> 
مدیران ارشد امنیت اطلاعات باید آموزش پرسنل را در توسعه استراتژی امنیتی در نظر داشته باشند
مدیران ارشد امنیت اطلاعات (CISO) برای ایمن سازی شبکه های خود با مشکلات زیادی مواجه اند. با توزیع بیشتر شبکه های شرکتی و افزایش پیچیدگی آن ها، حملات سایبری نیز بیش از پیش پیچیده تر می شود. علاوه بر این یافتن نخبگان امنیتی هم سخت تر می شود و استراتژی های امنیتی هم تکامل می یابند.
در این آشفتگی ها، مدیران ارشد امنیت اطلاعات ناچارند زمان و منابع محدودی که در اختیار دارند را برای دستیابی به حداکثر امنیت ممکن برای شبکه های خود اولویت بندی کنند.
این چالش پیچیده در نظرسنجی Forbes Insights با نام «انتخاب های سخت: مدیران ارشد امنیت اطلاعات چگونه تهدیدات رو به رشد و منابع محدود را مدیریت می کنند؟» که با همکاری فورتی نت انجام شد مورد بررسی قرار گرفت. در این نظرسنجی که بیش از 200 مدیر ارشد امنیت اطلاعات اولویت های خود را بیان کردند، چالش های پیش روی این افراد مشخص شد که از جمله آن ها می توان به کمبود بودجه برای امنیت و برتری مجرمین سایبری نسبت به امکانات محافظت از شبکه اشاره کرد.
این نظرسنجی به عوامل دخیل در این چالش می پردازد و پس از آن راه هایی را مورد بررسی قرار می دهد که مدیران ارشد امنیت اطلاعات بتوانند از طریق آن ها پاسخگوی چالش ها باشند. اگرچه در این گزارش اقدامات زیادی برای مدیران ارشد امنیت اطلاعات پیشنهاد شده است اما یکی از صریح ترین اقداماتی که برای بهبود وضعیت امنیت سازمان می توان انجام داد، اولویت دادن به آموزش و ایجاد فرهنگ کنشگرایانه امنیت سایبری در استراتژی امنیتی است.
چالش های امنیت سایبری در سطح کارکنان
بنابر یافته های این گزارش، 35 درصد از مدیران ارشد امنیت اطلاعات فقدان استراتژی امنیتی متمرکز و عدم پشتیبانی هیئت مدیره را به عنوان مهمترین عوامل محدود کننده امنیت کارآمد عنوان کردند. اما با بررسی دلایل فقدان استراتژی متمرکز به نظر می رسد مشکل از لایه کارکنان آغاز می شود (هم کارکنان آی تی و هم کارکنان عمومی کسب و کارهای مختلف).
کمبود مهارت
مدیران ارشد امنیت اطلاعات با تأثیرات کمبود مهارت های امنیت سایبری مواجه اند. به نقل از مرکز مطالعات استراتژیک و بین المللی، 82 درصد از کارکنان مدعی اند که در حال حاضر در سازمان خود از کمبود مهارت های امنیت سایبری رنج می برند. این کمبود مانعی برای توسعه رویکرد استراتژیک تر به برنامه های امنیتی سایبری و همچنین هماهنگ شدن آن ها با تهدیدات جدید شده است.
به دلیل این که کمبود مهارت باعث می شود تیم های آی تی و امنیتی نتوانند از استراتژی امنیتی مبتنی بر ممانعت از تهدید ، به سمت استراتژی متمرکز بر تشخیص و پاسخ حرکت کنند، تیمی های امنیتی شان به جای استفاده از هوش تهدید و ابزارهای پیشرفته برای شناسایی و پاسخگویی به آسیب پذیری های ناشناخته و حملات zero-day، همچنان بر روی کارهایی متمرکز می مانند ، که هدفشان جلوگیری از تهدیدات فعلی است.
