تحول دیجیتال که به نوعی تحول کسبوکار نیز محسوب میشود، موضوع بسیار پیچیدهای است. اینترنت اشیا، تجارت الکترونیک، زنجیرههای تأمین دیجیتال، محیطهای چندابری، رسانههای اجتماعی و هوش مصنوعی همگی در این تحول فناورانه سهیم بوده و تنها چند نمونه از مسایلی هستند که شرکتها در هنگام دیجیتالی کردن کسبوکارشان با آنها مواجه می شوند.
در شرایطی که شیوع بیماری کرونا با 50 میلیون مبتلا و بیش از یک میلیون کشته، به مشکلات بشر دامن زده و متأسفانه هنوز هم هیچ نشانهای از روند کند شدن شیوع آن در سطح جهان مشاهده نمیشود، اهمیت حرکت به سمت تحول دیجیتال بیش از پیش نمایان می شود.
نکته مهمی که در این خصوص وجود دارد این است که با شکل گیری چنین تحولی سازمانها بیشتر از گذشته در معرض حملات سایبری قرار میگیرند. رشد فناوری دیجیتال به معنی قرار گرفتن در معرض مخاطرات بیشتر است. با این حال، راهکار این مسأله کاهش روند تحول دیجیتال نیست بلکه مشاغل باید با سرعت و امنیت کامل به پیش بروند. سازمانها برای دستیابی به این هدف و تأمین امنیت سایبری شان می بایست از رویکردی جامع استفاده کنند.
با در نظر گرفتن این رویکرد، بحث امنیت از همان ابتدا در سیستمها و برنامههای کاربردی ادغام شده و علاوه بر فرایندها به افراد هم توجه میشود. به زبان ساده، شرکت ها نیاز به مفهومی به نام «پیادهسازی امنیت در طراحی» خواهند داشت. البته اکنون بهترین زمان برای پیادهسازی این رویکرد است چون کسبوکارها و جوامع، با سرعتی خیره کننده در حال تجهیز به ابزارهای مختلف فناورانه هستند.
داشتن جایگاه و سهم مدیریتی
معمولاً همیشه کارشناسان امنیت سایبری جزو نفراتی از سازمان هستند که بیشترین پاسخ منفی را از آنها میشنوید. اغلب این باور نسبت به کارشناسان امنیت سایبری وجود دارد که بیش از حد بر تجزیه و تحلیل، آزمایش و شناسایی آسیبپذیریها در آخرین لحظه اصرار دارند که این امر باعث افزایش هزینه و ایجاد تأخیر در فرایندهای عملیاتی میشود. این موضوع در واقعیت چنین نیست و این دیدگاه ناشی از آن است که کارشناسان امنیت سایبری عموماً از همان مراحل اول در پروژهها مشارکت داده نمیشوند.
اگر از همان ابتدا این کارشناسان را در مراحل طراحی و توسعه مشارکت دهید میتوانید به روشی امنتر و سودآورتر این فرایندها را طی کنید. بر اساس مطالعه انجام شده توسط گروه مشاوره بوستون (BCG[1])، مشارکت کارشناسان امنیت سایبری از همان ابتدا در پروژه ها منجر به کاهش 62 درصدی اقدامات اضافی میشود. این کار علاوه بر کاهش هزینه و زمان توسعه، از مدت زمان بازاریابی نیز میکاهد.
علاوه بر این، کارشناسان امنیت سایبری با به دست آوردن چنین جایگاهی میتوانند به پیدا کردن سریعترین، مقرون به صرفهترین و امنترین راهکارها هم کمک کنند.
مزایا
برای شرکتهایی که در حال مهاجرت به سمت محیط ابر هستند، مزایای اصل «توجه به امنیت در طراحی» بسیار چشمگیر و قابل توجه است. با توجه به فراوانی زیرساختهایی که در سیستمهای ابری، با کد نرمافزاری ایجاد میشوند بنابراین میتوان برای صدها برنامه کاربردی، از مفهوم «طراحی زیرساخت به شکل کد» استفاده کرده و دایماً آنها را با استفاده از رباتهای بازرس، مورد تحلیل و بررسی قرار دارد. چنین رویکردی منجر به کاهش هزینههای عملیاتی و بازرسی شده و در عین حال نیز به ارتقای امنیت و بهبود زمان استقرار کمک میکند.
از اصول امنیت میتوان در طراحی برای پیادهسازی زیرساختهای چند ابری به صورت امن و مقرون به صرفه هم استفاده کرد. با این روش شما یک چارچوب عمومی برای امنیت ابر ایجاد کرده و برای هر برنامه کاربردی، یک پروفایل امنیتی خاص تشکیل میدهید. این پروفایل، کنترلهای امنیتی لازم برای هر برنامه کاربردی را مشخص کرده و در نهایت میتوانید برای هر کنترل، یک طرح جامع و کلی ایجاد نمایید.
