با رشد و توسعه کسبوکارها در صنایع مختلف، هزینه هایی که زمانی جزو گزینه های اختیاری سازمانها محسوب میشدند اکنون به یکی از مخارج عملیاتی مهم آنها تبدیل شده اند. برای مثال، در حال حاضر داشتن بیمه در بسیاری از مشاغل یک امر ضروری محسوب می شود. همچنین از آنجا که حفاظت از مهمترین دارایی سازمانها یعنی اطلاعات آنها مستلزم توجه مداوم است بنابراین هزینههای امنیت سایبری نیز یکی از موارد جدیدی است که سازمانها بخشی از بودجه خود را باید صرف آن کنند. از این رو در هنگام بررسی بودجه امنیت سایبری سازمان لازم است جوانب مختلفی را در نظر داشته باشید که در این مطلب از فراست به آنها اشاره می کنیم.
نحوه گفتگو با مدیران ارشد در خصوص هزینههای امنیت سایبری
اگر درباره نحوه تخصیص و هزینه کرد بودجه امنیت اطلاعات هوشمندانه عمل کنید میتوانید هزینههای صرف شده در این حوزه را تبدیل به یک مزیت رقابتی کنید. البته برای دستیابی به این هدف به نیروهای متخصص زیادی نیاز دارید. بنابراین همچنان که برای تنظیم بودجه سال جدید برنامهریزی میکنید، حتماً سعی کنید از زبانی استفاده نمایید که تصمیمگیرندگان سازمان قادر به درک آن باشند.
توجه داشته باشید که نباید از دیدگاه بیت و بایت یا فایروال و مسیریاب به این مسأله بپردازید بلکه باید از «زبان کسبوکار» استفاده کنید. در واقع باید یاد بگیرید که چگونه با مدیران اجرایی درباره هزینههای امنیت سایبری صحبت کنید، مواردی همچون:
- جریان نقدینگی (آیا کسبوکار، از نظر مالی قادر به برآورده کردن درخواست شما است؟)
- وثیقه (در صورتی که نیاز به قرض گرفتن داراییهای خاصی وجود دارد.)
- سرمایه (چه مقدار اندوخته در حساب پسانداز سازمان وجود دارد که میتوان از آن استفاده کرد؟)
- شخصیت (این مسأله علاوه بر شما، به شخصی که به کمک وی نیاز دارید هم مربوط است.)
- شرایط (چشمانداز مدنظر چگونه است؟)
شرایط بالا برای تحلیل اعتبار و وام دهی مورد بررسی قرار میگیرند. در واقع شما از مدیر سازمان درخواست سرمایه گذاری در زمینه آموزش و تأمین بودجه امنیت سایبری را دارید. در نتیجه او باید به بازگشت سرمایه در خصوص این موضوع توجه کند. به همین خاطر اگر نتوانید خواسته مالی خودتان را به صورت کمّی بیان کنید بنابراین نباید انتظار دریافت آن را نیز داشته باشید.
ارزیابی آسیبپذیری ها و اصلاحات لازم
اگر خودتان قادر به اجرای فرایندهای ارزیابی آسیبپذیری ها در سازمان تان نیستید میتوانید از شرکت هایی که چنین سرویسی را ارایه میدهند و همواره بر تعداد آنها نیز اضافه میشود، استفاده کنید. به عنوان خریدار، این امکان در اختیار شما وجود دارد که این سرویسها را با هزینه بسیار مناسب تری تهیه کنید. همچنین استفاده از خدمات یک شرکت دیگر، به حفظ صداقت در این فرایند کمک میکند. در حالت ایدهآل این کار را باید هر سه یا شش ماه یک بار انجام دهید ولی در شرایط فعلی، انجام آن حداقل یک بار در سال توصیه میشود.
پس از ارزیابی آسیبپذیریها باید اقدامات لازم را برای برطرف سازی آسیب پذیری های شناسایی شده انجام داد. ارزیابی بدون اقدام، به نوعی مثل عضویت در باشگاه ورزشی است که هیچ وقت از امکانات آن استفاده نمیکنید. بهداشت سایبری هم نیازمند انجام اقدام های ویژه است. اگر شما نمی توانید اصلاحات لازم را انجام دهید از فروشندگانی که تأمینکننده کالا و خدمات هستند درخواست کنید این کار را برای سازمان تان انجام دهند. بهتر است از همین حالا برای بستن قراردادهای طولانیتر اقدام کنید.
آزمون نفوذپذیری (تست نفوذ)
یکی از معروفترین نظریهپردازان حوزه کسبوکار میگوید: «برنامه ریزیها صرفاً یکسری قصد و نیت خیر هستند مگر اینکه بلافاصله با کار سخت آنها را اجرایی کنید».
در اینجا نیت خیر، همان ارزیابی آسیبپذیری ها و انجام آزمون نفوذپذیری است که می توان آن را یک کار سخت در نظر گرفت. از آنجا که این آزمون معمولاً با روش عمیقتری انجام شده و ممکن است پایانی باز و تکمیل نشده نیز داشته باشد، پس سعی کنید مرزها و قوانین شفافی را برای آن تعریف کنید. همچنین حتماً برای اجرای سالیانه آن برنامه ریزی نمایید.
بسیاری از شرکتهای ارایهدهنده خدمات ارزیابی آسیبپذیری، کار تست نفوذ را هم انجام میدهند. از این رو کماکان باید هزینههای امنیت سایبری را از دیدگاه کسبوکار در نظر بگیرید. بهتر است هر چه زودتر نسبت به تهیه این سرویسها به صورت مدیریت شده و منظم اقدام کنید.
