آیا ممکن است مهم ترین دارایی یک سازمان، بزرگ ترین تهدید آن نیز باشد؟
مخاطرات امنیتی که سازمان شما را به خطر می اندازد.
مخاطرات امنیتی درون سازمان که به صورت تصادفی ایجاد میشوند معمولاً یکی از مهم ترین عوامل تهدید کننده امنیت سازمانها به شمار رفته و میتوانند فرایندهای کسبوکاری را با اختلال های جدی مواجه کنند. با این حال، عامل مخاطره داخلی (یا همان تهدید خودی) چیست؟
اولین تصویری که با پرسیدن این سؤال در ذهن خیلی از افراد شکل میگیرد، تصویر یک هکر خرابکار یا کارمندی با نیات شوم و یا حتی کارمندی است که اخیراً از شرکت اخراج شده است؛ اما نکتهای که باید به آن توجه داشت این است که خطرات تصادفی و اتفاقی نیز میتوانند به همین اندازه خطرناک و مخرب باشند ولی در بیشتر وقت ها متأسفانه توجه چندانی به آنها نمیشود. تهدیدهای داخلی میتوانند کارمندان خود سازمان بوده یا کارکنان شرکتهای فروشنده و ارایه دهنده خدمات (مثل شرکا، پیمانکاران و تأمین کنندگان) باشند.
هنگامی که بحث مدیریت امنیت سایبری به میان می آید، بهترین رویکرد برای مدیران اجرایی و ارشد سازمان داشتن یک دید جامع و فراگیر از کل سازمان است. باز هم جای تأسف دارد که بیشتر این مدیران، دید کاملی در خصوص مخاطرات داخلی تصادفی و غیرتصادفی ندارند. بنابراین اینجا است که اهمیت نقش و جایگاه «مدیر امنیت» به خوبی مشخص میشود.
مدیران امنیت نباید تنها شاهد خطراتی که از بیرون وارد سازمان شده و آن را تهدید میکنند، باشند؛ بلکه بایستی مراقب اقدام های کارمندان داخلی و پیمانکارانی که به قلمروی سازمان دسترسی داشته و مجوز استفاده از سیستمها، فایلها و دادههای ارزشمند را دارند نیز باشند.
دیدگاهی غلط راجع به امنیت اطلاعات
اگر چه دلیل اصلی وقوع بعضی از حوادث امنیتی، عمدی است اما بسیاری از حوادث هم وجود دارند که نتیجه بیدقتی کارمندان سازمانی هستند. دادههای مؤسسه Ponemon نشان میدهد که از سال 2016 میلادی میانگین تعداد حوادث سایبری که بر اثر اشتباه های کارمندان یا پیمانکاران رخ داده اند، رشد 26 درصدی پیدا کرده است. تنها در 12 ماه گذشته، اشتباه های افراد داخلی مسبب اصلی 64 درصد از تمام حوادث سایبری بوده است.
رخنههای مرتبط با مخاطرات داخلی، در سال های اخیر همواره رو به افزایش بوده اند و البته یکی از دلایل آن هم دیدگاه غلط افراد راجع به امنیت است. نتیجه نظرسنجی از 1000 کارمند تمام وقت مشخص کرده که 65 درصد از پاسخ دهندگان باور دارند که مفهوم «تهدید داخلی» را درک میکنند و 64 درصد از آنها هم بر این باور هستند که کارمندان بیدقت یا حوادث تصادفی، متداولترین دلیل حوادثی با منشأ داخلی هستند.
این واقعیت که نظرسنجی از کارمندان، درک عمیق آنها از تهدیدهای داخلی را نشان میدهد اما در عین حال حوادث مرتبط با این تهدیدات رو به افزایش است، نشاندهنده یک گسستگی هشداردهنده است. بیشتر کارمندان درک نمیکنند که ممکن است خودشان بزرگترین تهدید برای سازمان محسوب شوند و اقدام های ساده ای مثل دانلود کردن نرمافزارهایی که سازمان آنها را غیرمجاز دانسته میتواند منجر به آسیبهایی جدی شود. برای مقابله با چنین مخاطراتی لازم است مدیران امنیت، میزان آگاهی کارمندان را در سطح سازمان افزایش دهند.
