چگونه هزینه‌های زیاد امنیت سایبری را مدیریت کنیم؟

با رشد و توسعه کسب‌وکارها در صنایع مختلف، هزینه هایی که زمانی جزو گزینه های اختیاری سازمان‌ها محسوب می‌شدند اکنون به یکی از مخارج عملیاتی مهم آنها تبدیل شده اند. برای مثال، در حال‌ حاضر داشتن بیمه در بسیاری از مشاغل یک امر ضروری محسوب می شود. همچنین از آنجا که حفاظت از مهمترین دارایی سازمان‌ها یعنی اطلاعات آنها مستلزم توجه مداوم است بنابراین هزینه‌های امنیت سایبری نیز یکی از موارد جدیدی است که سازمان‌ها بخشی از بودجه خود را باید صرف آن کنند. از این رو در هنگام بررسی بودجه امنیت سایبری سازمان لازم است جوانب مختلفی را در نظر داشته باشید که در این مطلب از فراست به آنها اشاره می کنیم.

نحوه گفتگو با مدیران ارشد در خصوص هزینه‌های امنیت سایبری

اگر درباره نحوه تخصیص و هزینه کرد بودجه امنیت اطلاعات هوشمندانه عمل کنید می‌توانید هزینه‌های صرف شده در این حوزه را تبدیل به یک مزیت رقابتی کنید. البته برای دستیابی به این هدف به نیروهای متخصص زیادی نیاز دارید. بنابراین همچنان که برای تنظیم بودجه سال جدید برنامه‌ریزی می‌کنید، حتماً سعی کنید از زبانی استفاده نمایید که تصمیم‌گیرندگان سازمان قادر به درک آن باشند.

توجه داشته باشید که نباید از دیدگاه بیت و بایت یا فایروال و مسیریاب به این مسأله بپردازید بلکه باید از «زبان کسب‌وکار» استفاده کنید. در واقع باید یاد بگیرید که چگونه با مدیران اجرایی درباره هزینه‌های امنیت سایبری صحبت کنید، مواردی همچون:

• جریان نقدینگی (آیا کسب‌وکار، از نظر مالی قادر به برآورده کردن درخواست شما است؟)
• وثیقه (در صورتی که نیاز به قرض گرفتن دارایی‌های خاصی وجود دارد.)
• سرمایه (چه مقدار اندوخته در حساب پس‌انداز سازمان وجود دارد که می‌توان از آن استفاده کرد؟)
• شخصیت (این مسأله علاوه بر شما، به شخصی که به کمک وی نیاز دارید هم مربوط است.)
• شرایط (چشم‌انداز مدنظر چگونه است؟)

شرایط بالا برای تحلیل اعتبار و وام دهی مورد بررسی قرار می‌گیرند. در واقع شما از مدیر سازمان درخواست سرمایه گذاری در زمینه آموزش و تأمین بودجه امنیت سایبری را دارید. در نتیجه او باید به بازگشت سرمایه در خصوص این موضوع توجه کند. به همین خاطر اگر نتوانید خواسته مالی خودتان را به صورت کمّی بیان کنید بنابراین نباید انتظار دریافت آن را نیز داشته باشید.

ارزیابی آسیب‌پذیری ها و اصلاحات لازم

اگر خودتان قادر به اجرای فرایندهای ارزیابی آسیب‌پذیری ها در سازمان تان نیستید می‌توانید از شرکت هایی که چنین سرویسی را ارایه می‌دهند و همواره بر تعداد آنها نیز اضافه می‌شود، استفاده کنید. به عنوان خریدار، این امکان در اختیار شما وجود دارد که این سرویس‌ها را با هزینه بسیار مناسب تری تهیه کنید. همچنین استفاده از خدمات یک شرکت دیگر، به حفظ صداقت در این فرایند کمک می‌کند. در حالت ایده‌آل این کار را باید هر سه یا شش ماه یک بار انجام دهید ولی در شرایط فعلی، انجام آن حداقل یک بار در سال توصیه می‌شود.

