TwitterFlickrFacebookRSSlinkedin

مقاله ها

مفاهیم كلیدی مدیریت مخاطرات سایبری

امروزه، سازمان‌ها برای رسیدن به اهداف و ماموریت‌های خود از سیستم‌های اطلاعاتی و اینترنت استفاده می‌كنند. از طرف دیگر، پیچیدگی و شدت تهدیدات سایبری هم دائماً در حال افزایش است؛

به طوریكه این امر منجر به افزایش مخاطرات سایبری‌ شده است كه می‌تواند عملكرد سازمان یا زنجیره تولید سازمان و یا اطلاعات حساس مشتری را به خطر بیاندازد.

در این مقاله، جهت كمك به بحث‌های مدیریت مخاطرات امنیت سایبری سازمان‌ها، سوالات كلیدی‌ به همراه مفاهیم مدیریت مخاطرات سایبری مطرح می‌شود.

 پنج سوالی كه مدیران عامل باید درباره مخاطرات سایبری بپرسند

(1)    چگونه مدیر اجرایی درباره سطح فعلی و پیامدهای تجاری‌ مخاطرات سایبری سازمان مطلع می‌شود؟

(2)    سطح فعلی و پیامدهای تجاری مخاطرات سایبری روی سازمان، چقدر است؟ چه برنامه‌ای برای مواجه با مخاطرات شناسایی شده وجود دارد؟

(3)    برنامه امنیت سایبری سازمان، چگونه استانداردها و بهترین تجارب این حوزه را پوشش می‌دهد؟

(4)    چه تعداد و چه نوع‌هایی از رخدادهای سایبری در یك هفته شناسایی می‌شود؟ سطح آستانه‌ای كه منجر به اطلاع رسانی به مدیر اجرایی می‌شود چقدر است؟

(5)    برنامه پاسخ به رخدادهای سایبری سازمان، به چه میزان جامع است؟ این برنامه، هر چند وقت یكبار تست می‌شود؟

مفاهیم كلیدی مدیریت مخاطرات سایبری:

  • گنجاندن مخاطرات سایبری در فرآیند راهبری و مدیریت‌ مخاطرات موجود

 امنیت سایبری، پیاده سازی چك لیستی از تعدادی الزامات نیست؛ بلكه مدیریت مخاطرات سایبری، تا رسیدن به یك سطح قابل پذیرش است. مدیریت مخاطرات امنیت سایبری -به عنوان بخشی از چارچوب اداره سازمان، مدیریت مخاطرات و تداوم كسب و كار- از طریق سازمان، چارچوب استراتژیكی را برای مدیریت مخاطرات امنیت سایبری فراهم می‌كند.

 

  • درگیر كردن مدیر عامل در بحث‌های مربوط به مدیریت مخاطرات سایبری
  •  استفاده از تجارب مدیر عامل در تعریف استراتژی مدیریت مخاطرات و سطوح قابل قبول آنها، امكان مدیریت بهتر مخاطرات سایبری را -كه نیازمندی‌های كسب و كار سازمان را هدف قرار داده است- فراهم می‌كند. ارتباط منظم میان مدیر عامل و كسانی كه مسئول مدیریت مخاطرات سایبری هستند باعث می شود تا از مخاطرات فعلی كه سازمان و كسب و كار را تحت تاثیر قرار می‌دهد بهتر آگاهی یابند.

 

  • پیاده سازی استانداردها و بهترین تجارب

 یك برنامه امنیت سایبری جامع، جهت محافظت از سیستم‌ها و شناسایی مشكلات احتمالی از استانداردها و بهترین تجارب این حوزه، و جهت پاسخ و بازیابی به موقع به تهدیدات از فرآیندهای آگاهی رسانی درباره تهدیدات فعلی استفاده می‌كند. انطباق با الزامات به داشتن امنیت سایبری ابتدایی برای شناسایی آسیب پذیری‌های شناخته شده كمك می‌كند اما در شناسایی تهدیدات پویا كمكی نمی‌كند. استفاده از یك رهیافت مبتنی بر مخاطره، برای اعمال استانداردها و تجارب امنیت سایبری به مدیریت بهتر مخاطرات سایبری كمك می‌كند.

