سه اولویت برای CISO | امنیت حرفه ای

تام گودوین، متخصص تداوم کسب و کار در شرکت ابر و فناوری اطلاعات مهد کودک، با توجه به تغییر ماهیت کاهش ریسک، سه اولویت را برای CISO ها ارائه می دهد.

نقش CISO در حال تحول است. به طور خاص تر، بیش از هر زمان دیگری برای موفقیت کسب و کار ضروری است. در عصری که چشم‌انداز تهدید در حال گسترش است و حملات سایبری از نظر حجم و پیچیدگی افزایش می‌یابد، چه کسی بیش از سازمان‌هایی که وظیفه حفاظت از آن را بر عهده دارند برای موفقیت یک سازمان مهم‌تر است؟

البته من کمی تعصب دارم. اما چیزی در این ایده وجود دارد. فقط 13 درصد شرکت‌ها در 12 ماه گذشته مورد حمله بدافزار یا باج‌افزار قرار نگرفته‌اند و 83 درصد بیش از یک بار مورد حمله قرار گرفته‌اند. این اعداد کاملاً سرسام آور هستند. آنها در مورد خطراتی که کسب و کارها برای تداوم و یکپارچگی داده ها با آن مواجه هستند صحبت می کنند در زمانی که بیشتر آنها دقیقاً توسط داده ها هدایت می شوند.

با در نظر گرفتن همه اینها، من فکر می کنم سه اولویت اصلی برای CISO – و بنابراین، برای مشاغل به طور کلی – در ماه ها و سال های آینده وجود دارد:

• مقررات در مقابل بیمه: باید درک کرد که مقررات از جایی که شما برای کاهش ریسک نیاز دارید عقب مانده است، و اینکه بیمه نامه ها این ریسک و مسئولیت را دوباره به دستان شما منتقل می کنند.
• مسئولیت فعال: چه این یک حمله سایبری، عدم قطعیت ژئوپلیتیکی یا یک رویداد شدید آب و هوایی باشد، سازمان شما باید فرهنگ انعطاف پذیری عملیاتی را برای زنده ماندن از چشم انداز تهدید در حال تکامل اتخاذ کند.
• سرمایه گذاری در بازیابی: در حالی که یک محیط امنیتی کلیدی است، شما همچنین باید روی خودکارسازی و سازماندهی فرآیندهای بازیابی سرمایه گذاری کنید، زمان بازیابی و اهداف نقطه بازیابی را افزایش دهید، در حالی که به طور همزمان خطای انسانی در بازیابی از نسخه های پشتیبان را کاهش دهید.

بیایید اینها را با جزئیات بیشتری بررسی کنیم.

اولویت شماره 1 CISO: مقررات در مقابل بیمه

طبق ماهیت خود، مقررات اغلب ریسک را دنبال می کند، که عموماً پس از یک حادثه جهانی یا به ویژه تأثیرگذار اعمال می شود. همین امر در امنیت سایبری نیز صدق می کند. و در حالی که در حال حاضر مجموعه ای از مقررات جدید در سراسر جهان در حال اجرا هستند، هنوز شکافی بین آنچه شرکت ها برای کاهش ریسک نیاز دارند و آنچه سیاست دیکته می کند وجود دارد.

این تاخیر اهمیت بیمه را برای پوشش شکاف ها افزایش می دهد، اما دیگر تکیه بر این کافی نیست. برخی از بیمه‌گران اکنون در حال ارزیابی ریسک هستند و به این نتیجه می‌رسند که این شکاف‌ها خیلی بزرگ هستند. این باعث شده است که بسیاری تصمیم بگیرند که انواع خاصی از حملات سایبری را پوشش ندهند. یکی از نمونه های برجسته اخیر لویدز لندن است که اخیراً به اعضای خود دستور داده است که حملات سایبری دولت ملی را از بیمه نامه های بیمه ای که از سال 2023 شروع می شود حذف کنند.

در این شرایط چه کاری می توانید انجام دهید؟ اگر مقررات همچنان ادامه دارد و بیمه‌گران محتاط‌تر می‌شوند (با افزایش حق بیمه‌ها نیز)، من گمان می‌کنم که شاهد این باشیم که سازمان‌های دولتی امور را به دست خود بگیرند. Resilience به نام بازی تبدیل خواهد شد و جای تعجب نیست. پیامدهای مالی هر زمان خرابی و همچنین خطرات برای شهرت برند بسیار زیاد است. اگر این خطرات با تهدید واقعی بیمه نشدن مواجه شوند، مطمئناً بهترین رویکرد ایجاد وضعیت انعطاف پذیری سازمان است.