در نظر گرفتن هزینههای آموزش کارمندان
بسیاری از شرکتهای بزرگ، آموزشهای امنیتی را به صورت سالانه برای کارمندان شان برگزار میکنند. با توجه به تهدیدات امنیتی امروزی، چنین آموزشهای سالیانه ای دیگر کافی نیستند. با قویتر شدن راهکارهای فنی امنیت، مهاجمان سعی میکنند روش های خودشان را تغییر داده و به جای نفوذ به فناوری ها بر مهندسی اجتماعی متمرکز شده و به جای کد نیز از انسانها سوءاستفاده کنند.
اگر به دنبال جلوگیری از انجام حملاتی همچون هک ایمیلهای سازمانی و مقابله با باجافزارها هستید، حتماً آموزشهای امنیتی مداوم را برای کارمندان تان برگزار کرده تا بتوانند لینکهای مشکوک و ایمیلهای جعلی را شناسایی کنند. با نگاهی دوباره به مثال باشگاه؛ برای قویتر شدن عضلات و ماهیچههای تان نیاز به تمرین مداوم دارید. پس لازم است بودجه کافی برای این آموزشها را هم تأمین کنید زیرا یک بار رفتن به باشگاه امنیت سایبری در سال، هیچ تأثیر و فایدهای برای شما نخواهد داشت.
آموزش و صدور گواهینامه برای کارمندان فناوری اطلاعات
خستگی و فرسودگی کارمندان امنیت سایبری یک واقعیت اجتناب ناپذیر است. با آموزش و صدور گواهینامه، به دنبال راهی برای پشتیبانی از کارمندان بخش فناوری اطلاعات و امنیت سازمان تان باشید.
انجام چنین کاری دو مزیت اصلی دارد. اولاً کارمندان میتوانند جدیدترین آموختههای خودشان را در سیستمهای کسب و کاری شما به کار گیرند. ثانیاً شما هم با فراهم کردن امکان پیشرفت شغلی، به آنها کمک خواهید کرد. این رفتار میتواند به افزایش روحیه کارمندان کمک زیادی کند. توجه داشته باشید که بازگشت سرمایه با کارمندان نیز ارتباط دارد.
هزینههای امنیت سایبری و نگهداری از سیستمها
هرگز اجازه ندهید کیفیت سیستمهای مورد استفاده شما و به خصوص سیستمی که به پایان عمر خود نزدیک شده است، افت پیدا کند. همچنان که هزینههای تعمیر سالیانه را ارزیابی میکنید در نظر داشته باشید که این چشمانداز به سرعت در حال تغییر است. همچنین از آنجا که نصب و توسعه شبکه 5G همچنان ادامه دارد پس نیاز به حفاظت از نقاط انتهایی، مدیریت رویدادها و هماهنگ سازی کارها با توجه به این نکته، اهمیت بیشتری پیدا میکند. امروزه تحول دیجیتالی با نزدیک شدن سیستمهای قدیمی به پایان عمرشان، به شدت در حال اوج گرفتن است.
بنابراین هر چند ممکن است این مسأله جزو برنامه ریزیهای امسال شما نباشد اما حتماً برنامه ریزی برای پرداختن به آن را در نظر داشته باشید. همانطور که در نهایت یک خودرو به مرحلهای میرسد که تعمیر و نگهداری آن دیگر مقرون به صرفه نیست، سایر سیستمها هم چنین وضعیتی خواهند داشت. افزایش هزینههای تعمیر در سال، یکی از نشانه های هشدار است. در چنین شرایطی باید به فکر ارتقا یا به روزرسانی سیستمها باشید.
بیمه سایبری
اگر بیمه سایبری ندارید، حتماً به فکر تهیه آن باشید زیرا هزینههای بالای رخدادهای امنیت سایبری را نمی توان بدون بیمه سایبری جبران کرد. بنابراین محاسبات لازم را انجام داده و طرح مناسبی را برای خودتان انتخاب کنید. همواره به این نکته توجه داشته باشید که بدون در نظر گرفتن موارد بالا، ممکن است هزینه بیمه سایبری از آنچه که تصورش را میکنید بسیار بیشتر شود.
یکی از احتمالات ممکن این است که به زودی بیمه سایبری به بیمههایی مثل بیمه نامه خودرو شباهت پیدا کند. با توجه به اینکه در حال حاضر بسیاری از ادعاهای خسارت سایبری تحت پوشش سیاستهای کلی بیمه انجام میشوند، ممکن است روزی شرکتهای بیمه گذار تصمیم به تجدیدنظر درباره این مدل کسبوکاری شان بگیرند. در این صورت بهره مندی از پوشش بیمه، مستلزم ارزیابی منظم آسیبپذیری ها، رفع مشکلات احتمالی، انجام تست نفوذ و اجرای دوره های آموزشی است که پیش از این هم به آنها اشاره شد. البته انجام بازرسی ها و گرفتن گواهینامهها را برای ایجاد شواهد و مدارک مورد نیاز، هرگز نباید فراموش کنید.
راهکار دفاع سایبری خودتان را تکمیل کنید.
در نهایت اینکه باید توجه داشته باشید که هر چند هزینههای امنیت سایبری زیاد به نظر میرسد اما این سرمایه گذاری، در طولانی مدت به بازدهی لازم خواهد رسید. بودجه امنیت سایبری سازمان تان را با رعایت نکاتی که در این مطلب به آنها اشاره شد، در نظر بگیرید. همه این نکات به شما برای بهبود قابلیت تاب آوری سایبری کمک میکنند.
منبع: securityintelligence