این طرح شامل زیرساخت به صورت کل و فرایندهای مورد نیاز برای هر سیستم ابر مورد استفاده (مثل وبسرویسهای آمازون، مایکروسافت آژور، پلتفرم ابر کلود و علی بابا) است. در صورتی که نیاز به استفاده از هر کدام از این برنامه های کاربردی در یک ابر متفاوت داشته باشید این طرح کلی می تواند کدها، فرایندها و بازرسیهای خودکار را برای آن ایجاد کند.
مزایای این رویکرد بیشمار است؛ برنامههای کاربردی را میتوان بین ابرهای مختلف جا به جا یا آنها را برحسب موقعیت شان بهینه سازی کرد. همچنین هزینهها نیز کاهش یافته و بازیابی از فاجعه آسانتر میشود.
آمار مهم
آمار به دست آمده از مشتریان شرکت مشاوره بوستون به شرح زیر است:
- کاهش 20 درصدی هزینه نصب
- کاهش 15 درصدی زمان پیادهسازی
- کاهش 20 درصدی هزینه عملیات امنیتی
- کاهش 50 درصدی هزینه بازرسیهای قانونی
به طور خلاصه، اصل امنیت در طراحی علاوه بر ارتقای امنیت، پایههای امنیتی سازمانها را تقویت میکند که این آرامش خاطر برای مدیران اجرایی معمولاً ارزش وصف ناپذیری دارد.
از کجا شروع کنیم؟
آشنایی با مزایای امنیت در طراحی، نیمی از کار است و برای استفاده از این مزایا باید این رویکرد را با شرایط کسبوکارتان تطبیق داده و مشخص کنید سازمان شما در چه مرحلهای از تحول دیجیتال قرار دارد. 5 گام عملی که میتوانید در این خصوص بردارید، شامل موارد زیر است:
- توانمندسازی: در همه جلسات کلیدی از یک مهندس امنیت دعوت کنید. مهم نیست که موضوع بحث طراحی، توسعه یا هر مسأله دیگری باشد. توانمندسازی نیروهای سایبری سازمان برای مشارکت در تحول دیجیتال به حرکت سریع در این زمینه کمک میکند.
- DevSecOps: اسکن کد را به فرایند DevOps اضافه کنید تا آسیبپذیریهای امنیتی، شناسایی شده و کد آسیبپذیر مسدود و برای اصلاح آن اقدام لازم صورت پذیرد. در واقع DevSecOps را می توان مدلی برای تحویل مداوم برنامه ای که عملیات توسعه، امنیت و IT را به یک گروه واحد متصل می کند، دانست تا از اینکه بررسی های امنیتی و کنترل ها به صورت خودکار و شفاف در کل چرخه حیات توسعه نرم افزار اعمال می شوند، اطمینان لازم حاصل شود.
- تست نفوذ: به صورت پیوسته تست نفوذ را برای برنامههای کاربردی DevOps اجرا کنید تا هر زمان نسخه جدیدی از این برنامهها ارایه میشود، آسیبپذیریهای آن شناسایی و برطرف سازی شوند.
- اولویت بندی: داراییهای مهم خودتان را بر اساس میزان آسیب ناشی از هک و نفوذ به آنها اولویت بندی کنید. سپس مشخص نمایید چه رفتارهایی بیشتر از همه، این داراییها را در معرض مخاطره قرار میدهند و سعی کنید آنها را اصلاح نمایید.
- طرح واکنش به حادثه: حتماً برای کارهایی که باید پس از وقوع حادثه انجام شوند، یک طرح مشخص داشته باشید. سپس سعی کنید آن را بررسی و امتحان کنید. هر چقدر در طراحی به امنیت توجه شده باشد باز هم بیشتر آسیبها پس از نفوذ ایجاد میشوند. داشتن یک طرح برنامه ریزی شده و دقیق می تواند به کاهش هرج و مرج و آشوب در چنین مواقعی کمک کند.
نتیجه گیری
مدیران هوشمند، تفکرات بزرگی درباره امنیت سایبری دارند. آنها همیشه آماده مقابله با بدترین شرایط ممکن هستند. وقتی نفوذی صورت می گیرد سهامداران، مشتریان و کارمندان؛ قدردان مدیرانی خواهند بود که از قبل به این مشکلات فکر کردهاند.
[1] Boston Consulting Group
منبع: infosecurity-magazine