حفاظت از داده ها به مثابه محافظت از ارز سازمان‌ها

مدیریت آسیب پذیری ها باید به عنوان سیستمی یکپارچه در کل سازمان در نظر گرفته شود. در واقع یکی از کارهای سخت در حوزه امنیت سایبری، تلاش برای استفاده از یک زبان واحد توسط افراد و گروه های دخیل در آن است. به عنوان مثال، برنامه ریزان کسب و کار در رابطه با عرضه و تقاضا و بخش فناوری اطلاعات در رابطه با بیت ها و بایت ها صحبت می کنند. گفتگوهای بخش منابع انسانی نیز درباره رفاه و بهره وری است. مدیران ارشد به درآمدهای ارزی اهمیت بیشتری داده و هیأت مدیره نیز به بحث مسئولیت پذیری و حاکمیت می پردازند.

این چالش‌ ها باعث می‌شود بحث و گفتگو در رابطه با راهکارهای امنیت نقاط انتهایی، سیستم‌ های نظارتی و سامانه های مدیریت هویت بسیار سخت شود. بنابراین راه حل غلبه بر این چالش ها، استفاده از یک زبان مشترک برای رسیدن به منافع یکسان است.

تاریخچه ارز

مفهوم ارز، ریشه ‌های تاریخی دارد. چینی‌ های باستان، اهالی بین النهرین، لیدیه و گروهی از ساکنان غرب آناتولی اولین اشخاصی بودند که برای مبادله کالا و خدمات از سکه‌ های فلزی استفاده کرده و به خوبی با این مفهوم آشنا بودند.

اروپایی‌ ها در قرون وسطی، بانک‌ های بازرگانی و نامه‌ های اعتباری را ابداع کردند که افراد می‌توانستند با استفاده از آنها در محل خاصی عملیات واریز وجه را انجام داده و در مکانی دیگر آن را برداشت کنند. این نامه‌ های اعتباری یکی از شکل های اولیه امنیت را برای اشخاصی که در اروپا و خاورمیانه به تجارت می پرداختند، فراهم کردند. از آنجا که با استفاده از این نامه‌ ها نیاز کمتری به حمل و نقل پول و وجوه نقد وجود داشت بنابراین احتمال حمله سارقان به مسافران کاهش پیدا می کرد.

مدیران ارشد نیز در هنگام تصمیم گیری برای بودجه امنیت سایبری باید به مفهوم ارز توجه کنند. برای صحبت در رابطه با این که مدیریت مخاطره امنیت سایبری چه تأثیری بر بودجه سازمان دارد، بهتر است با زبان پول صحبت کرده و از این مثال استفاده کنید که چه شخصی یا چه چیزی می‌تواند از امنیت داده‌ های شما در هنگام جا به جایی و انتقال آنها در یک شبکه محافظت کند؟

 

نبرد بر سر داده‌ها

ریشه بسیاری از جنگ‌ ها در تمایل انسان به تحت کنترل گرفتن منابع بیشتر است. از این استدلال می توانید در جهت این که ارزشمندترین منابع در قرن بیست و یکم داده‌ها هستند، استفاده کنید.

با در نظر گرفتن این موضوع که ریشه بسیاری از جنگ ها در تمایل انسان به تحت کنترل گرفتن منابع بیشتر است و با توجه به این که داده ها در قرن بیست و یکم از جمله منابع بسیار باارزش هستند، پس چنین می توان استدلال کرد که داده های خام همانند سایر منابع طبیعی، دارای ارزش ذاتی بوده و کارهایی از قبیل جمع آوری، تفسیر، دستکاری، اصلاح، تجاری سازی و حتی سوءاستفاده از داده ها آنها را ارزشمندتر می کند.

بنابراین داده ها به عنوان ارزشمندترین ارز در نظر گرفته می شوند و به همین دلیل است که مدیریت مخاطرات امنیت سایبری از اهمیت بالایی برخوردار است.

 

تبدیل مدیریت مخاطره امنیت سایبری به منافع مشترک

یکی از راه های متقاعد کردن افرادی که در حوزه های دیگر مشغول به کار هستند برای پرداختن به مسایل موجود در زمینه مدیریت مخاطره امنیت سایبری، آگاه ساختن آنها از دغدغه های امنیتی است. با آموزش درست و مناسب کارمندان فعال در سایر حوزه ها می توان دغدغه های موجود در حوزه امنیت و حفظ حریم خصوصی را به دغدغه هایی مرتبط با بهره وری و عملکرد درست تبدیل کرده و همچنین نظارت هوش مصنوعی و طراحی زیرساخت را به موضوعات مربوط به حاکمیت و مسئولیت پذیری تبدیل کرد. در نهایت می توان از کارمندان سازمان، قهرمانان امنیت سایبری ساخت.

برای دستیابی به این هدف، کارمندان باید درک کنند که داده‌های سازمان، صرفاً یک مشت اطلاعات نبوده و جزو سرمایه‌ های مهم سازمان هستند.

 

انتقال پیام به روش اصولی

افرادی که در حوزه امنیت سایبری سررشته ای ندارند معمولاً علاقه ای هم به موضوع های مربوط به آن ندارند؛ پس بهتر است با آنها در رابطه با پیام های لاگ و گزارش های ثبت شده، به صورت شفاف صحبت کرد. در غیر این صورت، نگاه هایی خیره و عکس العمل هایی عجیب از آنها سر خواهد زد.

در صورتی که کارشناسان امنیت سایبری قصد متقاعد کردن اشخاص برای پرداختن به موضوعات امنیت سایبری را دارند باید با آنها با زبان پول که آن را درک می کنند و می توانند با آن ارتباط برقرار کنند، صحبت کنند. به عنوان مثال، فروش یک چارچوب مدیریت مخاطرات یا یک ابزار مدیریت مخاطره امنیت سایبری شاید کار سختی باشد اما با استفاده از یک طرح توجیهی یا محاسبه هزینه حملات احتمالی، شانس رسیدن به موفقیت بالاتر می رود.

در واقع کارشناسان امنیت سایبری بایستی زبان کسب و کار را شناخته و به راحتی و با دانش کامل در رابطه با مسایلی همچون آسیب به اعتبار، تأثیر بر ارزش سهام، مخاطره مالی، هزینه اختلال در کسب و کار، جریمه‌ های قانونی و غیره با کارکنان سازمان صحبت کنند. همچنین آنها می توانند به منظور جلب توجه بیشتر درباره مدیریت امنیت سایبری، اعداد و آمار را به توضیحات شان اضافه کنند.

 

استفاده از اعداد و ارقام

به منظور میزان درک اهمیت بالای اعداد و ارقام، به این مثال توجه کنید. فرض کنید مدیر ارشد مالی، خیلی ناگهانی و غیرمنتظره وارد جلسه هیأت مدیره سازمان شده و اعلام می کند که «یک نفر، میلیون‌ها دلار از ما سرقت کرده»، قطعاً همه افراد حاضر در جلسه تعجب خواهند کرد و کنجکاو می شوند بدانند این اتفاق چگونه رخ داده است؟ اما آیا اگر مدیر ارشد امنیت اطلاعات وارد جلسه شده و اعلام کند که «طی یک سرقت اطلاعاتی، هکرها به یکی از چهار پایگاه داده اصلی ما نفوذ کرده اند»، باز هم همین واکنش از مدیران ارشد سر خواهد زد؟ پاسخ به این سؤال، احتمالاً خیر است!

به کارشناسان امنیت اطلاعات توصیه می شود «گزارش هزینه نشت داده» که توسط IBM Security منتشر شده است را حتماً مطالعه کنند.

 

داده ها، ارزهای یک سازمان هستند.

هنگامی که کارمندان درک کنند ارزش داده ها مانند ارزش پول نقد است، قطعاً نگرش آنها نسبت به محافظت از داده ها تفاوت خواهد کرد. به عنوان مثال، یک ارز دیجیتال فقط ترکیبی از صفر و یک ها است اما چون این صفر و یک ها قابل تبدیل به پول هستند بنابراین مالکان آنها سعی می کنند به خوبی از آنها محافظت کنند.

از همین رو اطلاعات مالکیت معنوی، اطلاعات شخصی و اطلاعات مربوط به عادت‌ ها و رفتارهای شما که به صورت ترکیبی از صفر و یک ها ذخیره می‌شوند و امکان جمع آوری، تفسیر، دستکاری، اصلاح، تجاری سازی و حتی سوءاستفاده از آنها وجود دارد نیز کاملاً ارزشمند هستند.

اگر کارمندان یک سازمان با داده های خود مثل پول نقد رفتار کنند، در نتیجه می توانند روی آنها سرمایه گذاری کرده و با دقت آنها را امن سازی کنند. اگر چه دستیابی به اعداد و ارقام دقیق در رابطه با هزینه های امنیت سایبری کار سختی است ولی با مدیریت آسیب پذیری، کارشناسان و مدیران امنیت سایبری می توانند یک راهکار متناسب با نیازشان را تنظیم کنند.

 

روش صحبت درباره مدیریت مخاطرات سایبری

کارشناسان بخش امنیت سایبری باید ابتدا میزان تحمل مخاطره سازمان شان را مشخص کنند. سپس با استفاده از محاسبات و معیارهای مناسب، به آمارهای قوی دست یافته و از آنها در صحبت هایشان استفاده کنند.

به عنوان مثال یک مدیر ارشد امنیت اطلاعات بهتر است به هیأت مدیره بگوید: «پیاده سازی راهکارهای مدیریت امنیت سایبری که به پر کردن خلاءهای موجود در زیرساخت های سازمان کمک می کنند، فقط صد هزار دلار در سال هزینه خواهد داشت. در صورتی که اگر رفع نشده و حملات سایبری صورت بگیرند یک خسارت چند میلیون دلاری به سازمان تحمیل خواهد شد. همچنین هزینه بازگشت اوضاع به شرایط قبل نیز بسیار زیاد است. علاوه بر اینها ممکن است سازمان، اعتبار و مالکیت معنوی اش را نیز از دست داده و با جریمه های سنگین قانونی مواجه شود».

در صورتی که کارشناسان ارشد امنیت اطلاعات آمارهایی داشته باشند که از صحبت های آنها پشتیبانی کند قطعاً آنها می توانند به قهرمانان مدیریت مخاطره امنیت سایبری تبدیل شوند.

 

منبع: securityintelligence

خروج از نسخه موبایل