راهکارهایی جهت افزایش امنیت سایبری مؤسسات مالی

هنگامی که مهاجمان سایبری به بانک‌ها و مؤسسات مالی حمله می‌کنند علاوه بر پول، مشتریان و اعتماد آنها را هم مورد هدف حملات خود قرار می‌دهند. اگر یک مؤسسه مالی دچار خسارت‌های ناشی از وقوع حملات سایبری شود، از آنجا که بیمه فقط بخشی از هزینه‌ها را پرداخت می‌کند تمام جنبه‌های کسب‌وکار و همه سهامداران و ذینفعان نیز تحت تأثیر این خسارت قرار می‌گیرند. از این رو با آشکارتر شدن نیاز به حفاظت از امنیت و حریم خصوصی، همه مؤسسات مالی باید راهکارهایی را جهت ارتقای امنیت سایبری خدمات مالی‌شان اجرا کنند.

در مؤسسات مالی معمولاً قوانینی جهت حفظ امنیت سایبری وجود دارد تا مشتریان مطمئن شوند در صورت بروز مشکلات امنیتی، متضرر نمی‌شوند. با این حال تنها وجود چنین قوانینی کافی نیست و مدیریت مخاطرات در حوزه امور مالی یکی از اهداف اصلی تأمین امنیت سایبری است. در این مطلب از فراست به تشریح بعضی از راهکارهایی که امنیت مؤسسات مالی را افزایش می‌دهند، می‌پردازیم.

 

طرح پرسش‌های چالش‌برانگیز در خصوص امنیت سایبری

به منظور بررسی امنیت سایبری سازمان خود ابتدا باید سؤالات زیر را که پاسخ به آنها نقش عمده‌ای در نحوه مدیریت چالش‌های امنیت سایبری دارد، از خودتان بپرسید:

• آیا مؤسسه شما تمایل به تغییر راهکار امنیتی‌اش دارد یا خیر؟
• آیا این مؤسسه در جستجوی شناسایی یک ایده یا راهکار بهتر است؟
• آیا این مؤسسه قابلیت اجرای راهکار منتخب را دارد؟

در ادامه، 5 پرسشی که شما را در این فرایند راهنمایی می‌کنند، مرور می‌کنیم. این پرسش‌ها به‌ گونه‌ای طراحی شده‌اند که پاسخ آنها ساده و در حد بله یا خیر بوده و هدف اصلی از طرح آنها مدیریت مخاطرات امنیتی است. اگر پاسخ شما برای هر کدام از این پرسش‌ها مطلوب نیست باید سریعاً دست به کار شده و اقدامات لازم را انجام دهید. به خاطر داشته باشید که در صورت نداشتن صداقت در پاسخگویی، خودتان را گول می‌زنید!

 

آیا درک درستی از وضعیت مخاطرات امنیتی که شما و مشتریان تان را تهدید می‌کنند، دارید؟

جهت شناسایی مخاطرات سایبری باید یک ارزیابی کامل انجام داده و در صورت نیاز، از شرکت ها و محققان بیرونی هم درخواست کمک کنید. پاسخ به پرسش‌های زیر به شما کمک می‌کند تا ارزیابی خود را به صورت دقیق‌تر انجام دهید:

• آیا می‌دانید جزو اهداف مجرمان سایبری هستید؟
• آیا می‌دانید چه افرادی به شبکه شما دسترسی دارند؟
• آیا ممکن است به دلیل نقض استانداردهای قانونی جریمه شوید؟
• آیا از مکان ذخیره داده‌های حساس مطلع هستید؟
• آیا داده‌ها را مدیریت می‌کنید؟
• آیا در فرایند زنجیره تأمین با مشکل جدی مواجه هستید؟

در هنگام پاسخ به پرسش‌های بالا اگر از جواب های خود مطمئن نیستید، پاسخ سؤال را «خیر» در نظر بگیرید.

 

آیا شما تست نفوذ را به صورت مداوم بر روی سیستم‌های‌تان انجام می‌دهید؟

ارزیابی مخاطرات و آزمون نفوذپذیری (تست نفوذ) معمولاً هزینه‌های بالایی دارند. البته هزینه آنها با توجه به میزان پیچیدگی کار نیز افزایش پیدا می کند. با این حال وابستگی‌های دنیای امروز به فناوری و فضای مجازی انجام چنین کاری را الزامی نموده است. بنابراین شما هم باید آزمون نفوذپذیری و ارزیابی‌های امنیتی را با در نظر گرفتن میزان حساسیت داده‌ها و شدت مخاطراتی که مایل به پذیرش آن هستید، انجام دهید.

شما می‌توانید از شرکت‌های امنیتی مختلف برای انجام منظم آزمون‌های نفوذپذیری کمک گرفته و این تست ها را در بازه‌های زمانی مشخص (مثلاً هر 6 ماه یک بار) اجرا کنید.

