با مدیریت ریسک سایبری، اشتباهات رایج را کشف کنید

عناصرکلیدی برای یک‌استراتژی مدیریت‌ریسک سایبری‌موفق

در این مصاحبه Help Net Security، Yoav Nathaniel، مدیرعامل Silk Security، در مورد تکامل استراتژی‌ها و شیوه‌های مدیریت ریسک سایبری، کشف اشتباهات رایج و برجسته کردن مؤلفه‌های کلیدی برای حل موفقیت‌آمیز ریسک بحث می‌کند.

ناتانیل پیش‌بینی می‌کند فشار فزاینده‌ای بر سازمان‌ها برای اجرای برنامه‌های مدیریت ریسک سایبری موثر، تحت تأثیر مقرراتی مانند قانون افشای امنیت سایبری SEC، اعمال شود.

رویکرد حل و فصل ریسک سایبری در چند سال گذشته چگونه تکامل یافته است؟

برای بیش از ۲۵ سال، متخصصان امنیت سایبری به طور سیستماتیک به صفحات گسترده، ایمیل‌ها و ارزیابی‌های دستی گسترده ریسک برای حل خطرات سایبری بر اساس تأثیر و احتمال بهره‌برداری از آن‌ها متکی بودند. در طول چند سال گذشته، محل کار شرکت‌ها و ردپای فناوری اطلاعات به لطف استفاده از ابر، اینترنت اشیا و کار از خانه، به توزیع و پویایی‌تر تبدیل شده است.

تیم‌های امنیتی با فوریت روزافزون در حال مدرن سازی قابلیت‌های خود هستند. نتایج اسکن تلفیقی، مدل‌های اولویت‌بندی خودکار مبتنی بر ریسک، مسئولیت‌پذیری اجرایی‌ و گردش‌های کاری ارتباطی که امکان حل سلف‌سرویس توسط صاحبان فناوری اطلاعات توزیع‌شده را فراهم می‌کند، عناصر اساسی این رویکرد جدید هستند. هدف دستیابی و حفظ یک وضعیت امنیتی قابل اندازه گیری و مدیریت است.

در دهه گذشته، ما شاهد ظهور راه‌حل‌های جزئی با تمرکز بر اولویت‌بندی آسیب‌پذیری‌ها با CVE بوده‌ایم. با این حال، رشد پیچیدگی فناوری اطلاعات و انفجار در مقوله‌های مختلف مواجهه، مانند پیکربندی‌های نادرست، خطرات برنامه کد و ریسک‌های هویت، محدودیت‌های آنها را برجسته کرده است. رویکردهای جدیدتر تمام ریسک‌ها و فرآیندهای حل را در یک راه حل جامع متمرکز می‌کند.

شرکت‌ها چه اشتباهات رایجی را در استراتژی‌های حل ریسک سایبری مرتکب می‌شوند؟

رایج‌ترین اشتباه، عدم استانداردسازی فرآیندهای حل ریسک سایبری است که منجر به تکرار تلاش‌های تیم‌های امنیتی مختلف برای اصلاح می‌شود. اگر هر تیمی نیاز به ارائه فرآیند حل ریسک خود داشته باشد، اولویت بندی و پیگیری یافته‌های امنیتی به طور مداوم و دقیق دشوار می‌شود. متمرکز کردن فرآیندهای حل ریسک، شفافیت سازمانی را ایجاد می‌کند و می‌تواند تا ۵۰ درصد از زمان تیم‌های امنیتی را صرفه جویی کند.

یکی دیگر از اشتباهات رایج، عدم اجرای فرآیندهای موثر برای فاکتورسازی زمینه تهدید و زمینه محیطی در اولویت بندی ریسک سایبری است. تکیه بر هر نوع مدلی مانند EPSS کافی نیست. ما امیدواریم که شاخص طلایی را پیدا کنیم که ریسک در نهایت منجر به نقض می‌شود، اما تا آن روز، تیم‌های امنیتی باید به طور کلی چندین لایه از عوامل خطر را برای تعیین ریسک تجاری و ایجاد ارتباطات قابل توجیه ترکیب کنند.

