چه چیزی به فرهنگ امنیت سایبری قوی وارد می شود؟ | دانش مرکز داده

رهبران فناوری اطلاعات به طور گسترده اذعان دارند که فرهنگ امنیت سایبری قوی برای حفظ امنیت سازمان ضروری است. این به عنوان یک تلاش جمعی تعریف می شود که به عنوان دفاع اصلی در برابر تهدیدات سایبری عمل می کند.

با وجود اهمیت فرهنگ امنیت سایبری، سازمان ها با چالش های مختلفی روبرو هستند که به راحتی می تواند آن را تضعیف کند. ITPro امروز “وضعیت امنیت سایبری در سال 2023” مطالعه ای که از 142 متخصص فناوری اطلاعات انجام شد، موارد زیر را نشان داد:

• حدود سه چهارم پاسخ دهندگان محدودیت های بودجه را به عنوان مانع اصلی برای بهبود استراتژی های امنیت سایبری ذکر کردند.
• سی و شش درصد به مسائل مربوط به کارکنان به عنوان چالش اصلی اشاره کردند.
• بیست و یک درصد گزارش کردند که سازمان های آنها هنوز اصل کمترین امتیاز را اجرا نکرده اند.
• سی و شش درصد گفتند که سازمان های آنها اعتماد صفر را اجرا نکرده اند.

مربوط: راهنمای انعطاف پذیری ابر: به حداکثر رساندن امنیت، به حداقل رساندن زمان خرابی

کارکنان ناکافی، بودجه های محدود و عدم رعایت بهترین شیوه های امنیتی، خطر نقض را افزایش می دهد. در مواجهه با این چالش ها، سازمان ها باید جنبه انسانی امنیت را در نظر بگیرند. در حالی که اصطلاح “فرهنگ امنیت سایبری” اغلب به عنوان یک راه حل پیشنهاد می شود، این اصطلاح دقیقاً شامل چه چیزی است و سازمان ها چگونه می توانند با موفقیت آن را پرورش دهند؟

ایجاد فرهنگ مسئولیت پذیری

CISO ها و تیم های امنیتی اغلب مسئولیت ایجاد و اجرای شیوه های امنیتی یک سازمان را بر عهده دارند. واقعیت این است که امنیت واقعی فراتر از این تیم ها است. یک سازمان نمی تواند امن تلقی شود مگر اینکه همه اعضا نقش خود را در حفظ امنیت خود بدانند. این احساس مسئولیت جمعی پایه و اساس فرهنگ امنیت سایبری یک سازمان را تشکیل می دهد.

مربوط: Riksbank سوئد در پی حمله سایبری به مرکز داده Tietoevry به پلیس مراجعه کرد

به گفته Yoav Nathaniel، مدیر عامل Silk Security، فرهنگ امنیت سایبری باید تضمین کند که هر کارمندی در مورد خطرات امنیتی آموزش دیده است و برای مشارکت در تلاش‌های کاهش سطح ریسک مسئول شناخته می‌شود. از آنجایی که هر کارمند در حفاظت از یک سازمان نقش دارد، تیم امنیتی باید به عنوان مربی عمل کند و انتظاراتی را برای فرهنگ امنیت سایبری سازمان تعیین کند. تیم امنیتی باید به هر کارمندی بیاموزد که نه تنها تلاش های فیشینگ و بدافزار را شناسایی کرده و از آن اجتناب کند، بلکه پروتکل های مناسب برای گزارش چنین حوادثی را نیز درک کند.

حتی زمانی که هیچ تهدید فوری وجود ندارد، فرهنگ امنیت سایبری قوی، اقدامات پیشگیرانه را در اولویت قرار می دهد تا صرفاً پاسخ دادن به محض گزارش یک تهدید. برای این منظور، ایگور ولوویچ، معاون استراتژی انطباق در Qmulos، گفت که نظارت مستمر امنیتی و ارزیابی‌های کامل انطباق مهم هستند.

