افزایش آگاهی امنیتی مدیران سطح بالا توسط تیمهای امنیتی
مدیران ارشد امنیت اطلاعات باید امنیت سایبری مدیران سطح بالا را مدیریت کنند

مدیران اجرایی سطح بالا از جمله اعضای هیئت مدیره و مدیران عالی معمولاً به اطلاعات حساس دسترسی دارند. بنابراین آنها معمولاً جزو اهداف اصلی مهاجمانی بشمار میآیند که به دنبال عبور از سد دفاعی سازمانها هستند. ابزارهای شخصی این افراد و سایر نقاط ورود [آنها به شبکه سازمان] عموماً جزو مهمترین مسیرهای حمله مجرمان سایبری هستند که سعی دارند به سطوح بالا برسند.
بر اساس گزارش رخنههای اطلاعاتی سال 2022 شرکت Verizon، عامل اصلی حدود 80 درصد از رخنهها و حوادث سایبری انسانها هستند. همچنین تعداد بسیاری از آنها شامل فیشینگ، هک ایمیل کاری و استفاده از اعتبارنامههای سرقتی بودند.
سطح حمله جدید
عوامل مختلفی باعث شکلگیری ریسکهای جدیدی شده که از طریق مسیرهای بسیار شخصی، مدیران سطح بالای سازمانها را هدف میگیرند. نکته مهم برای مدیران ارشد امنیت اطلاعات این است که زندگی دیجیتال یک مدیر اجرایی معمولاً ضعیفترین پیوند یک سازمان است و نه تنها حسابها و دستگاههای شخصی آنها بلکه سرورهای خانگی، تجهیزات امنیت خانگی، دستگاههای خانوادگی و حتی تعاملاتشان در شبکههای اجتماعی میتوانند منجر به ایجاد آسیبپذیری و ریسکهای امنیتی جدید در محیط کار شوند. Chris Pierson مدیرعامل شرکت BlackCloak میگوید: «امروزه حتی محل زندگی هم از جمله سطوح حمله بشمار میآید».
Perison میگوید: «زندگی دیجیتال تیم مدیریت حکم یک بمب ساعتی را دارد». اگرچه باید از نیروها و سیستمهای داخلی برای حفاظت از سازمان بکارگرفته شود ولی مدیریت ریسک از محیط خارجی غیرقابل کنترل، به مراتب سختتر است.
بر اساس تجربیات Pierson در حوزه مدیریت اجرایی، جنبههایی از زندگی شخصی دیجیتال درصد قابل توجهی از این افراد، فاش شده است. زمانی که زندگی شخصی و شرکتی با هم تماس پیدا کنند، ممکن است برای مدیران ارشد امنیت اطلاعاتی که در محیط غیرقابل کنترل کار میکنند، دردسرهایی تازه شروع شود.
پس از شیوع کرونا و شکلگیری محیط کار ترکیبی، ریسکهای تهدیدکننده مدیران اجرایی شدت پیدا کرده و مرز بین زندگی شخصی و حرفهای آنها کمرنگتر شد. تنشهای ژئوپلیتیک پیچیده، فرصتهای فعالیت دیجییتال بر علیه شرکتها، بخصوص در صنایع مهمتر و سود زیاد هدفگیری مدیران ثروتمند همگی مخاطرات زندگی دیجیتال شخصی مدیران اجرایی را افزایش دادهاند.
یک سازمان بزرگ، به خصوص سازمانهای سهامی عام با تیم مدیریت عالی که در شبکههای اجتماعی حضور دارند هدف جذابی برای مهاجمان است. Gergana Winzer همکار خدمات سایبری در شرکت KPMG استرالیا میگوید: «بعضی از این مجرمان متوجه شدند که با خرید آسان باجافزار و بدافزار از طریق اینترنت و پیادهسازیشان بر علیه این اهداف پرسود، به درآمد چشمگیری میرسند».
وقتی رخنه شخصی منجر به حمله سازمانی میشود
Pierson معتقد است که مخاطرات مربوط به مالکیت معنوی، سرقت اسناد سازمانی از دستگاهها یا حسابهای شخصی مدیران که کنترل چندان زیادی هم بر آنها وجود ندارد از جمله مهمترین ریسکها در این زمینه است. این کلاس از ریسکهای شخصی دارای اشکال و فرمهای مختلفی هستند. او میگوید: «مدیران اجرایی سازمانی معمولاً سیستمهای خانگی هوشمند پیچیدهای دارند به همراه دوربینهای امنیتی و سرورهایی که حاوی سرویسها و دستگاههای مختلفی هستند و میتوانند نقش نقطه نفوذ را بازی کنند».
اما Pierson معتقد است که مدیران اجرایی معمولاً نسبت به مؤسسات مالی و بانکهایی که کنترلهای بیشتری در آنها وجود دارد، هدف جذابتری برای مهاجمان هستند. او میگوید: «ما شاهدیم که در حملات هک ایمیل کاری، ایمیلهای شخصی این افراد به دست مهاجمان میرسد. هکرها نیز با استفاده از بدافزار و سایر کلاهبرداریهای مهندسی اجتماعی، به دستگاههای شخصی آنها نفوذ میکنند. در نتیجه، پول انگیزه مهمی برای بسیاری از این حملات است».
پس از آن نوبت به حملات بسیار شخصی با اهداف مخرب میرسد. داکسینگ شخصی شامل افشای نام، آدرس، شماره تلفن و حتی تصاویر و ویدئوهای شخصی به نقض حریم خصوصی اشاره دارد و مدیران را در معرض سوءاستفاده قرار میدهد. Pierson میگوید: «از این اطلاعات به عنوان ابزاری برای اخاذی استفاده میشود اما در آسیب رساندن به شهرت و ارعاب هم کاربرد دارند».
بنا به گفته کارشناسان: «نباید پرداختن به این ملاحظات امنیتی پیچیده، اصطکاک اضافهای بین مدیران اجرایی، خانوادهها و تعاملشان با فناوری ایجاد کند. بلکه باید سطح حمله برای چنین حسابها، سرویسها و دستگاههایی کاهش یافته و این اطمینان فراهم شود که امکان کاهش ریسک وجود دارد».
مدیران ارشد امنیت اطلاعات چگونه میتوانند سطح ریسک را برای مدیران اجرایی کاهش دهند؟
وقتی مدیران ارشد امنیت اطلاعات قادر به مداخله مستقیم در زندگی دیجیتال شخصی مدیران ارشد نیستند، حفاظت از آنها در خارج از محیط و سختافزار اداری چندان آسان نیست. Pierson میگوید: «البته مدیران ارشد امنیت اطلاعات همچنان خواستار این شکاف حریم خصوصی هستند و فقط میخواهند ریسکها پوشش داده شده و بدانند که در سطح بالا چه کارهایی باید انجام شود».
Pierson میگوید: «مدیران ارشد امنیت اطلاعات باید محل تلاقی دقیق دو محیط ریسکپذیر شخصی و شرکتی را بدانند». برای مثال به صفحه «درباره ما» نگاه کنید. بسیاری از مسائل از همین قسمت شروع میشود. سپس لایههای بعدی و عمق آنها را بررسی کنید و اینکه بزرگترین ریسکی که اعضای لایههای مختلف در زندگی شخصی ممکن است با آن مواجه شوند چیست و مدیران ارشد امنیت اطلاعات چگونه میتوانند این ریسکها را کاهش دهند».
Winzer میگوید: «ممکن است حملات سایبری پیچیده و سازمان یافته از سیستمهای سازمان شروع نشوند بلکه با به خطر افتادن حساب یک مدیر اجرایی شروع شده و از آنجا منتشر شوند. به عنوان یک اقدام احتیاطی، مدیران ارشد امنیت اطلاعات باید مراقب تغییرات وضعیت ریسک تیم مدیریت و رهبری باشند. یعنی باید همواره هوشیار و کنجکاو بوده و سعی کنند نقاط کور را پیدا کنند. این نقاط کور میتوانند بسیار بزرگ باشند؛ مثل مدیرعاملی که دائماً در رسانهها حضور پیدا میکند، اطلاعات معاملات او در بازار سهام در دسترس عموم قرار دارد یا به حدی شناخته شده است که حضور او در رسانههای اجتماعی منجر به جلب توجه مهاجمان شود. او میگوید: «من به عنوان مدیر ارشد امنیت اطلاعات باید از تهدیداتی که ممکن است برای این افراد و تواناییشان برای کار در سازمان وجود داشته باشد، آگاه باشم».
حفاظت از داراییهای ارزشمند سازمان
Winzer توصیه میکند که برای رسیدگی به این آسیبپذیریهای بالقوه که میتوانند از محیط شخصی وارد محیط شرکتی شوند، مدیران ارشد امنیت اطلاعات ابتدا باید یک ارزیابی ریسک شامل شناسایی ارزشمندترین داراییهای سازمان و با هدف حفاظت از آنها و شناسایی ریسکهای بالقوه از طریق حمله شخصی و توسعه استراتژیهای کاهش خطر انجام دهند.
Winzer میگوید: «باید مطمئن شد که حداکثر تعداد آسیبپذیریها یا تهدیدات ممکن ثبت شده و در نظر گرفته میشوند. انجام این کار به ارزیابی احتمال و تأثیر هر رخنه شخصی کمک میکند. او میگوید: «ابتدا محاسبه کنید که تهدید برای اعضای هیئت مدیره و مدیران سطح عالی چیست و سپس اقدام کنید؛ اما این کار باید بر اساس سطح ریسکپذیری انجام شود و اینکه از نظر سازمان چه چیزهایی باید حفاظت شوند».