اجزای کلیدی یک استراتژی موثر مدیریت ریسک سایبری چیست؟

مدیریت موثر ریسک سایبری شامل کشف خطرات و انجام کاری فعالانه در مورد آن خطرات است. مانند ماهیچه‌ای است که برای ارزیابی مجدد، حل و فصل و گزارش ریسک‌های اصلی باید به طور منظم تمرین شود. اسکن انواع بیشتری از ریسک‌های فناوری اطلاعات همیشه توصیه می‌شود، اما اجرای فرآیندهای مستمر توزیع‌شده برای حل این خطرات شناسایی‌شده به همان اندازه مهم است. ستون‌های کلیدی حل ریسک، اولویت‌بندی، مالکیت و جریان‌های کاری ارتباطی، و همچنین ردیابی دقیق و گزارش‌دهی جامع از تمام معیارهای مربوطه است.

حل ریسک چالش‌برانگیزترین سفر برای تیم‌های امنیتی است که در محیط‌های توزیع‌شده کار می‌کنند – این همان چیزی است که به عنوان «آخرین مایل امنیت» شناخته می‌شود. رویکردهای جدیدتر شامل یکپارچه‌سازی مدل‌های ریسک و جاسازی جریان‌های کاری با وضوح پیشرفته در سیستم‌های همکاری برای ارتباط مؤثرتر با ذینفعان فناوری اطلاعات تحلیلگران صنعت در گارتنر و فورستر چارچوب‌هایی را فرموله کرده‌اند که مراحل چرخه حیات حل ریسک را در بر می‌گیرد.

فرهنگ سازمانی چگونه بر اثربخشی مدیریت ریسک سایبری تأثیر می‌گذارد؟

مدیریت ریسک سایبری یک ورزش تیمی است – هرکسی باید آگاه باشد و به طور فعال با خطرات بالقوه خود درگیر باشد تا سازمان برنامه‌ای برنده داشته باشد. فرهنگ‌های سازمانی که مسئولیت‌پذیری و شفافیت را در مورد ریسک‌پذیری ترویج می‌کنند، احتمال بیشتری دارد که همه را به کار گیرند. چنین فرهنگ‌هایی پذیرای معیارها و فرآیندهایی هستند که کاهش ریسک سایبری را ترویج می‌کنند.

آیا می‌توانید نمونه‌هایی از موارد موفقیت‌آمیز حل‌وفصل ریسک سایبری و چه چیزی باعث موفقیت آن‌ها شده است؟

موفق‌ترین برنامه‌های حل ریسک، هم‌ترازی اجرایی و هم سطح پایین را در وضعیت امنیتی و ریسک‌پذیری ترکیب می‌کنند. خرید اجرایی، شفافیت در مورد ریسک سایبری و فرآیندهای مقیاس پذیر می‌توانند وضوح را بیش از ۵۰ برابر بهبود بخشند و ده‌ها هزار خطر را در هفته برطرف کنند. نقشه‌برداری دقیق مالکیت فناوری اطلاعات معمولاً بزرگترین مانعی است که سازمان‌ها باید بر آن غلبه کنند و روش‌های خودکاری برای دستیابی به آن وجود دارد. من شخصاً برنامه‌های موفقیت‌آمیز حل خطر سایبری F100 را رهبری کرده‌ام و اکنون بستری را برای همه سازمان‌ها فراهم می‌کنم تا ریسک‌های سایبری خود را به طور مؤثرتری مدیریت کنند.

آینده مدیریت ریسک سایبری را در ۵ تا ۱۰ سال آینده چگونه پیش بینی می‌کنید؟

مقرراتی مانند قانون افشای امنیت سایبری SEC فشار و فوریت را برای سازمان‌ها به منظور اتخاذ برنامه‌های مدیریت ریسک سایبری موثرتر می‌افزاید، یا با عواقب مادی مواجه می‌شوند. ما پیش‌بینی می‌کنیم که حل و فصل ریسک سایبری توجه بیشتری را به خود جلب کند و پلتفرم‌های حل ریسک را برای رسیدگی به این موضوع متحد کنیم.