سهم اداری
عوامل ذکر شده تنها بخشی از این چالش اند. امنیت سایبری تنها مسئولیت تیم آی تی نیست. تیم های آی تی و امنیتی حتی اگر منابع کافی داشته باشند بدون مشارکت هیئت مدیره یا خطوط شغلی مختلف نمی توانند فراتر از رویکرد تاکتیکی عمل کنند.
یکی از بزرگترین چالش هایی که پیرامون شبکه رخ می دهد، تهدیدات داخلی یا به اصطلاح تهدیدات اینسایدر (Insider) است. با نگاه به لیست ابتکارات امنیتی مدیران ارشد امنیت اطلاعات می بینیم که جلوگیری، تشخیص و پاسخگویی به تهدیدات داخلی در میان اولویت های بالا قرار دارند. مدیریت تهدیدات و ریسک های داخلی، به خصوص رویدادهای ناخواسته (مانند کلیک بر روی لینک فیشینگ، استفاده از رمز عبور ضعیف یا ورود تجهیزات ناامن به شبکه)، زمان و منابع زیادی را از تیم امنیتی می گیرد، در حالی که بهتر است این زمان صرف مدیریت تهدیدات منابع خارجی گردد. برای رفع این مشکل کارکنان اداره باید با یادگیری نحوه جلوگیری از تاکتیک های رایج حمله و کمک به تیم های امنیتی برای توسعه رویکردی کارآمد به امنیت سایبری، نقشی فعال تر در امنیت سایبری داشته باشند.
قرار دادن کارکنان در کانون استراتژی امنیت سایبری
مدیران ارشد امنیت اطلاعات با قرار دادن توسعه کارکنان در کانون استراتژی امنیت سایبری خود به تیم هایشان کمک می کنند به شکل کارآمدتری عمل کنند و در عین حال رویکردی جامع و استراتژیک تر به محافظت از شبکه داشته باشند.
برای انجام این کار چند راه کلیدی به شرح زیر وجود دارد:
به دلیل این که کمبود مهارت پابرجاست، مدیران ارشد امنیت اطلاعات باید از فراهم سازی فرصت آموزش بیشتر در زمینه به کارگیری، پیکربندی و مدیریت ابزارهای امنیتی پیشرفته و همچنین شناسایی و پاسخگویی به تهدیدات نوظهور برای تیم امنیتی خود اطمینان حاصل کنند. انجام این کار برای تغییر تمرکز تیم امنیتی بر روی جلوگیری از تهدید به تمرکز، بر روی تشخیص و رفع تهدید بسیار مهم است. مهارت در این نوع ابزارهای یکپارچه، دید تیم های آی تی به نحوه استفاده از داده ها و حرکت آن ها در شبکه و همچنین امکانات ساده مدیریت و آنالیز را گسترش می دهد. این مسأله از اهمیت بسیار زیادی برخوردار است چون با گسترش بیشتر شبکه ها، تشخیص و رفع مشکل بسیار مهم می شود.
علاوه بر این کمبود مهارت بدین معناست که شانس سازمان ها برای استخدام افراد مجرب در این زمینه بسیار کم است و در نتیجه مجبورند بر روی توسعه مهارت های تیم خود متمرکز شوند. برای ساده تر کردن این کار، مشتریان فورتی نت از طریق برنامه NSE (کارشناس امنیت شبکه) به آموزش های دقیق و عملی مجموعه محصولات ما و همچنین اصول امنیتی بنیادی دسترسی دارند. برنامه NSE شامل هشت دوره آموزشی می شود که درک چشم انداز تهدید و تکامل امنیت سایبری تا توانایی در پیکربندی، نصب و عیب یابی محصولات جامع امنیتی را پوشش می دهد. مدیران ارشد امنیت اطلاعات با سرمایه گذاری بر روی آموزش های امنیتی این چنینی مطمئن خواهند بود که هنگام نیاز به موقعیت شغلی در این زمینه از کارکنان داخلی استفاده می شود و به تأمین نیروی امنیتی ویژه کمک خواهد شد.
بکارگیری اتوماسیون
یکی دیگر از راه های افزایش بازده تیم های امنیتی توسط مدیران ارشد امنیت اطلاعات این است که به این تیم ها زمان داده شود تا بر روی استراتژی متمرکز شوند. یکی از راه های انجام این کار استفاده از محصولات امنیتی است که با هوش مصنوعی و یادگیری ماشین، از اتوماسیون گسترده پشتیبانی می کنند. حملات سایبری با سرعت بسیار بالایی انجام می شوند (بدین معنا که تیم امنیتی شما نمی تواند به تنهایی خود را با تهدید یا حتی اقدامات ابتدایی رفع تهدید هماهنگ کند. محصولات خودکار می توانند پاسخگوی فعالیت های مختلف و تهدیدات شناخته شده ای باشند که به دنبال نفوذ به شبکه اند (و به تیم های امنیتی هم کمک می کنند بر روی استراتژی و اقدامات رفع تهدید متمرکز شوند). برای مثال به جای این که تیم های امنیتی آن ها دائماً بر روی تشخیص تهدیدات داخلی احتمالی کار کنند می توانند برای پی بردن به رفتارهای عادی کارکنان و واکنش به تغییر رفتار آن ها از یادگیری ماشین استفاده کنند. علاوه بر این می توان کارهای کوچک مانند مدیریت موجودی و پچ کردن را نیز به آن واگذار کرد تا زمان افراد برای تمرکز بر روی فعالیت های مهم تر آزاد شود.
توسعه فرهنگ سایبر-آگاه
هنگامی که در مورد اولویت های امنیتی پنج سال بعد از مدیران ارشد امنیت اطلاعات سؤال شد، بیشترین پاسخ «ایجاد فرهنگ امنیت» بود. ایجاد فرهنگ امنیت مستلزم آموزش امنیت سایبری به کارکنان خطوط شغلی مختلف است. مدیران ارشد امنیت اطلاعات علاوه بر حصول اطمینان از توانایی کارکنان در تشخیص حملات فیشینگ یا اطلاع از نحوه به روزرسانی اپلیکیشن ها، باید همکاری میان بخش های مختلف و تیم امنیتی را نیز گسترش دهند. با این کار تهدیدات داخلی غیرعمدی کاهش و همکاری کلی در برنامه امنیتی افزایش می یابد. تضمین آگاهی خطوط شغلی از استراتژی امنیتی و رضایت از کار با تیم آی تی در راستای سیاست های امنیتی به مشارکت در کل سازمان کمک می کند.
مدیران ارشد امنیت اطلاعات با تمرکز بر روی آموزش کارکنان و افزایش توانایی آن ها برای انجام کارهای امنیتی ابتدایی، مانند به روزرسانی دستگاه ها، شناسایی رفتارهای مشکوک و رفتارهای سایبری امن در تیم ها می توانند به استراتژی امنیتی جامعی دست یابند که در مقابل تهدیدات پیشرفته امروزی پابرجاست.
نتیجه
مدیران ارشد امنیت اطلاعات برای ایمن سازی شبکه های توزیع شده در مقابل تهدیدات پیشرفته با منابع محدودی که در اختیار دارند با چالش جدی مواجه اند. مدیران ارشد امنیت اطلاعات با تمرکز بر روی توسعه کارکنان و افزایش توانایی و مشارکت آن ها می توانند استراتژی امنیتی متمرکزی تدوین کنند که سبب همکاری آن ها گردد و تیم های امنیتی را از کارهای تاکتیکی انفعالی به اقدامات کنش گرایانه و استراتژیک تر هدایت کند.
برای اطلاعات بیشتر در مورد این که مدیران ارشد امنیت اطلاعات چگونه می توانند مهارت های امنیتی در تیم آی تی را از طریق برنامه های NSE Institute فورتی نت را گسترش دهند به این لینک مراجعه نمایید.
برای اطلاعات بیشتر در مورد این که مدیران ارشد امنیت اطلاعات چگونه می توانند پاسخگوی چالش امنیت سایبری مدرن باشند به گزارش کامل Forbes Insights در این لینک مراجعه نمایید.
دفتر تهران 