این موضوع از این جهت اهمیت ویژه دارد که امروزه شاهد ورود کارکنانی از «نسل Z» به محیطهای کاری هستیم. اطلاعات اخیر بیانگر آن است که کارمندان نسل Z، بیشترین مخاطره امنیتی را برای سازمانها ایجاد میکنند زیرا بیش از یک سوم (34 درصد) از افراد 18 تا 24 ساله گزارش دادهاند که سیاستهای امنیت سایبری سازمان خودشان را نه میدانند و نه آنها را درک میکنند!
کاهش مخاطره کارمندان داخلی
سؤال مهمی که در ابتدا مطرح می شود این است که مدیران امنیت سایبری چطور میتوانند اطمینان حاصل کنند کارمندانشان منجر به ایجاد رخنه اطلاعاتی برای سازمان نمیشوند؟ با توجه به مخاطرات و آسیبپذیریهایی که از جهات مختلف به سازمان وارد میشوند، مدیران امنیت باید رویکردی جامع درباره امنیت سایبری داشته و در وهله اول بر آموزش افراد متمرکز شوند. سپس، این مدیران باید فناوری و پروسههایی را اجرا و پیادهسازی کنند که به آنها اطمینان بدهد نیروی کاری سازمان، از کارمندان گرفته تا پیمانکارانی که به سیستمها و دادهها دسترسی دارند، سیاستهای امنیت سایبری سازمان را درک کرده و به آنها پایبند هستند.
برای رسیدن به این هدف، نکات زیر را در نظر داشته باشید:
- برنامههای آموزشی اجرا کنید: صرفنظر از سن یا سطح تجربه لازم است که برنامههای آموزشی، از روز اول برای تمام کارمندان اجباری شود. باید این آموزشها از بالا به پایین اجرا شده و مدیران عامل و مدیران امنیت اولین افرادی باشند که سیاستهای امنیتی سازمان را درک کرده و آنها را اجرا می کنند.
- دستورالعملهای واضح و مشخصی را تعریف کنید: سازمانها باید دستورالعملهایی واضح تعریف کرده و امنیت را سرلوحه فعالیت نیروهای کاری شان قرار دهند. همچنین می بایست مقرراتی را برای پیشگیری از مخاطرات متداول امنیتی وضع کرد (برای مثال درباره به اشتراکگذاری دادههای حساس یا محرمانه سازمانی با دیگران).
- از نشت اطلاعات جلوگیری کنید: برای جلوگیری از نشت اطلاعات ، امروزه بسیاری از سازمانها به شفافیت اهمیت میدهند به خصوص در سطوح مدیریتی؛ اما نباید این شفافیت، به قیمت از بین رفتن امنیت اطلاعات تمام شود. کارمندان در هر سطحی باید هر زمان دادههای حساس را به اشتراک میگذارند، مراقب باشند که این دادهها در دسترس افراد غیرمجاز قرار نگیرند.
گام بعدی برای مقابله با مخاطرات داخلی
امروزه سوءاستفادههای تصادفی، یکی از مهم ترین دلایل ایجاد مخاطرات داخلی هستند که معمولاً نادیده هم گرفته میشوند در صورتی که چنین مخاطراتی میتوانند عملکرد هر کسبوکاری را مختل کنند. وقتی اطلاعات ارزشمند از طریق ابزارهای نامناسب یا به صورت تصادفی منتشر شوند، ممکن است به راحتی در دسترس افراد غیرمجاز قرار گرفته و امنیت سازمانی را به خطر بیندازند. باید توجه داشت ایجاد فرایندهای مناسب و سرمایهگذاری برای ایجاد راهکارهایی که دید کاملی درباره اقدام های قابل انجام توسط افراد فراهم کنند، اهمیت بسیار زیادی دارند.
هرچند میانگین هزینه حوادث ناشی از تهدیدهای داخلی در حال حاضر بیش از 8 میلیون دلار است اما پیامدهای این حوادث بسیار بیشتر از تأثیرات مالی آنها است و میتواند آسیبهایی جبرانناپذیری را به اعتبار یک سازمان و اعتماد مشتریان نسبت به آن وارد کند.
با آموزش مستمر تمام کارمندان همراه با نظارت کامل بر فعالیت های شرکا، پیمانکاران و کارمندانی که از ابزارها و فناوریهای مختلف استفاده میکنند میتوانید با اطمینان خاطر مانع از انجام مخاطرات تصادفی و عمدی شوید.
منبع: csoonline