NISTا (انستیتوی ملی استاندارد و چارچوب امنیت سایبری فناوری) مدیریت ریسک امنیت سایبری را به پنج کارکرد سطح بالا سازماندهی می‌کند: شناسایی، محافظت، کشف، پاسخ و بازیابی.

موردی که در بخش شناسایی قرار گرفته‌ است، دسته‌ای با عنوان “محیط کسب و کار” دارد که به توانایی سازمان در اطلاع‌رسانی در مورد نقش‌ها، مسئولیت‌ها و تصمیمات مربوط به مدیریت ریسک با درک و اولویت‌بندی دقیق در خصوص ماموریت، اهداف، ذی‌نفعان و فعالیت‌های تجاری خود اشاره دارد. به طور خلاصه، نیازهای خاص مشاغل باید گرداننده برنامه امنیتی شبکه باشد.

اگر برنامه امنیتی شما متناسب با ماهیت شرکت شما و آنچه شرکت شما انجام می‌دهد نباشد، سازمان شما موظف است کارهایی را در جهت حفظ امنیت خود انجام دهد. ما به این مشکل تحت عنوان امنیت صاف (flat security) اشاره می‌کنیم. در مقابل، برنامه‌های امنیتی کامل، شامل بخش فیزیکی و سایبری است، که سطوح مختلف کنترل (و سطوح مختلف هزینه) را بر اساس بررسی مستمر در محیط کسب و کارشان در نظر گرفته و به کار می‌گیرند.

متأسفانه، بسیاری از شرکت‌ها (حتی اکثر آن‌ها) نتوانسته‌اند به این نتیجه در چارچوب NIST برسند. یافته‌های یک بررسی مدیریت عملکردی را در نظر بگیرید که در آن تنها 14 درصد از کارمندان به درستی از استراتژی و جهت کلی شرکت خود استفاده کرده‌اند.

اگر این مشخصه‌ها در درون سازمان شما وارد شود، خوب است بپرسید که پرسنل امنیتی فناوری ‌اطلاعات شما، گروه کوچکی از کارکنان آشنا و مطلع هستند یا درعوض، حدود 9 نفر از 10 کارمندی هستند که به طور کامل از اهداف کلان شرکت شما – و جبران خسارت آن‌ها – به طور کامل آگاهی ندارند. رهبری ارشد و هیئت مدیره نیز در این مساله چندان اطلاعاتی ندارند. آیا کسی در شرکت شما از طریق توسعه مشاغل، ممیزی یا نقش ریسک، استراتژی امنیتی شما را بررسی کرده است تا اطمینان حاصل کند که برای تأمین خواسته‌های مختلف تجاری (شامل الزامات قانونی) به منظور محافظت از محرمانه بودن، یکپارچگی و در دسترس بودن در مواردی که حائز اهمیت است، سفارشی‌سازی شده است؟

چارچوب NIST راهنمایی در مورد چگونگی دستیابی به این هم‌ترازی و تنظیم ارائه می‌دهد و از بالاترین سطح آغاز می‌کند. یک شرکت نه تنها باید اولویت‌ها و اهداف ماموریت خود را در رابطه با کنترل‌های امنیتی که از اهمیت بیشتری برخوردار است، برقرار نماید و سپس ارتباط برقرار کند، بلکه باید این اولویت‌ها و اهداف را در مواردی که با زیرساخت‌های حیاتی یا بخش‌های صنعت نیز متناسب است، برقرار نماید و وابستگی‌های آن، عملکردهای مهم و الزامات تاب‌آوری برای محافظت و ارائه خدمات اصلی آن؛ و نقش آن در زنجیره تأمین را نیز لحاظ کند.

همه ما می‌دانیم که امنیت کامل در یک سازمان اتفاقی دست نیافتنی است و میزان پولی که در این حوزه هزینه می‌شود، انتها ندارد. خوشبختانه مدیریت ریسک خوب در عوض بر امنیت هوشمندانه متمرکز است که در صورت اجرای صحیح، توسط محیط تجاری شما هدایت و گرداننده می‌شود.