“[A culture rooted in cybersecurity] ولوویچ گفت: شامل ادغام تجزیه و تحلیل داده‌های بی‌درنگ در شیوه‌های امنیت سایبری روزمره است، و تضمین می‌کند که انطباق فقط یک تمرین چک کردن جعبه نیست، بلکه یک فرآیند پویا و مداوم است. “ایجاد این فرهنگ مستلزم تغییر از ارزیابی‌های سنتی و دوره‌ای انطباق به مدلی است که در آن داده‌های انطباق و امنیت به طور مداوم نظارت و تجزیه و تحلیل می‌شوند و امکان شناسایی و اصلاح فوری خطرات را فراهم می‌آورند.”

چه کسی مسئول است؟ و برای چه؟

با تکامل سازمان ها، بسیاری از آنها رویکرد خود را به سمت مدیریت امنیت تغییر داده اند و از ساختارهای متمرکز فناوری اطلاعات به سمت مدل نیروی کار توزیع شده تر حرکت می کنند. ناتانیل توضیح داد: «پیش از این، یک تا سه تیم مسئول تمام فناوری اطلاعات و امنیت بودند، که به این معنی بود که مالکیت و همسویی نسبتاً ساده بود. امروزه، سازمان‌ها ممکن است هزاران برنامه کاربردی را در میان صدها تیم مهندسی بسازند یا دارای بخش‌های بین‌المللی با انواع استانداردهای سیستمی باشند، که در حال تغییر روش امنیت سایبری است.

ناتانیل افزود، هر فردی که با فناوری اطلاعات در تعامل است، ریسک‌های فناوری را معرفی می‌کند، و این امر برای سازمان‌ها برای تعریف استراتژیک مالکیت و مسئولیت‌های ریسک فناوری اطلاعات ضروری است. «مالکیت ریسک به‌خوبی تعریف‌شده می‌تواند تسهیل و تفویض ریسک‌ها به صاحبان واقعی‌شان را برای تیم‌های امنیتی بسیار آسان‌تر کند.»

با این اوصاف، CISO و تیم‌های امنیتی اغلب در توسعه بهترین شیوه‌های امنیتی و آموزش کارکنان در مورد چگونگی شناسایی و اجتناب از تهدیدات حیاتی هستند. کارکنان اغلب به عنوان ضعیف ترین حلقه در امنیت یک سازمان در نظر گرفته می شوند، به همین دلیل است که آنها باید یاد بگیرند که ایمیل های مخرب را تشخیص دهند و گزارش دهند، داده های حساس را رمزگذاری کنند، از رمزهای عبور قوی استفاده کنند و از تهدیدات امنیتی ابری در حال تحول مطلع باشند.

علاوه بر آموزش، القای احساس مسئولیت اجتماعی در امنیت سایبری ضروری است. این بهترین زمانی حاصل می شود که کارکنان احساس کنند مورد احترام، حمایت و مشارکت در کارشان هستند.

در حالی که تیم های امنیتی مسئول شناسایی، کاهش و اتخاذ اقدامات پیشگیرانه در برابر خطرات سایبری هستند، مسئولیت آن ها در اختیار داشتن ریسک کلی سازمان نیست. بسیاری از CISO ها قبل از اینکه وارد این نقش شوند، به دنبال خرید اجرایی هستند تا اطمینان حاصل کنند که از آنها انتظار نمی رود که مسئولیت ها و تعهدات امنیت سایبری را به تنهایی بر عهده بگیرند.

ناتانیل خاطرنشان کرد: از آنجایی که CISO ها برای جلوگیری از نقض و پیروی از مقررات در حال تغییر با فشار فزاینده ای مواجه هستند، برخی از CISO ها درخواست پوشش مسئولیت مدیران و افسران (D&O) دارند. CISO ها همچنین به دنبال “پاسخگویی در سطح سازمان هستند که با ریسک پذیری هیئت مدیره هماهنگ باشد.”

