محقق شدن امنیت سایبری ممکن است سخت بنظر برسد اما با حفظ چند مرحله ساده می توان آن را قابل مدیریت نمود و تعیین کرد که سازمان و شرکت در راستای الزامات امنیتی حرکت می کنند.
برنامه ریزی برای شرکت و سازمان اغلب حساسیت بیشتری دارد و عواقب یک برنامه نادرست و نسنجیده می تواند گسترده و شامل ضررهای مالی، آسیب به شهرت و حتی ورشکستگی شود. از آنجایی که کسب و کارها بیشتر به سمت الزامات نظارتی جامع امنیت سایبری و تقویت زنجیره تامین پیش می روند، چالش ها نیز بیشتر می شوند.
در این زمینه امنیت حفاظت از داده ها به اندازه مدیریت ریسک اهمیت دارد. در واقع با افزایش نوآوری هایی مانند هوش مصنوعی و افزایش حجم انواع داده ها انتظار می رود مقررات بیشتری برای کاربران و مسئولین امنیتی در جهت حفاظت از اطلاعات حساس طراحی شده باشد. به منظور سازگاری هر سازمانی باید اقدامات حفاظت از داده های قوی تر را همراه با نظارت و گزارش دهی پیشرفته اجرا کنند.
انطباق – یک درخواست معقول
هر چارچوب نظارت سایبری الزامات خاص خود را دارد، اما همه آنها یک هدف مشترک دارند، محافظت از داده ها در برابر دسترسی غیرمجاز و همچنین نفوذ و سوءاستفاده. خطرات به ویژه در مورد داده هایی نظیر اطلاعات بانکی و داده های پزشکی و مالکیت معنوی سازمان و شرکتها افزایش می یابد.
به دلیل ماهیت پیچیده الزامات امنیتی، هر سازمانی نیاز دارد نسبت به درک کامل کلیه تعهدات امنیتی خود، اطمینان حاصل نماید. این تعهدات بسته به اندازه سازمان، اهداف، مخاطبان و مشتریان، شرکای تجاری، چشم انداز عملیاتی و محل سازمان می تواند متفاوت باشد.
دستیابی به انطباق می تواند یک وظیفه باشد و آنچه روشن است یک چک باکس تنها نخواهد بود. در واقع یک سرمایه گذاری بلند مدت جهت حفاظت از امنیت سازمان است. با این حال هنوز بسیاری از سازمانهای کوچک تا متوسط به اندازه کافی آمادگی مقابله با خطرات امنیت سایبری و آماده سازی نیازمندی های الزامات امنیتی را ندارند.
به زبان ساده زمانی که تهدیدات سایبری رشد می کنند، پیامدهای عینی آمادگی پایین یا تصور غلط از امنیت می تواند اثرات مخرب داشته باشد. آمار و گزارشات هم این موضوع را تایید می کند: براساس گزارش هزینه نقض داده های سال 2024 IBM ، متوسط هزینه نقض داده ها حدود 4.88 میلیون دلار بوده است.
نکته فراموش شده
پیرو اهمیت انطابق در ادامه تعدادی از حوادث بزرگ امنیت سایبری که در صورت در نظر گرفتن قوانین انطباقی و یک چارچوب ساده تا حد زیادی اثرات منفی آنها کاهش می یافت، را بررسی می نماییم :
The Intercontinental Exchange
در سال 2024 موسسه مالی ICE در اثر بی توجهی به زمانبندی های SEC و قوانین SCI متحمل ضرر 10 میلیون دلاری شد. این حادثه مربوط بود به یک آسیب پذیری ناشناخته در تجهیزات VPN بود که به مهاجمان امکان دسترسی به شبکه داخلی را میدهد. SEC متوجه شد که علیرغم اطلاع از نفوذ، مقامات این موسسه تا چند روز به عوامل ذیربط اطلاعی ندادند. بنابراین این موسسه رویه های گزارش دهی رویدادهای سایبری داخلی خود را نقض کرده و شرکت های تابعه ارزیابی درستی از نفوذ نداشتند، در نهایت این کار منجر به شکست سازمان در انجام تعهدات خود شد.
SolarWinds
در سال 2020، گزارش شد که تعدادی از سازمانهای دولتی و شرکتهای بزرگ از طریق نرمافزار Orion SolarWinds مورد نفوذ قرار گرفتهاند. حادثه “SUNBURST” با توجه به تعداد زیادی از قربانیان شامل شرکت ها و دولت های بزرگ به یکی از بدنام ترین حملات زنجیره تامین با تاثیر جهانی تبدیل شد. SEC ادعا می کند که این شرکت نرم افزاری سرمایه گذاران را در مورد اقدامات امنیت سایبری و خطرات شناخته شده خود، گمراه کرده است.
پیامدهای مالی و اعتباری این نقض خیره کننده بود. با بیش از 18000 قربانی و افزایش بالقوه هزینهها به میلیونها دلار برای هر کسب و کار و سازمان تحت تأثیر، این اتفاق مشخص می کند که نادیده گرفتن امنیت و رعایت یک استراتژی، صرفهجویی در هزینه نیست، بلکه یک تعهد است.