 

آیا سیستم شما قابلیت مواجه با مشکلات فعلی و انطباق با چالش‌های امنیتی آتی را دارد؟

احتمال دارد مشکلات امنیتی فعلی، فردا قدیمی شده و مشکلات جدیدی جایگزین آنها شوند. از این رو شما باید از سیستم‌هایی در مؤسسه مالی خود استفاده کنید که علاوه بر قابلیت برطرف کردن مشکلات امنیتی فعلی آمادگی لازم برای تغییرپذیری در برابر چالش های احتمالی آینده را هم داشته باشند.

«امنیت در طراحی» یا «مهندسی امنیت»، یکی از راهکارهایی است که در هنگام طراحی سیستم‌ها بر روی جنبه‌های امنیتی آنها تمرکز ویژه‌ای دارد.

 

آیا مؤسسه شما فرهنگ امنیت سایبری مناسبی دارد؟

وجود فرهنگ امنیتی نه تنها برای موفقیت امنیت سایبری بلکه برای موفقیت کل سازمان ضروری است. با توجه به افزایش هجوم هکرها و مجرمان سایبری به مؤسسات مالی، دیگر داشتن شبکه‌ای امن در برابر تهدیدات و مخاطرات، جزو ملزومات اولیه یک مؤسسه مالی به حساب می‌آید.

شما باید اطمینان حاصل کنید کارکنانی که وظیفه راهبری سیستم ها و مدیریت شبکه را بر عهده دارند، مخاطرات را به خوبی درک نموده و مانع از بروز آنها می‌شوند.

 

آیا منابع انسانی و مالی لازم را در اختیار دارید؟

در حوزه امنیت، پول می تواند موجب خریداری ابزارهای کاربردی مختلف شده و بسیاری از مشکلات تان را حل کند. هر مؤسسه مالی باید تیمی متشکل از افراد متخصص داشته باشد تا بتوانند با این ابزارها کار کنند.

همانطور که در پرسش چهارم اشاره شد باید مطمئن شویم همه اعضای سازمان از اهمیت امنیت سایبری مطلع هستند. شما به افرادی نیاز دارید که مهارت‌های کسب و کاری، فناوری و فردی لازم را داشته باشند. پیدا کردن چنین اشخاصی اغلب آسان نیست. بنابراین پس از یافتن آنها همه سعی تان را برای حفظ شان می بایست انجام دهید.

 

بررسی امتیاز نهایی

رسیدن به پاسخ «بله» برای هر پنج سؤال مطرح شده، دستاورد کمی نیست و اگر واقعاً ارزیابی صادقانه‌ای انجام دهید، دستیابی به این امتیاز بسیار سخت خواهد بود. دقت داشته باشید که هیچ سیستم یا سرویس کاملاً امن و بی نقصی وجود ندارد. این پنج سؤال، یک دید کلی را از وضعیت امنیت سایبری سازمان شما فراهم می‌کنند.

این پرسش‌ها بعضی از ابزارهای لازم برای بررسی وضعیت امنیت فعلی سازمان تان هستند که به شما برای انجام گفتگوهایی عمیق‌تر کمک نموده و شما می‌توانید هنگام بحث و گفتگو با تصمیم گیرندگان سازمان از آنها استفاده کنید. مثلاً اگر پاسخ شما به پرسش چهارم «خیر» است پس می‌بایست در رابطه با اهداف امنیتی تان در سازمان صحبت کرده و دیگران را در این بحث‌ها مشارکت داده یا حداقل به آنها توضیح دهید که چرا باید یک اقدام امنیتی انجام شود. در این صورت احتمال اینکه شما را همراهی کنند، بیشتر خواهد شد.

اگر پاسخ شما برای سؤال دوم منفی بود پس وقت آن رسیده که بودجه‌های سالیانه را همراه تصمیم‌گیران سازمان بررسی کنید. به آنها توضیح دهید که چرا ممکن است غفلت در سرمایه گذاری در این حوزه‌ها منجر به ایجاد هزینه‌های سنگین‌تر در آینده شود.

 

گام‌های بعدی برای حفاظت از امنیت سایبری مؤسسات مالی

سؤالات خودآزمایی که در این مطلب آمده با این هدف طراحی شده اند که یک نگرش کلی را از وضعیت امنیت سایبری شما فراهم کنند. قاعدتاً پاسخ صادقانه به این پرسش‌ها تمامی مشکلات امنیتی سازمان تان را حل نمی‌کند اما شما را در موقعیت خوبی قرار می‌دهد تا بتوانید این مشکلات را برطرف نمایید. البته یک چالش جدی در این پرسش‌ها وجود دارد و آن هم رسیدن به پاسخ «بله» برای سه پرسش اول است.

این پرسش‌ها برای اطمینان از جدی بودن عزم شما جهت طی کردن مراحل بعدی طراحی شده‌اند. پس از مشخص کردن پاسخ آنها سعی کنید با تمرکز کامل به حل مشکلات موجود بپردازید.