افزایش آگاهی امنیتی مدیران سطح بالا توسط تیم‌های امنیتی

مدیران اجرایی سطح بالا از جمله اعضای هیئت مدیره و مدیران عالی معمولاً به اطلاعات حساس دسترسی دارند. بنابراین آنها معمولاً جزو اهداف اصلی مهاجمانی بشمار می‌آیند که به دنبال عبور از سد دفاعی سازمان‌ها هستند. ابزارهای شخصی این افراد و سایر نقاط ورود [آنها به شبکه سازمان] عموماً جزو مهم‌ترین مسیرهای حمله مجرمان سایبری هستند که سعی دارند به سطوح بالا برسند.

بر اساس گزارش رخنه‌های اطلاعاتی سال 2022 شرکت Verizon، عامل اصلی حدود 80 درصد از رخنه‌ها و حوادث سایبری انسان‌ها هستند.   همچنین تعداد بسیاری از آنها شامل فیشینگ، هک ایمیل کاری و استفاده از اعتبارنامه‌های سرقتی بودند.

سطح حمله جدید

عوامل مختلفی باعث شکل‌گیری ریسک‌های جدیدی شده که از طریق مسیرهای بسیار شخصی، مدیران سطح بالای سازمان‌ها را هدف می‌گیرند. نکته مهم برای مدیران ارشد امنیت اطلاعات این است که زندگی دیجیتال یک مدیر اجرایی معمولاً ضعیف‌ترین پیوند یک سازمان است و نه تنها حساب‌ها و دستگاه‌های شخصی آنها بلکه سرورهای خانگی، تجهیزات امنیت خانگی، دستگاه‌های خانوادگی و حتی تعاملات‌شان در شبکه‌های اجتماعی می‌توانند منجر به ایجاد آسیب‌پذیری و ریسک‌های امنیتی جدید در محیط کار شوند. Chris Pierson مدیرعامل شرکت BlackCloak می‌گوید: «امروزه حتی محل زندگی هم از جمله سطوح حمله بشمار می‌آید».

Perison می‌گوید: «زندگی دیجیتال تیم مدیریت حکم یک بمب ساعتی را دارد». اگرچه باید از نیروها و سیستم‌های داخلی برای حفاظت از سازمان بکارگرفته شود ولی مدیریت ریسک از محیط خارجی غیرقابل کنترل، به مراتب سختتر است.

بر اساس تجربیات Pierson در حوزه مدیریت اجرایی، جنبه‌هایی از زندگی شخصی دیجیتال درصد قابل توجهی از این افراد، فاش شده است. زمانی که زندگی شخصی و شرکتی با هم تماس پیدا کنند، ممکن است برای مدیران ارشد امنیت اطلاعاتی که در محیط غیرقابل کنترل کار می‌کنند، دردسرهایی تازه شروع شود.

پس از شیوع کرونا و شکل‌گیری محیط کار ترکیبی، ریسک‌های تهدیدکننده مدیران اجرایی شدت پیدا کرده و مرز بین زندگی شخصی و حرفه‌ای آنها کمرنگ‌تر شد. تنش‌های ژئوپلیتیک پیچیده، فرصت‌های فعالیت دیجییتال بر علیه شرکت‌ها، بخصوص در صنایع مهم‌تر و سود زیاد هدفگیری مدیران ثروتمند همگی مخاطرات زندگی دیجیتال شخصی مدیران اجرایی را افزایش داده‌اند.

یک سازمان بزرگ، به خصوص سازمان‌های سهامی عام با تیم مدیریت عالی که در شبکه‌های اجتماعی حضور دارند هدف جذابی برای مهاجمان است. Gergana Winzer همکار خدمات سایبری در شرکت KPMG استرالیا می‌گوید: «بعضی از این مجرمان متوجه شدند که با خرید آسان باج‌افزار و بدافزار از طریق اینترنت و پیاده‌سازی‌شان بر علیه این اهداف پرسود، به درآمد چشمگیری می‌رسند».

وقتی رخنه شخصی منجر به حمله سازمانی می‌شود

Pierson معتقد است که مخاطرات مربوط به مالکیت معنوی، سرقت اسناد سازمانی از دستگاه‌ها یا حساب‌های شخصی مدیران که کنترل چندان زیادی هم بر آنها وجود ندارد از جمله مهمترین ریسک‌ها در این زمینه است. این کلاس از ریسک‌های شخصی دارای اشکال و فرم‌های مختلفی هستند. او می‌گوید: «مدیران اجرایی سازمانی معمولاً سیستم‌های خانگی هوشمند پیچیده‌ای دارند به همراه دوربین‌های امنیتی و سرورهایی که حاوی سرویس‌ها و دستگاه‌های مختلفی هستند و می‌توانند نقش نقطه نفوذ را بازی کنند».

اما Pierson معتقد است که مدیران اجرایی معمولاً نسبت به مؤسسات مالی و بانک‌هایی که کنترل‌های بیشتری در آنها وجود دارد، هدف جذاب‌تری برای مهاجمان هستند. او می‌گوید: «ما شاهدیم که در حملات هک ایمیل کاری، ایمیل‌های شخصی این افراد به دست مهاجمان می‌رسد. هکرها نیز با استفاده از بدافزار و سایر کلاهبرداری‌های مهندسی اجتماعی، به دستگاه‌های شخصی آنها نفوذ می‌کنند. در نتیجه، پول انگیزه مهمی برای بسیاری از این حملات است».

پس از آن نوبت به حملات بسیار شخصی با اهداف مخرب می‌رسد. داکسینگ شخصی شامل افشای نام، آدرس، شماره تلفن و حتی تصاویر و ویدئوهای شخصی به نقض حریم خصوصی اشاره دارد و مدیران را در معرض سوءاستفاده قرار می‌دهد. Pierson می‌گوید: «از این اطلاعات به عنوان ابزاری برای اخاذی استفاده می‌شود اما در آسیب رساندن به شهرت و ارعاب هم کاربرد دارند».

بنا به گفته کارشناسان: «نباید پرداختن به این ملاحظات امنیتی پیچیده، اصطکاک اضافه‌ای بین مدیران اجرایی، خانواده‌ها و تعامل‌شان با فناوری ایجاد کند. بلکه باید سطح حمله برای چنین حساب‌ها، سرویس‌ها و دستگاه‌هایی کاهش یافته و این اطمینان فراهم شود که امکان کاهش ریسک وجود دارد».

مدیران ارشد امنیت اطلاعات چگونه می‌توانند سطح ریسک را برای مدیران اجرایی کاهش دهند؟

وقتی مدیران ارشد امنیت اطلاعات قادر به مداخله مستقیم در زندگی دیجیتال شخصی مدیران ارشد نیستند، حفاظت از آنها در خارج از محیط و سخت‌افزار اداری چندان آسان نیست. Pierson می‌گوید: «البته مدیران ارشد امنیت اطلاعات همچنان خواستار این شکاف حریم خصوصی هستند و فقط می‌خواهند ریسک‌ها پوشش داده شده و بدانند که در سطح بالا چه کارهایی باید انجام شود».

Pierson می‌گوید: «مدیران ارشد امنیت اطلاعات باید محل تلاقی دقیق دو محیط ریسک‌پذیر شخصی و شرکتی را بدانند». برای مثال به صفحه «درباره ما» نگاه کنید. بسیاری از مسائل از همین قسمت شروع می‌شود. سپس لایه‌های بعدی و عمق آنها را بررسی کنید و اینکه بزرگترین ریسکی که اعضای لایه‌های مختلف در زندگی شخصی ممکن است با آن مواجه شوند چیست و مدیران ارشد امنیت اطلاعات چگونه می‌توانند این ریسک‌ها را کاهش دهند».

Winzer می‌گوید: «ممکن است حملات سایبری پیچیده و سازمان یافته از سیستم‌های سازمان شروع نشوند بلکه با به خطر افتادن حساب یک مدیر اجرایی شروع شده و از آنجا منتشر شوند. به عنوان یک اقدام احتیاطی، مدیران ارشد امنیت اطلاعات باید مراقب تغییرات وضعیت ریسک تیم مدیریت و رهبری باشند. یعنی باید همواره هوشیار و کنجکاو بوده و سعی کنند نقاط کور را پیدا کنند. این نقاط کور می‌توانند بسیار بزرگ باشند؛ مثل مدیرعاملی که دائماً در رسانه‌ها حضور پیدا می‌کند، اطلاعات معاملات او در بازار سهام در دسترس عموم قرار دارد یا به حدی شناخته شده است که حضور او در رسانه‌های اجتماعی منجر به جلب توجه مهاجمان شود. او می‌گوید: «من به عنوان مدیر ارشد امنیت اطلاعات باید از تهدیداتی که ممکن است برای این افراد و توانایی‌شان برای کار در سازمان وجود داشته باشد، آگاه باشم».

حفاظت از دارایی‌های ارزشمند سازمان

Winzer توصیه می‌کند که برای رسیدگی به این آسیب‌پذیری‌های بالقوه که می‌توانند از محیط شخصی وارد محیط شرکتی شوند، مدیران ارشد امنیت اطلاعات ابتدا باید یک ارزیابی ریسک شامل شناسایی ارزشمندترین دارایی‌های سازمان و با هدف حفاظت از آنها و شناسایی ریسک‌های بالقوه از طریق حمله شخصی و توسعه استراتژی‌های کاهش خطر انجام دهند.

Winzer می‌گوید: «باید مطمئن شد که حداکثر تعداد آسیب‌پذیری‌ها یا تهدیدات ممکن ثبت شده و در نظر گرفته می‌شوند. انجام این کار به ارزیابی احتمال و تأثیر هر رخنه شخصی کمک می‌کند. او می‌گوید: «ابتدا محاسبه کنید که تهدید برای اعضای هیئت مدیره و مدیران سطح عالی چیست و سپس اقدام کنید؛ اما این کار باید بر اساس سطح ریسک‌پذیری انجام شود و اینکه از نظر سازمان چه چیزهایی باید حفاظت شوند».

در استراتژی‌های کاهش ریسک می‌توان مشخص کرد که مدیران ارشد اجازه انتشار چه اطلاعاتی را دارند. بنا به گفته Winzer: «بسیار مهم است که حداکثر اطلاعات ممکن را برای ارزیابی تهدید به دست آورده، آنها را در مخزن ریسک‌ها گردآوری کرده و اقدامات لازم را انجام دهید نه اینکه آنها را نادیده بگیرید. چون در دنیای سایبری نکته مهم همین است؛ هر زمان چیزی را نادیده می‌گیریم، بالاخره برگشته و اسیرمان می‌کند».

ارائه آموزش‌های امنیت سایبری برای مدیران اجرایی

علاوه بر استراتژی‌های ارزیابی و کاهش ریسک، آموزش درون سازمانی هم می‌تواند به ایمن‌سازی ردپای دیجیتال مدیران دیجیتال کمک کند. Steven Sim عضو کارگروه تهدیدات نوظهور ISACA می‌گوید: «مدیران رده بالا باید مثل همه کارمندان آموزش‌هایی که به طور اختصاصی برای آنها طراحی شده را ببینند. این آموزش‌ها شامل تمرین‌های شبیه‌سازی فیشینگ و تمرین‌هایی به سبک گفتگو و میزگرد هم است». او می‌گوید: «در صورت امکان مدیران سطح بالا باید در این تمرین‌ها حضور داشته و اعضای هیئت مدیره در تصمیم‌گیری‌هایی که در شرایط بحرانی ناشی از حملات سایبری انجام می‌شوند، شرکت کنند».

Sim می‌گوید: «این طرح‌ها باید بخشی از یک برنامه ارتقای امنیت سایبری چند ساله باشند که افراد، فرایندها و فناوری‌ها را پوشش دهند». با وجود انواع جریمه‌ها و آسیب‌هایی که به اعتبار سازمان‌ها وارد می‌شود، باید این آموزش‌ها در سطح زنجیره تأمین تجاری و دیجیتال و اکوسیستم مالکیت معنویِ جامعه امنیتی گسترش پیدا کنند.

Sim معتقد است که باید منبع اطلاعاتی ریسک‌های مدیران سطح بالا و سازمان آنها به طور منظم به روزرسانی شود چون چشم‌انداز تهدیدات سایبری به سرعت رشد و تکامل یافته و تکنیک‌ها یا تاکتیک‌های جدیدی به آنها اضافه می‌شود. معیارهای امنیتی، شاخص‌های کلیدی ریسک و شاخص‌های کلیدی عملکرد مربوط به پروژه‌ها و ابتکارات امنیت سایبری باید به صورت پیوسته ارزیابی شوند تا طرح تقویت امنیت سایبری به صورت موفق اجرا شود. او می‌گوید: «این کار به سازمان‌ها کمک می‌کند تا سطح ریسک‌پذیری فعلی را رعایت کنند و راه را برای حفاظت در برابر تهدیدات بالقوه آینده برای مدیران ارشد و سازمان باز کنند».

توجه به فرهنگ سازمانی

فرهنگ یک عنصر مهم دیگر است و نباید برای مدیریت ریسک مدیران اجرایی نادیده گرفته شود و این اطمینان را فراهم می‌کند که همه افراد در زمینه امنیت سایبری، مسئولیت دارند. در عمل، این یعنی مدیران ارشد امنیت اطلاعات یک رویکرد جامع را در پیش می‌گیرند نه اینکه فقط متکی بر وصله‌های امنیتی یا طرح‌های آموزشی باشند. اگرچه بسیاری از مدیران ارشد امنیت اطلاعات سال‌هاست که این کار را انجام می‌دهند اما Winzer معتقد است که ارتقای واقعی فرهنگ سایبری مستلزم یک همکاری قوی در سطح مدیریت عالی است. او می‌گوید: «مدیر ارشد امنیت اطلاعات، مدیر ارشد امور مالی و مدیرعامل همگی باید با همدیگر همکاری داشته باشند تا فرهنگِ [مسئولیت مشترک] در سطح سازمان پیاده‌سازی شود».

مهم‌تر از همه توجه به این نکته است که یک ریسک مشترک وجود دارد. «اگر یک مدیر عامل تحت تأثیر قرار گرفته و فایل‌ها و داده‌های شخصی او از جمله اطلاعات حساس مربوط به وضعیت وی یا اطلاعاتی که درباره سازمان، اسرار تجاری و سایر موضوعات مشابه دارد، فاش شوند، این مسئله به مدیر ارشد امنیت اطلاعات مرتبط است و صرفاً یک مسئله شخصی برای مدیرعامل نخواهد بود».

Winzer می‌گوید: «اگر همه آگاه باشند که چه مسئولیت‌هایی درباره نقش خود و امنیت سایبری دارند، مدیران ارشد امنیت اطلاعات بسیار راحت‌تر می‌توانند کارشان را انجام دهند».

منبع: csoonline