ارزیابی مخاطرات FAIR توجه داشته باشند. او در نهایت می‌گوید: «مسأله، FUD (مخفف ترس، عدم اطمینان و تردید) یا خطرناک بودن سرویس‌های ابری نیست. بلکه مسأله اصلی کمک کردن به مشاغل جهت گرفتن تصمیم ­های آگاهانه است».