Yahoo
در یک رخداد دیگر یاهو به دلیل عدم افشای تخلف در سال 2014 مورد انتقاد قرار گرفت و برای این شرکت 35 میلیون دلار جریمه هزینه به بار آورد. با این حال، داستان به همین جا ختم نشد و با شکایت دسته جمعی بعدی 117.5 میلیون دلار به ضررهای این شرکت اضافه شد. بدتر از آن، این شرکت نقض مربوطه را پنهان، سرمایه گذاران را گمراه نموده و افشا را به مدت دو سال به تاخیر انداخت.
علاوه بر این، Yahooیک سال بعد برای دومین بار نقض شد که بر 3 میلیارد حساب کاربری دیگر تأثیر گذاشت. باز هم، این شرکت تا سال 2016 رویداد دوم را اطلاع رسانی نکرد و قبل از اینکه افشاگری کند آن را در سال 2017 بازبینی نمود تا مقیاس کامل این حادثه را منعکس کند.
افشای شفاف و به موقع تخلفات می تواند به کاهش آسیب و جلوگیری از حوادث مشابه در آینده کمک کند. به عنوان مثال، قربانیان میتوانند مجوزهای ورود خود را به موقع تغییر دهند تا از نفوذ هر متخلف احتمالی به حسابهایشان جلوگیری کنند.
5 گام برای رسیدن به سطح انطباق در امنیت سایبری
چند اقدام ساده که هر کسبوکاری با قصد دستیابی به مطابقت امنیتی، به آن نیاز دارد در ادامه ذکر می گردد. این مراحل را به عنوان یک خط پایه برای اقدام، با بهبودهای بیشتر بر اساس مقررات و الزامات خاصی که باید بر اساس نیازهای خاص ایجاد شود، در نظر بگیرید.
کسب و کار خود را درک کنید: همانطور که قبلاً ذکر شد، مشاغل بر اساس صنعت خود، مشتریان/شرکا، دادههایی که با آنها کار میکنند و همچنین مکانهایی که در آن فعالیت میکنند، با الزامات انطباقی متفاوتی روبرو هستند. همه اینها ممکن است الزامات مختلفی داشته باشند، بنابراین براساس ماهیت و مشخصات سازمان خود، به الزامات بپردازید.
بررسی و اولویت بندی: مشخص کنید که کسب و کار شما باید از چه استانداردهایی پیروی کند، شکاف هایی را که باید پر شوند را پیدا کنید و براساس مهم ترین مقررات و استانداردهایی که کسب و کار باید رعایت کند تا از جریمه و تخلف اجتناب شود، اقداماتی را برای رفع این شکاف ها تعریف کنید.
یک سیستم گزارش دهی ایجاد کنید: یک سیستم گزارش دهی قوی ایجاد کنید که نقش ها و مسئولیت های همه افراد درگیر، از مدیران ارشد گرفته تا کارمندان ارتباطات و پرسنل امنیتی که اقدامات حفاظتی شما را مدیریت و نظارت می کنند، تعریف نماید. همچنین، اطمینان حاصل کنید که یک فرآیند واضح برای گزارش حوادث امنیتی وجود داشته و اطلاعات میتواند به طور یکپارچه به ذینفعان مربوطه، از جمله تنظیمکنندگان یا بیمهگران در صورت لزوم، منتقل شود.
نظارت: انطباق، یک تلاش یکباره نیست – بلکه یک فرآیند مداوم است. به عنوان بخشی از گزارش دهی مستمر، به طور منظم اقدامات انطباق را نظارت کنید و به نقاطی که نیاز به توجه دارند، رسیدگی کنید. این کار شامل بررسی سیستم ها بابت آسیبپذیریها، انجام ارزیابی های منظم ریسک و بررسی پروتکل های امنیتی است تا کسبوکار شما به استانداردهای نظارتی در حال توسعه پایبند باشد.
شفاف بمانید: اگر تخلفی کشف شد، فوراً خسارت را ارزیابی کنید و آن را به مقام مربوطه و البته قربانیان گزارش دهید. همانطور که در بالا ذکر شد، افشای به موقع می تواند به کاهش آسیب، کاهش خطر نقض بیشتر و نشان دادن تعهد شما به انطباق کمک کند و در نهایت به شما کمک می کند تا اعتماد خود را در برابر مشتریان، شرکا و ذینفعان حفظ نمایید.
این پنج مرحله مبنایی برای دستیابی به انطباق با امنیت سایبری فراهم می کند. در حالی که دستورالعمل های این نوع به طور گسترده قابل اجرا هستند، به یاد داشته باشید که هر کسب و کاری ممکن است با چالش های منحصر به فردی روبرو شود. با سازمانها مربوطه در تماس باشید تا در مورد آخرین الزامات مطلع شوید و اطمینان حاصل کنید که تلاشهای شما برای انطباق با انتظارات نهادهای نظارتی هماهنگ است. با درک الزامات خاص برای سازمان و صنعت خود، می توانید اولین قدم را برای پیمایش موثرتر این پیچیدگی ها بردارید و اطمینان حاصل کنید که کسب و کار شما در برابر تهدیدات سایبری ایمن، سازگار و انعطاف پذیر باقی می ماند.
منبع:
