تحول در امنیت سایبری سازمان

تحول دیجیتال که به نوعی تحول کسب‌وکار نیز محسوب می‌شود، موضوع بسیار پیچیده‌ای است. اینترنت اشیا، تجارت الکترونیک، زنجیره‌های تأمین دیجیتال، محیط‌های چندابری، رسانه‌های اجتماعی و هوش مصنوعی همگی در این تحول فناورانه سهیم بوده و تنها چند نمونه از مسایلی هستند که شرکت‌ها در هنگام دیجیتالی کردن کسب‌وکارشان با آنها مواجه می شوند.

در شرایطی که شیوع بیماری کرونا با 50 میلیون مبتلا و بیش از یک میلیون کشته، به مشکلات بشر دامن زده و متأسفانه هنوز هم هیچ نشانه‌ای از روند کند شدن شیوع آن در سطح جهان مشاهده نمی‌شود، اهمیت حرکت به سمت تحول دیجیتال بیش از پیش نمایان می شود.

نکته مهمی که در این خصوص وجود دارد این است که با شکل گیری چنین تحولی سازمان‌ها بیشتر از گذشته در معرض حملات سایبری قرار می‌گیرند. رشد فناوری دیجیتال به معنی قرار گرفتن در معرض مخاطرات بیشتر است. با این حال، راهکار این مسأله کاهش روند تحول دیجیتال نیست بلکه مشاغل باید با سرعت و امنیت کامل به پیش بروند. سازمان‌ها برای دستیابی به این هدف و تأمین امنیت سایبری شان می بایست از رویکردی جامع استفاده کنند.

با در نظر گرفتن این رویکرد، بحث امنیت از همان ابتدا در سیستم‌ها و برنامه‌های کاربردی ادغام شده و علاوه بر فرایندها به افراد هم توجه می‌شود. به زبان ساده، شرکت ها نیاز به مفهومی به نام «پیاده‌سازی امنیت در طراحی» خواهند داشت. البته اکنون بهترین زمان برای پیاده‌سازی این رویکرد است چون کسب‌وکارها و جوامع، با سرعتی خیره کننده در حال تجهیز به ابزارهای مختلف فناورانه هستند.

داشتن جایگاه و سهم مدیریتی

معمولاً همیشه کارشناسان امنیت سایبری جزو نفراتی از سازمان هستند که بیشترین پاسخ منفی را از آنها می‌شنوید. اغلب این باور نسبت به کارشناسان امنیت سایبری وجود دارد که بیش از حد بر تجزیه و تحلیل، آزمایش و شناسایی آسیب‌پذیری‌ها در آخرین لحظه اصرار دارند که این امر باعث افزایش هزینه و ایجاد تأخیر در فرایندهای عملیاتی می‌شود. این موضوع در واقعیت چنین نیست و این دیدگاه ناشی از آن است که کارشناسان امنیت سایبری عموماً از همان مراحل اول در پروژه‌ها مشارکت داده نمی‌شوند.

اگر از همان ابتدا این کارشناسان را در مراحل طراحی و توسعه مشارکت دهید می‌توانید به روشی امن‌تر و سودآورتر این فرایندها را طی کنید. بر اساس مطالعه انجام شده توسط گروه مشاوره بوستون (BCG[1])، مشارکت کارشناسان امنیت سایبری از همان ابتدا در پروژه ها منجر به کاهش 62 درصدی اقدامات اضافی می‌شود. این کار علاوه بر کاهش هزینه و زمان توسعه، از مدت زمان بازاریابی نیز می‌کاهد.

علاوه‌ بر این، کارشناسان امنیت سایبری با به دست آوردن چنین جایگاهی می‌توانند به پیدا کردن سریع‌ترین، مقرون به صرفه‌ترین و امن‌ترین راهکارها هم کمک کنند.

مزایا

برای شرکت‌هایی که در حال مهاجرت به سمت محیط ابر هستند، مزایای اصل «توجه به امنیت در طراحی» بسیار چشمگیر و قابل توجه است. با توجه به فراوانی زیرساخت‌هایی که در سیستم‌های ابری، با کد نرم‌افزاری ایجاد می‌شوند بنابراین می‌توان برای صدها برنامه کاربردی، از مفهوم «طراحی زیرساخت به شکل کد» استفاده کرده و دایماً آنها را با استفاده از ربات‌های بازرس، مورد تحلیل و بررسی قرار دارد. چنین رویکردی منجر به کاهش هزینه‌های عملیاتی و بازرسی شده و در عین حال نیز به ارتقای امنیت و بهبود زمان استقرار کمک می‌کند.

از اصول امنیت می‌توان در طراحی برای پیاده‌سازی زیرساخت‌های چند ابری به صورت امن و مقرون به صرفه هم استفاده کرد. با این روش شما یک چارچوب عمومی برای امنیت ابر ایجاد کرده و برای هر برنامه کاربردی، یک پروفایل امنیتی خاص تشکیل می‌دهید. این پروفایل، کنترل‌های امنیتی لازم برای هر برنامه کاربردی را مشخص کرده و در نهایت می‌توانید برای هر کنترل، یک طرح جامع و کلی ایجاد نمایید.