اطمینان از رعایت قوانین

حتی زمانی که کارکنان امنیتی تلاش می کنند تا آموزش کافی به کارکنان ارائه دهند، ناگزیر چالش هایی پیش می آید. بسیاری از سازمان ها نمی توانند زمان یا منابع کافی را به آموزش مداوم امنیت سایبری اختصاص دهند. برخی از کارمندان ممکن است زمانی که از آنها خواسته می‌شود به شیوه‌ای متفاوت درگیر فناوری اطلاعات شوند، در برابر تغییرات مقاومت کنند، در حالی که برخی دیگر ممکن است اصلاً به امنیت سایبری علاقه نداشته باشند. ممکن است برخی از کارمندان به دلیل شکاف دانش فناوری یا موانع زبانی، آموزش را غیرقابل دسترس بدانند.

به گفته کارشناسان صنعت، یک راه موثر برای موثرتر کردن آموزش امنیتی، ادغام آن در کارهای روزمره است. هنگامی که کارکنان امنیت سایبری را به عنوان بخشی جدایی ناپذیر از شغل خود به جای یک جلسه آموزشی اجباری یک روزه درک می کنند، به احتمال زیاد سرمایه گذاری شخصی و مسئولیت فردی را احساس می کنند.

سازمان‌ها در حال اتخاذ تکنیک‌های آموزشی هستند که به روش‌های مختلف یادگیری پاسخ می‌دهد. به عنوان مثال می توان به گیمیفیکیشن آموزش فیشینگ و بدافزار اشاره کرد. با ترکیب عناصر طراحی بازی مانند سیستم امتیاز، نشان‌ها، سطوح، روایت‌ها، مطالعات موردی و سناریوهای «چه کار می‌کنی»، آموزش گیمیفی‌شده، شیوه‌های امنیت سایبری را برای بسیاری از کاربران لذت‌بخش‌تر می‌کند. رویکرد گیمیفیکیشن به ماهیت رقابتی شرکت‌کنندگان کمک می‌کند و ممکن است شامل ویدیوهای تعاملی، حملات فیشینگ شبیه‌سازی‌شده، پازل‌ها و فعالیت‌های نقش‌آفرینی باشد.

اهمیت خرید اجرایی

رهبری مسئول شکل‌دهی و تجسم ارزش‌های یک سازمان است، بنابراین مقامات بالاتر باید امنیت سایبری را در اولویت قرار دهند و شیوه‌های امنیتی را در آنچه می‌گویند و انجام می‌دهند الگوبرداری کنند. فراتر از تاکید بر اهمیت امنیت سایبری از طریق اقدامات و ارتباطات، رهبری باید مایل به تخصیص بودجه برای ابتکارات امنیت سایبری باشد که معمولاً گران هستند. حمایت مالی تضمین می کند که تیم های امنیتی به اندازه کافی پرسنل، آموزش دیده و پشتیبانی می شوند و خطر فرسودگی شغلی را کاهش می دهد.

رهبری همچنین لحن را در مورد مسائل شفافیت و انطباق با مقررات تعیین می کند. با همکاری تیم‌های امنیتی، رهبری باید انتظارات روشنی در مورد درخواست‌های انطباق ایجاد کند و پروتکل‌هایی را برای نظارت بر انطباق اجرا کند. این پروتکل ها ممکن است شامل انجام ممیزی های منظم، اجرای کنترل های امنیتی و استفاده از فناوری های تشخیص تهدید باشد.

در صورت رخنه، رهبران باید آماده باشند تا فوراً مردم را در مورد هر گونه داده در معرض خطر آگاه کنند. ارتباطات شفاف اعتماد را با ذینفعان در طول زمان تقویت می کند و به تیم های امنیتی سیگنال می دهد که رهبری مسئولیت جمعی را می پذیرد. این رویکرد تضمین می‌کند که مقامات بالاتر از پذیرش مسئولیت پس از نقض معاف نیستند، و تعهد سازمان به امنیت سایبری را بیشتر تقویت می‌کند.