چرا کسب و کارهای موفق بر پایه امنیت بنا شده‌اند؟

مدیران شرکت‌ها باید شدت ریسک سایبری را تشخیص دهند، آگاهی را به عمل تبدیل کنند و امنیت را در اولویت و مرکز توجه قرار دهند.
این روزها برای بسیاری از مدیران کسب و کارها، دوران پراسترسی است. در این شرایط، متوقف کردن سرمایه گذاری ها، اجرای سیاست هایی برای کاهش هزینه بی دلیل نیست اما دلایل متعددی وجود دارد که چرا امنیت سایبری نباید جزو این موارد باشد.
به عنوان یک مدیر فناوری اطلاعات یا امنیت، حتما از قبل می‌دانید که چرا. اما آیا مدیرعامل یا هیئت مدیره سازمان هم اهمیت این موضوع را می دانند؟ تحقیقات نشان می‌دهد که تنها ۲۹٪ از مدیران ارشد امنیت اطلاعات معتقدند که بودجه کافی برای دستیابی به اهداف امنیتی خود دارند. در عین حال، ۴۱٪ از اعضای هیئت مدیره فکر می‌کنند بودجه‌ها مناسب هستند. اگر چنین شکافی در سازمان شما وجود دارد، وقت آن است که استدلال قوی‌تری برای امنیت سایبری ارائه دهید.

کسب‌وکارهای کوچک و متوسط هنوز در حال رویارویی با خطرات هستند

امنیت سایبری مطمئناً در سطوح ارشد بهتر از گذشته درک می‌شود. اما هنوز هم به عنوان یک مرکز هزینه به جای یک ضرورت استراتژیک، به ویژه در کسب‌وکارهای کوچک و متوسط، دیده می‌شود. طبق گزارش انجمن جهانی صنعت فناوری (GTIA)، تقریباً نیمی (۴۶٪) از شرکت‌های کوچک و متوسط، فضای سایبری را تنها به عنوان یک حوزه با «اهمیت متوسط» توصیف می‌کنند. ۱۲٪ دیگر از پاسخ‌دهندگان SMB اذعان دارند که هنوز در حالت tactical/reactive هستند. به عبارت دیگر، آنها دائماً در حال خاموش کردن آتش و خنثی کردن خطرات و آسیب ها هستند، به جای اینکه از ابتدا زمان و هزینه خود را صرف متوقف کردن حملات کنند.
بهتر است، به طور واضح بیان کنید که چگونه امنیت سایبری می‌تواند به سازمان کمک کند تا از ریسک بالقوه بحرانی جلوگیری کند و همچنین با قاطعیت بیشتری از فضای سایبری به عنوان یک عامل توانمندساز در سازمان حمایت کنید.

محاسبه ناکافی هزینه امنیت سایبری

هزینه های پیاده سازی راهکارهای امنیت سایبری را در مقابل ضررهای ناشی از یک حمله مقایسه کنید.
شرکت M&S پیش‌بینی می‌کند که سود عملیاتی از دست رفته ناشی از حمله اخیر باج‌افزاری که سیستم‌های تجارت الکترونیک آن را برای چند هفته آفلاین کرد، 300 میلیون پوند خواهد بود.
گروه UnitedHealth هزینه حمله باج‌افزاری به Change Healthcare را در سال 2024 نزدیک به 2.9 میلیارد دلار تخمین می‌زند.
National Public Data، پس از نقض امنیتی در سال 2024 که نزدیک به سه میلیارد رکورد را افشا کرد، مجبور به اعلام ورشکستگی شد.
گزارش هزینه نقض داده‌ها از منابع معتبر نه تنها میانگین هزینه هر نقض (۴.۴ میلیون دلار) را مشخص می‌کند، بلکه میزان سرمایه‌گذاری‌های خاص فناوری یا استراتژی‌های امنیت سایبری را که می‌توانند از این مبلغ بکاهند، نیز نشان می‌دهد. نکته اصلی این است که هرچه به عوامل تهدیدکننده اجازه داده شود مدت طولانی‌تری در شبکه شما باقی بمانند، هزینه آن می‌تواند بیشتر شود. بنابراین محصولاتی امنیتی جامع دارای ماژول هوش تهدید، از نظر صرفه‌جویی در هزینه بالقوه رتبه بالایی دارند.