این با تحقیقات ثابت شده است. گارتنر تخمین می زند که حدود 70 درصد از مدیران عامل تا سال 2025 سرمایه گذاری در انعطاف پذیری سازمانی را به عنوان راهی برای مقابله با خطرات فزاینده ای که کسب و کارها با آن مواجه هستند، الزامی می کنند.

CISO اولویت شماره 2: مسئولیت فعال

بر این اساس، برای اینکه واقعاً انعطاف پذیر شوند، CISO ها باید در رویکرد خود به امنیت سایبری فعال باشند. نکته کلیدی این است که بدانید کسب‌وکار اکنون کجاست، شکاف‌ها کجا هستند و کسب‌وکار می‌خواهد به کجا برسد.

البته، اصلاح و نوسازی شیوه مدیریت و محافظت از محیط‌های ابری می‌تواند یک کار بسیار پیچیده باشد، به خصوص بین بخش‌های مختلف در یک سازمان. بهترین راه برای مدیریت این پیچیدگی، ایجاد یک چارچوب جامع انعطاف‌پذیری است – چارچوبی که شامل فرآیندها و الزامات از پیش تعریف‌شده و گام به گام برای همسویی بیشتر عملکردهای فناوری اطلاعات است.

با توسعه چنین چارچوبی، CISO ها می توانند در مورد امنیت سایبری پیش قدم شوند. این به همه رهبران فناوری اطلاعات کمک می کند تا به انعطاف پذیری بیشتر به شیوه ای استراتژیک و بلند مدت کمک کنند. پیش‌بینی من این است که از آنجایی که ارائه‌دهندگان بیمه در سطح پوششی که مایل به ارائه آن هستند عقب نشینی می‌کنند، CISOها باید این رویکرد پیشگیرانه را اتخاذ کنند تا مسئولیت کاهش ریسک را بر عهده بگیرند.

بعد از چارچوب ها، سرمایه گذاری ها می آیند.

CISO اولویت شماره 3: سرمایه گذاری در بهبود

چارچوب ها فقط به اندازه ابزارهایی که برای پیاده سازی آنها استفاده می کنید مفید هستند. CISO ها باید روی ابزارها و راه حل های اتوماسیون سرمایه گذاری کنند تا اهداف زمان بازیابی قوی تر (RTO) و اهداف نقطه بازیابی (RPO) را تنظیم کنند. اتوماسیون پیچیده همچنین می تواند به کاهش احتمال خطای انسانی و کاهش مشکلات با پشتیبان گیری خودکار و عملکردهای بازیابی کمک کند. تست مداوم و تمرین های شبیه سازی نیز ابزار مهمی در مورد انعطاف پذیری فعال هستند.

این باید برای همه CISO ها در آینده مورد توجه قرار گیرد. سرمایه گذاری در قابلیت های بازیابی تنها راه برای پوشش شکاف های باقی مانده از تورم عقب مانده و تغییر سیاست های بیمه است. تجزیه و تحلیل گارتنر نشان می دهد که این تغییر در رویکرد در حال شکل گیری است، به طوری که 60 درصد از سازمان ها قصد دارند تا سال 2025 از Zero Trust به عنوان نقطه شروع امنیت استفاده کنند و 80 درصد از شرکت ها استراتژی یکسان سازی وب، خدمات ابری و دسترسی برنامه های خصوصی را اتخاذ کنند. از پلت فرم لبه خدمات امنیتی یکپارچه یک فروشنده.

خوراکی های کلیدی

البته با آگاهی دولت ها از اهمیت امنیت سایبری برای سازمان های دولتی و خصوصی، مقررات همچنان وضع خواهد شد. در این میان، CISO ها باید رویکردهای خود را برای حفظ تداوم کسب و کار و از بین بردن رشد، تغییر دهند.

به اعتقاد من، سه نکته کلیدی در اینجا عبارتند از:

• CISO ها باید شکاف های بین مقررات و ریسک و همچنین نحوه تأثیرگذاری این امر بر تصمیمات بیمه گذاران را بشناسند.
• چارچوب های فعال باید توسعه یابد تا مشخص شود این کمبودها چگونه می تواند بر سازمان خود تأثیر بگذارد.
• نیاز به سرمایه گذاری هدفمند در قابلیت های بازیابی، با اتوماسیون و ابزارهای آزمایش پیش نیاز برای انعطاف پذیری موفقیت آمیز وجود دارد.

مطمئناً چالش‌های زیادی برای حل وجود دارد، اما با همکاری و فعال بودن، می‌توانیم با هم به غلبه بر آنها کمک کنیم.