NISTا (انستیتوی ملی استاندارد و چارچوب امنیت سایبری فناوری) مدیریت ریسک امنیت سایبری را به پنج کارکرد سطح بالا سازماندهی میکند: شناسایی، محافظت، کشف، پاسخ و بازیابی.
موردی که در بخش شناسایی قرار گرفته است، دستهای با عنوان “محیط کسب و کار” دارد که به توانایی سازمان در اطلاعرسانی در مورد نقشها، مسئولیتها و تصمیمات مربوط به مدیریت ریسک با درک و اولویتبندی دقیق در خصوص ماموریت، اهداف، ذینفعان و فعالیتهای تجاری خود اشاره دارد. به طور خلاصه، نیازهای خاص مشاغل باید گرداننده برنامه امنیتی شبکه باشد.
اگر برنامه امنیتی شما متناسب با ماهیت شرکت شما و آنچه شرکت شما انجام میدهد نباشد، سازمان شما موظف است کارهایی را در جهت حفظ امنیت خود انجام دهد. ما به این مشکل تحت عنوان امنیت صاف (flat security) اشاره میکنیم. در مقابل، برنامههای امنیتی کامل، شامل بخش فیزیکی و سایبری است، که سطوح مختلف کنترل (و سطوح مختلف هزینه) را بر اساس بررسی مستمر در محیط کسب و کارشان در نظر گرفته و به کار میگیرند.
متأسفانه، بسیاری از شرکتها (حتی اکثر آنها) نتوانستهاند به این نتیجه در چارچوب NIST برسند. یافتههای یک بررسی مدیریت عملکردی را در نظر بگیرید که در آن تنها 14 درصد از کارمندان به درستی از استراتژی و جهت کلی شرکت خود استفاده کردهاند.
اگر این مشخصهها در درون سازمان شما وارد شود، خوب است بپرسید که پرسنل امنیتی فناوری اطلاعات شما، گروه کوچکی از کارکنان آشنا و مطلع هستند یا درعوض، حدود 9 نفر از 10 کارمندی هستند که به طور کامل از اهداف کلان شرکت شما – و جبران خسارت آنها – به طور کامل آگاهی ندارند. رهبری ارشد و هیئت مدیره نیز در این مساله چندان اطلاعاتی ندارند. آیا کسی در شرکت شما از طریق توسعه مشاغل، ممیزی یا نقش ریسک، استراتژی امنیتی شما را بررسی کرده است تا اطمینان حاصل کند که برای تأمین خواستههای مختلف تجاری (شامل الزامات قانونی) به منظور محافظت از محرمانه بودن، یکپارچگی و در دسترس بودن در مواردی که حائز اهمیت است، سفارشیسازی شده است؟
چارچوب NIST راهنمایی در مورد چگونگی دستیابی به این همترازی و تنظیم ارائه میدهد و از بالاترین سطح آغاز میکند. یک شرکت نه تنها باید اولویتها و اهداف ماموریت خود را در رابطه با کنترلهای امنیتی که از اهمیت بیشتری برخوردار است، برقرار نماید و سپس ارتباط برقرار کند، بلکه باید این اولویتها و اهداف را در مواردی که با زیرساختهای حیاتی یا بخشهای صنعت نیز متناسب است، برقرار نماید و وابستگیهای آن، عملکردهای مهم و الزامات تابآوری برای محافظت و ارائه خدمات اصلی آن؛ و نقش آن در زنجیره تأمین را نیز لحاظ کند.
همه ما میدانیم که امنیت کامل در یک سازمان اتفاقی دست نیافتنی است و میزان پولی که در این حوزه هزینه میشود، انتها ندارد. خوشبختانه مدیریت ریسک خوب در عوض بر امنیت هوشمندانه متمرکز است که در صورت اجرای صحیح، توسط محیط تجاری شما هدایت و گرداننده میشود.