تبدیل از یک هزینه به یک عامل مهم در توانمندی سازمان

اگر خطر آسیب مالی و اعتباری برای تغییر درک امنیت سایبری در سازمان کافی نیست، شاید بحث انطباق به حل این گفتگوها کمک کند.
چگونه می‌توان مدیرانی را که باور ندارند سازمانشان آنقدری بزرگ نیست که قربانی نقض امنیتی شود، متقاعد کرد که امنیت «به اندازه کافی خوب» واقعاً به اندازه لازم کارا نیست؟ با توجه به نکات زیر می‌توان گفت که یک استراتژی امنیت سایبری مؤثر می‌تواند:

• به محافظت از مالکیت معنوی و تمایز رقابتی کمک می شود. این امر به ویژه در بخش‌های خاصی مانند تولید، فناوری و رسانه اهمیت خواهد داشت.
• امکان گسترش به بازارهای جدیدی با مقررات سختگیرانه‌، فراهم می شود.
• از تحول دیجیتال محافظت میشود. اگر سازمان دچار یک حمله سایبری بحرانی شود، ممکن است پروژه‌ها را متوقف کند، منابع را منحرف کند، اعتماد ذینفعان را از بین ببرد و باعث تغییر اولویت‌های تجاری شود.
• با ارائه محصولات نوآورانه به بازار، به ایجاد وفاداری مشتری و افزایش سود کمک می شود. امروزه همه شرکت‌ها تا حدودی شرکت‌های نرم‌افزاری هستند. اما اگر یک محصول ناامن منتشر کنند، ممکن است اعتبار و وفاداری مشتری را از بین ببرد.

پیام و پیام‌رسان

فرض کنید شما ایده‌های درستی دارید، اما هیئت مدیره هنوز قانع نشده است. مشکل چه می‌تواند باشد؟ مدیران کسب‌وکار اغلب از نظر فرهنگی مستعد هستند که فضای سایبری را به عنوان یک «مسئله فناوری اطلاعات» جدا از کار جدی اداره یک سازمان در نظر بگیرند. اما از طرف دیگر، گاهی اوقات مدیران ارشد امنیت اطلاعات می‌توانند با عدم توضیح و شفاف سازی کافی، هدف خود را تضعیف کنند.
برای غلبه بر این چالش، موارد زیر را در نظر بگیرید:

• قرار دادن امنیت سایبری به عنوان یک ریسک تجاری؛ کنار گذاشتن اصطلاحات فنی و صحبت در مورد تأثیر تجاری سناریوهای مختلف.
• استفاده از معیارهای همسو با امور مالی و تجاری به جای معیارهای امنیت محور.
• استفاده از مثال‌های دنیای واقعی و داستان‌های هشداردهنده (مانند موارد ذکر شده).
• قرار دادن وضعیت امنیتی سازمان خود در چارچوب. به عبارت دیگر، از اطلاعات در مورد اینکه شرکت‌های مشابه در چه چیزی سرمایه‌گذاری می‌کنند و چرا، و چه چیزی به دست آورده‌اند، استفاده کنید. این کار به مدیران کمک می‌کند تا بفهمند که در کجا ممکن است عقب بمانید.
• کوتاه اما مرتب به مدیران تصمیم گیرنده گزارش دهید. نباید میزان داده ها زیاد باشد، بنابراین ارائه‌ها کوتاه و مختصر، توجه مدیران را بهتر جلب می کند. اما به همان اندازه، چشم‌انداز تهدید آنقدر سریع حرکت می‌کند که به‌روزرسانی‌های منظم مهم هستند.

امن ترین شرکت‌ها، شرکت‌هایی هستند که امنیت سایبری را از یک هزینه برای سازمان به عامل اعتماد و ارزش بلندمدت تغییر می‌دهند.

منبع: 

welivesecurity