پس از ارزیابی آسیب‌پذیری‌ها باید اقدامات لازم را برای برطرف سازی آسیب پذیری های شناسایی شده انجام داد. ارزیابی بدون اقدام، به نوعی مثل عضویت در باشگاه ورزشی است که هیچ وقت از امکانات آن استفاده نمی‌کنید. بهداشت سایبری هم نیازمند انجام اقدام های ویژه است. اگر شما نمی توانید اصلاحات لازم را انجام دهید از فروشندگانی که تأمین‌کننده کالا و خدمات هستند درخواست کنید این کار را برای سازمان تان انجام دهند. بهتر است از همین حالا برای بستن قراردادهای طولانی‌تر اقدام کنید.

آزمون نفوذپذیری (تست نفوذ)

یکی از معروفترین نظریه‌پردازان حوزه کسب‌وکار می‌گوید: «برنامه ریزی‌ها صرفاً یکسری قصد و نیت خیر هستند مگر اینکه بلافاصله با کار سخت آنها را اجرایی کنید».

در اینجا نیت خیر، همان ارزیابی آسیب‌پذیری ها و انجام آزمون نفوذپذیری است که می توان آن را یک کار سخت در نظر گرفت. از آنجا که این آزمون معمولاً با روش عمیق‌تری انجام شده و ممکن است پایانی باز و تکمیل نشده نیز داشته باشد، پس سعی کنید مرزها و قوانین شفافی را برای آن تعریف کنید. همچنین حتماً برای اجرای سالیانه آن برنامه ریزی نمایید.

بسیاری از شرکت‌های ارایه‌دهنده خدمات ارزیابی آسیب‌پذیری، کار تست نفوذ را هم انجام می‌دهند. از این رو کماکان باید هزینه‌های امنیت سایبری را از دیدگاه کسب‌وکار در نظر بگیرید. بهتر است هر چه زودتر نسبت به تهیه این سرویس‌ها به صورت مدیریت شده و منظم اقدام کنید.

در نظر گرفتن هزینه‌های آموزش کارمندان

بسیاری از شرکت‌های بزرگ، آموزش‌های امنیتی را به صورت سالانه برای کارمندان شان برگزار می‌کنند. با توجه به تهدیدات امنیتی امروزی، چنین آموزش‌های سالیانه ای دیگر کافی نیستند. با قوی‌تر شدن راهکارهای فنی امنیت، مهاجمان سعی می‌کنند روش های خودشان را تغییر داده و به جای نفوذ به فناوری ها بر مهندسی اجتماعی متمرکز شده و به جای کد نیز از انسان‌ها سوءاستفاده کنند.

اگر به دنبال جلوگیری از انجام حملاتی همچون هک ایمیل‌های سازمانی و مقابله با باج‌افزارها هستید، حتماً آموزش‌های امنیتی مداوم را برای کارمندان تان برگزار کرده تا بتوانند لینک‌های مشکوک و ایمیل‌های جعلی را شناسایی کنند. با نگاهی دوباره به مثال باشگاه؛ برای قوی‌تر شدن عضلات و ماهیچه‌های تان نیاز به تمرین مداوم دارید. پس لازم است بودجه کافی برای این آموزش‌ها را هم تأمین کنید زیرا یک بار رفتن به باشگاه امنیت سایبری در سال، هیچ تأثیر و فایده‌ای برای شما نخواهد داشت.

آموزش و صدور گواهینامه برای کارمندان فناوری اطلاعات

خستگی و فرسودگی کارمندان امنیت سایبری یک واقعیت اجتناب ناپذیر است. با آموزش و صدور گواهینامه، به دنبال راهی برای پشتیبانی از کارمندان بخش فناوری اطلاعات و امنیت سازمان تان باشید.

انجام چنین کاری دو مزیت اصلی دارد. اولاً کارمندان می‌توانند جدیدترین آموخته‌های خودشان را در سیستم‌های کسب و کاری شما به کار گیرند. ثانیاً شما هم با فراهم کردن امکان پیشرفت شغلی، به آنها کمک خواهید کرد. این رفتار می‌تواند به افزایش روحیه کارمندان کمک زیادی کند. توجه داشته باشید که بازگشت سرمایه با کارمندان نیز ارتباط دارد.

هزینه‌های امنیت سایبری و نگهداری از سیستم‌ها

هرگز اجازه ندهید کیفیت سیستم‌های مورد استفاده شما و به خصوص سیستمی که به پایان عمر خود نزدیک شده است، افت پیدا کند. همچنان که هزینه‌های تعمیر سالیانه را ارزیابی می‌کنید در نظر داشته باشید که این چشم‌انداز به سرعت در حال تغییر است. همچنین از آنجا که نصب و توسعه شبکه 5G همچنان ادامه دارد پس نیاز به حفاظت از نقاط انتهایی، مدیریت رویدادها و هماهنگ سازی کارها با توجه به این نکته، اهمیت بیشتری پیدا می‌کند. امروزه تحول دیجیتالی با نزدیک شدن سیستم‌های قدیمی به پایان عمرشان، به شدت در حال اوج گرفتن است.

بنابراین هر چند ممکن است این مسأله جزو برنامه ریزی‌های امسال شما نباشد اما حتماً برنامه ریزی برای پرداختن به آن را در نظر داشته باشید. همانطور که در نهایت یک خودرو به مرحله‌ای می‌رسد که تعمیر و نگهداری آن دیگر مقرون به صرفه نیست، سایر سیستم‌ها هم چنین وضعیتی خواهند داشت. افزایش هزینه‌های تعمیر در سال، یکی از نشانه های هشدار است. در چنین شرایطی باید به فکر ارتقا یا به روزرسانی سیستم‌ها باشید.

بیمه سایبری

اگر بیمه سایبری ندارید، حتماً به فکر تهیه آن باشید زیرا هزینه‌های بالای رخدادهای امنیت سایبری را نمی توان بدون بیمه سایبری جبران کرد. بنابراین محاسبات لازم را انجام داده و طرح مناسبی را برای خودتان انتخاب کنید. همواره به این نکته توجه داشته باشید که بدون در نظر گرفتن موارد بالا، ممکن است هزینه بیمه سایبری از آنچه که تصورش را می‌کنید بسیار بیشتر شود.

یکی از احتمالات ممکن این است که به زودی بیمه سایبری به بیمه‌هایی مثل بیمه نامه خودرو شباهت پیدا کند. با توجه به اینکه در حال حاضر بسیاری از ادعاهای خسارت سایبری تحت پوشش سیاست‌های کلی بیمه انجام می‌شوند، ممکن است روزی شرکت‌های بیمه گذار تصمیم به تجدیدنظر درباره این مدل کسب‌وکاری شان بگیرند. در این صورت بهره مندی از پوشش بیمه، مستلزم ارزیابی منظم آسیب‌پذیری ها، رفع مشکلات احتمالی، انجام تست نفوذ و اجرای دوره های آموزشی است که پیش از این هم به آنها اشاره شد. البته انجام بازرسی ها و گرفتن گواهینامه‌ها را برای ایجاد شواهد و مدارک مورد نیاز، هرگز نباید فراموش کنید.

راهکار دفاع سایبری خودتان را تکمیل کنید.

در نهایت اینکه باید توجه داشته باشید که هر چند هزینه‌های امنیت سایبری زیاد به نظر می‌رسد اما این سرمایه گذاری، در طولانی مدت به بازدهی لازم خواهد رسید. بودجه امنیت سایبری سازمان تان را با رعایت نکاتی که در این مطلب به آنها اشاره شد، در نظر بگیرید. همه این نکات به شما برای بهبود قابلیت تاب آوری سایبری کمک می‌کنند.

 

منبع: securityintelligence