فکر غلط شماره 1 – امنیت سایبری فقط در مورد فناوری اطلاعات است
این سناریو را تجسم کنید: یک مدیر شبکه ناراضی به صورت ناگهانی نرم افزارهای مهم سازمان را از کار می اندازد و پایگاه داده های حیاتی سیستم را پاک میکند.
آیا این رخداد در حوزه فناوری اطلاعات است ؟ خیر این رخداد بیش از اینکه به فناوری اطلاعات مربوط باشد به حوزه منابع انسانی مرتبط است. آیا با کنترلهای حفاظتی فناوری اطلاعات می توانستیم از واقعه جلوگیری کنیم ؟ خیر . فردی که در این پست قرار می گیرد باید دسترسی مستقیم به همه سیستم ها داشته باشد.
پس راه جلوگیری از این رخدادها خارج از محدوده فناوری اطلاعات است و به این موضوع بر می گردد که ما چگونه پرسنل خود را انتخاب می کنیم و چگونه آنها را نظارت می کنیم و چه مستندات قانونی را به امضاء می رسانیم و چگونه با پرسنل تعامل می کنیم و مواردی از این دست.
دقت کنید فناوری اطلاعات و کنترلهای حفاظتی مرتبط با آن شدیداً در موضوع امنیت سایبری اهمیت دارند ولی اینها به تنهایی کافی نیستند . مقدار استفاده از کنترلهای حفاظتی فنی باید با سایر کنترلهای حفاظتی ترکیب شده تا بتواند موثر واقع شود.
تفکر غلط شماره 2 – مدیریت ارشد نباید کاری در زمینه امنیت سایبری انجام دهد
احتمالاً می دانید که استقرار کنترلهای امنیتی بدون صرف پول و زمان امکان پذیر نخواهد بود. لذا اگر مدیران سازمان شما در مورد ارزش سرمایه گذاری این کنترل های امنیتی متقاعد نشده باشند منابع مورد نیاز تامین نخواهد شد و نهایتاً پروژه با شکست مواجه خواهد شد.
از جنبه دیگر مدیریت ارشد سازمان نماد انطباق و پذیرش قوانین است. اگر مدیر ارشد سازمان از قوانین و سیاستهای امنیتی سازمان تبعیت نکند نمی توان از سایر پرسنل انتظار داشت که قوانین را رعایت کنند.
تفکر غلط شماره 3 – بیشتر سرمایه گذاری در حوزه امنیت مربوط به تکنولوژی می باشد
بیشتر سازمانهای امروزی عمدتاً چیزی در حوزه تکنولوژی کم ندارند . چیزی که مشکل دارد عدم وجود قوانین روشن در استفاده از تکنولوژی به روش امن است . این موضوع مانند این است که از یک خودروی آخرین سیستم برای رساندن پیتزا استفاده شود !!!
زمانی از اطلاعات محافظت می شود که هرکس بداند مجاز به انجام چه کاری هست و مجاز به انجام چه کاری نیست و مسئولیت هر بخش از اطلاعات یا هر تجهیز با چه کسی است. این شرایط فقط با تعریف قوانین شفاف از راه تدوین سیاستها و دستورالعملهای دقیق امکان پذیر خواهد بود.
در بررسی های انجام شده نسبت سرمایه گذاری در حوزه تکنولوژی به سرمایه گذاری برای تدوین سیاستها 9 به 1 می باشد.
تفکر غلط شماره 4 – هیچ بازگشت سرمایه ای در امنیت وجود ندارد
بله – امنیت هزینه بر است و معمولاٌ هیچ ارزش افزوده ای برای سازمان ایجاد نمی کند.
ایده کلی در امنیت سایبری کاهش هزینه های ناشی از رخدادهای امنیتی می باشد. اگر با کنترل های امنیتی تعداد یا شدت رخدادهای امنیت اطلاعات را کاهش دهید قطعاً موفق شده اید که در هزینه های بازیابی بحران صرفه جویی کنید . فراموش نکنید همیشه پیشگیری از درمان ارزان تر است.
تفکر غلط شماره 5 – امنیت سایبری با یک پروژه محقق می شود
خیر – امنیت سایبری یک فرآیند دائمی و جاری است . برای مثال فرض کنید یک برنامه مدیریت بحران تدوین می کنید و در آن ابزاری را برای ارتباط پرسنل با کارشناس فناوری اطلاعات استفاده می کنید . بعد از گذشت یکسال به دلایل مختلف تصمیم میگیرید که از ابزار جدید تری استفاده کنید . برای اینکه برنامه مدیریت بحران شما عملیاتی باشد باید این برنامه را متناسب با تغییرات جدید به روز کنید . فراموش نکنید که برنامه های امنیت سایبری شما باید با هر تغییر سازمان تغییر کنند و این یک فرآیند دائمی است read more.
تفکر غلط شماره 6 – دام مستندات
تدوین تعداد زیادی سیاست و دستورالعمل به این معنی نیست که سازمان در مسیر امنیت اطلاعات حرکت می کند . امنیت اطلاعات تغییر بزرگی برای سازمان محسوب می شود که به صورت تدریجی در سازمان نهادینه می شود . هیچ کس دوست ندارد کلمه عبور 1234 خود را تغییر دهد . حال شما در قالب سیاستی جدید کاربر را ملزم می کنید هر 90 روز یکبار یک کلمه عبور جدید و پیچیده استفاده کند. تلاش برای استقرار سیاستهای امنیت اطلاعات در سازمان از تدوین سیاستها مهم تر هستند.
درج دیدگاه