در استراتژیهای کاهش ریسک میتوان مشخص کرد که مدیران ارشد اجازه انتشار چه اطلاعاتی را دارند. بنا به گفته Winzer: «بسیار مهم است که حداکثر اطلاعات ممکن را برای ارزیابی تهدید به دست آورده، آنها را در مخزن ریسکها گردآوری کرده و اقدامات لازم را انجام دهید نه اینکه آنها را نادیده بگیرید. چون در دنیای سایبری نکته مهم همین است؛ هر زمان چیزی را نادیده میگیریم، بالاخره برگشته و اسیرمان میکند».
ارائه آموزشهای امنیت سایبری برای مدیران اجرایی
علاوه بر استراتژیهای ارزیابی و کاهش ریسک، آموزش درون سازمانی هم میتواند به ایمنسازی ردپای دیجیتال مدیران دیجیتال کمک کند. Steven Sim عضو کارگروه تهدیدات نوظهور ISACA میگوید: «مدیران رده بالا باید مثل همه کارمندان آموزشهایی که به طور اختصاصی برای آنها طراحی شده را ببینند. این آموزشها شامل تمرینهای شبیهسازی فیشینگ و تمرینهایی به سبک گفتگو و میزگرد هم است». او میگوید: «در صورت امکان مدیران سطح بالا باید در این تمرینها حضور داشته و اعضای هیئت مدیره در تصمیمگیریهایی که در شرایط بحرانی ناشی از حملات سایبری انجام میشوند، شرکت کنند».
Sim میگوید: «این طرحها باید بخشی از یک برنامه ارتقای امنیت سایبری چند ساله باشند که افراد، فرایندها و فناوریها را پوشش دهند». با وجود انواع جریمهها و آسیبهایی که به اعتبار سازمانها وارد میشود، باید این آموزشها در سطح زنجیره تأمین تجاری و دیجیتال و اکوسیستم مالکیت معنویِ جامعه امنیتی گسترش پیدا کنند.
Sim معتقد است که باید منبع اطلاعاتی ریسکهای مدیران سطح بالا و سازمان آنها به طور منظم به روزرسانی شود چون چشمانداز تهدیدات سایبری به سرعت رشد و تکامل یافته و تکنیکها یا تاکتیکهای جدیدی به آنها اضافه میشود. معیارهای امنیتی، شاخصهای کلیدی ریسک و شاخصهای کلیدی عملکرد مربوط به پروژهها و ابتکارات امنیت سایبری باید به صورت پیوسته ارزیابی شوند تا طرح تقویت امنیت سایبری به صورت موفق اجرا شود. او میگوید: «این کار به سازمانها کمک میکند تا سطح ریسکپذیری فعلی را رعایت کنند و راه را برای حفاظت در برابر تهدیدات بالقوه آینده برای مدیران ارشد و سازمان باز کنند».
توجه به فرهنگ سازمانی
فرهنگ یک عنصر مهم دیگر است و نباید برای مدیریت ریسک مدیران اجرایی نادیده گرفته شود و این اطمینان را فراهم میکند که همه افراد در زمینه امنیت سایبری، مسئولیت دارند. در عمل، این یعنی مدیران ارشد امنیت اطلاعات یک رویکرد جامع را در پیش میگیرند نه اینکه فقط متکی بر وصلههای امنیتی یا طرحهای آموزشی باشند. اگرچه بسیاری از مدیران ارشد امنیت اطلاعات سالهاست که این کار را انجام میدهند اما Winzer معتقد است که ارتقای واقعی فرهنگ سایبری مستلزم یک همکاری قوی در سطح مدیریت عالی است. او میگوید: «مدیر ارشد امنیت اطلاعات، مدیر ارشد امور مالی و مدیرعامل همگی باید با همدیگر همکاری داشته باشند تا فرهنگِ [مسئولیت مشترک] در سطح سازمان پیادهسازی شود».
مهمتر از همه توجه به این نکته است که یک ریسک مشترک وجود دارد. «اگر یک مدیر عامل تحت تأثیر قرار گرفته و فایلها و دادههای شخصی او از جمله اطلاعات حساس مربوط به وضعیت وی یا اطلاعاتی که درباره سازمان، اسرار تجاری و سایر موضوعات مشابه دارد، فاش شوند، این مسئله به مدیر ارشد امنیت اطلاعات مرتبط است و صرفاً یک مسئله شخصی برای مدیرعامل نخواهد بود».
Winzer میگوید: «اگر همه آگاه باشند که چه مسئولیتهایی درباره نقش خود و امنیت سایبری دارند، مدیران ارشد امنیت اطلاعات بسیار راحتتر میتوانند کارشان را انجام دهند».
منبع: csoonline