این طرح شامل زیرساخت به صورت کل و فرایندهای مورد نیاز برای هر سیستم ابر مورد استفاده (مثل وب‌سرویس‌های آمازون، مایکروسافت آژور، پلتفرم ابر کلود و علی بابا) است. در صورتی که نیاز به استفاده از هر کدام از این برنامه های کاربردی در یک ابر متفاوت داشته باشید این طرح کلی می تواند کدها، فرایندها و بازرسی‌های خودکار را برای آن ایجاد کند.

مزایای این رویکرد بی‌شمار است؛ برنامه‌های کاربردی را می‌توان بین ابرهای مختلف جا به جا یا آنها را برحسب موقعیت شان بهینه سازی کرد. همچنین هزینه‌ها نیز کاهش یافته و بازیابی از فاجعه آسان‌تر می‌شود.

آمار مهم

آمار به دست آمده از مشتریان شرکت مشاوره بوستون به شرح زیر است:

  1. کاهش 20 درصدی هزینه نصب
  2. کاهش 15 درصدی زمان پیاده‌سازی
  3. کاهش 20 درصدی هزینه عملیات امنیتی
  4. کاهش 50 درصدی هزینه بازرسی‌های قانونی

به طور خلاصه، اصل امنیت در طراحی علاوه بر ارتقای امنیت، پایه‌های امنیتی سازمان‌ها را تقویت می‌کند که این آرامش خاطر برای مدیران اجرایی معمولاً ارزش وصف ناپذیری دارد.

از کجا شروع کنیم؟

آشنایی با مزایای امنیت در طراحی، نیمی از کار است و برای استفاده از این مزایا باید این رویکرد را با شرایط کسب‌وکارتان تطبیق داده و مشخص کنید سازمان شما در چه مرحله‌ای از تحول دیجیتال قرار دارد. 5 گام عملی که می‌توانید در این خصوص بردارید، شامل موارد زیر است:

  1. توانمندسازی: در همه جلسات کلیدی از یک مهندس امنیت دعوت کنید. مهم نیست که موضوع بحث طراحی، توسعه یا هر مسأله دیگری باشد. توانمندسازی نیروهای سایبری سازمان برای مشارکت در تحول دیجیتال به حرکت سریع در این زمینه کمک می‌کند.
  2. DevSecOps: اسکن کد را به فرایند DevOps اضافه کنید تا آسیب‌پذیری‌های امنیتی، شناسایی شده و کد آسیب‌پذیر مسدود و برای اصلاح آن اقدام لازم صورت پذیرد. در واقع DevSecOps را می توان مدلی برای تحویل مداوم برنامه ای که عملیات توسعه، امنیت و IT را به یک گروه واحد متصل می کند، دانست تا از اینکه بررسی های امنیتی و کنترل ها به صورت خودکار و شفاف در کل چرخه حیات توسعه نرم افزار اعمال می شوند، اطمینان لازم حاصل شود.
  3. تست نفوذ: به صورت پیوسته تست نفوذ را برای برنامه‌های کاربردی DevOps اجرا کنید تا هر زمان نسخه جدیدی از این برنامه‌ها ارایه می‌شود، آسیب‌پذیری‌های آن شناسایی و برطرف سازی شوند.
  4. اولویت بندی: دارایی‌های مهم خودتان را بر اساس میزان آسیب ناشی از هک و نفوذ به آنها اولویت بندی کنید. سپس مشخص نمایید چه رفتارهایی بیشتر از همه، این دارایی‌ها را در معرض مخاطره قرار می‌دهند و سعی کنید آنها را اصلاح نمایید.
  5. طرح واکنش به حادثه: حتماً برای کارهایی که باید پس از وقوع حادثه انجام شوند، یک طرح مشخص داشته باشید. سپس سعی کنید آن را بررسی و امتحان کنید. هر چقدر در طراحی به امنیت توجه شده باشد باز هم بیشتر آسیب‌ها پس از نفوذ ایجاد می‌شوند. داشتن یک طرح برنامه ریزی شده و دقیق می تواند به کاهش هرج و مرج و آشوب در چنین مواقعی کمک ‌کند.

نتیجه گیری

مدیران هوشمند، تفکرات بزرگی درباره امنیت سایبری دارند. آنها همیشه آماده مقابله با بدترین شرایط ممکن هستند. وقتی نفوذی صورت می گیرد سهام‌داران، مشتریان و کارمندان؛ قدردان مدیرانی خواهند بود که از قبل به این مشکلات فکر کرده‌اند.

 

[1] Boston Consulting Group

 

منبع: infosecurity-magazine

خروج از نسخه موبایل