 

  • ارزیابی و مدیریت مخاطرات سایبری سازمان

 شناسایی دارایی‌های حیاتی و پیامدهای تهدیدات سایبری برای فهم میزان مخاطره سازمان امری مهم است. نتایج ارزیابی مخاطرات، ورودی كلیدی برای شناسایی و اولویت بندی فعالیت‌های محافظتی، تخصیص منابع، و توسعه خط مشی‌ها و استراتژی‌های مدیریت مخاطرات سایبری به یك سطح قابل قبول است.

 

  • نظارت و بازبینی

 كارمندان اجرایی، مسئول مدیریت و مواظبت از فرآیند مدیریت مخاطرات سازمان هستند. فعالیت‌های نظارت سایبری شامل ارزیابی منظم از بودجه‌های امنیت سایبری، برنامه‌های استفاده از فناوری اطلاعات، برون سپاری فناوری اطلاعات، خدمات ابر، گزارش‌های رخداد، نتایج ارزیابی مخاطرات و خط مشی‌های سطح بالا است.

 

  • توسعه و تست برنامه‌ها و رویه‌های پاسخ به رخداد

 حتی سازمانی كه به خوبی در مقابل حملات امنیتی مقاوم شده باشد، در برخی اوقات، رخدادهای سایبری را تجربه كرده است. زمانی كه یك شبكه مقاوم در برابر تهدیدات مورد نفوذ قرار گیرد، مدیر عامل باید راه حل جایگزین را ارائه دهد. مستند كردن منظم برنامه‌های پاسخ به رخدادهای سایبری متداول باعث می شود تا امكان پاسخ بهنگام به رخداد وجود داشته باشد و پیامدهای ناشی از آن كاهش یابد.

 

  • هماهنگ كردن برنامه‌ریزی پاسخ به رخدادهای سایبری در سازمان

 پاسخ سریع به رخداد می‌تواند خسارت احتمالی را كم یا حتی از آن جلوگیری كند. مولفه كلیدی آماده سازی پاسخ به رخدادهای سایبری، برنامه ریزی پاسخ همراه با كمك CIO/CISO، مدیران تجاری، برنامه ریزان تداوم كسب و كار، اپراتورهای سیستم، مشاوران حقوقی و روابط عمومی سازمان است. این برنامه ریزی شامل تركیب خط مشی‌ها و رویه‌های پاسخگویی به رخداد سایبری با برنامه‌های تداوم كسب و كار و ترمیم خرابی است.

 

  • حفظ آگاهی محیطی از تهدیدات سایبری

 آگاهی محیطی از مخاطرات سایبری سازمان شامل تشخیص بهنگام رخدادهای سایبری، همراه با آگاهی از تهدیدات و آسیب پذیری‌های جاری خاصِ آن نوع سازمان و پیامدهای مرتبط است. تحلیل، جمع آوری و یكپارچه نمودن داده‌های مربوط به مخاطرات از منابع مختلف و شركت در به اشتراك گذاری اطلاعات مربوط به تهدیدات با شركا، به سازمان در شناسایی و پاسخ به رخدادها كمك كرده و این اطمینان را حاصل می‌كند كه فعالیت‌هایی كه برای محافظت از سازمان انجام می‌شود متناسب با مخاطره است.

Share

تماس با SecureNSS

آیا سوالی دارید؟ احتیاج به مشاوره و راهنمایی دارید؟

در مورد هر موضوعی به ما ایمیل بزنید و همان لحظه پاسخ خود را در یافت نمایید.

ایمیل ارتباطی با ما

ایمیل ارتباطی با ما[email protected]

اهداف SecureNSS

 ما با جدیت تلاش می کنیم که رویکرد امنیت در شبکه های کامپیوتری را با  تجزیه و تحلیل نقاط قوت و ضعف برای تسریع پیشرفت های آینده بهبود ببخشیم

SecureNSS

Scroll to Top