رویکرد مبتنی بر ریسک برای امنیت سازمان شما به چه مفهوم است؟!

همچنان که خطرات امنیت سایبری به لحاظ پیچیدگی و تعداد افزایش پیدا می‌کنند، سازمان‌ها نیز باید از وضعیت پاسخ دادن به حوادث امنیتی به شکلی تغییر حالت پیدا کنند که بتوانند این خطرات را شناسایی کرده و قبل از وقوع، از آن‌ها جلوگیری کنند.
برای توسعه‌ی یک رویکرد امنیتی قوی مبتنی بر این ریسک لازم است تا به پشتیبانی از سازمان‌ها برای اولویت‌بندی تهدیدات امنیت اطلاعات، درک فن‌هایی که ممکن است به‌عنوان بخشی از حملات مورد استفاده قرار گیرند و ارزیابی قابلیت‌های کنترل و جلوگیری و کشف و پاسخ به حملات، بپردازیم. بدون این اطلاعات، سازمان‌ها برای تشخیص وضعیت و سطحی از ریسک که آن‌ها در معرض آن قرار دارند دچار مشکل می‌شوند و نمی‌توانند به‌موقع برنامه‌های خود را برای پاسخ سایبری طراحی کنند و برای مقابله با این‌چنین تهدیداتی از آن‌ها استفاده کنند.

حفاظت از اطلاعات حساس
مدیران با مزایای فوق‌العاده‌ی فضای سایبری و اینترنت و استفاده‌ی روزافزون از دستگاه‌ها و وسایل مرتبط با یکدیگر آشنا هستند و می‌دانند که تا چه حد به افزایش نوآوری،‌ مشارکت، بازدهی، رقابت و تعهد در برابر مشتریان کمک می‌کند؛ اما متأسفانه بسیاری از آن‌ها در حال کشمکش برای ارزیابی خطرات در کنار این مزایا هستند. یکی از کارهایی که شرکت‌ها امروزه و در این عصر باید انجام دهند، اطمینان از این نکته است که استانداردهای امنیت اطلاعات شرکت آن‌ها، به‌خوبی رعایت شده باشد. یک نمونه از این دستورالعمل‌ها می‌تواند استاندارد انجمن امنیت اطلاعات برای استاندارد امنیتی مناسب (ISF) باشد.

این استاندارد در بسیاری از سازمان‌های بین‌المللی به‌عنوان مرجع اصلی امنیت اطلاعات استفاده می‌شود و پاسخگوی نیازی است که در برابر سرعت فراوان رشد تهدیدات و خطرات امنیتی امروز به وجود آمده تا شرکت‌ها بتوانند به انواع تهدیدهای امنیتی رو به افزایش نظیر، جرائم اینترنتی، نفوذگری، BYOD؛ مشکلات فضای ابری، نفوذ خودی‌ها و جاسوسی پاسخ دهند. درنتیجه، این استاندارد به ISF و اعضای آن کمک می‌کند تا جایگاه خود را در سطح هدایت فعالیت‌های مناسب در امنیت اطلاعات حفظ کنند.

ایجاد یک فرایند ارزیابی ریسک
همچون ISF، شرکت‌ها باید ارزیابی ریسک اطلاعات را به‌عنوان فرایند ارزیابی تأثیرات بالقوه بر شرکت، بررسی تهدیدها و آسیب‌پذیری‌ها و انتخاب راه‌حل مناسب نیازهای امنیت اطلاعاتی شرکت تعریف کنند.
مدیریت ریسک اطلاعات برای همه‌ی سازمان‌ها حیاتی است تا بتوانند استراتژی‌ها، ‌ابتکارات و اهداف خود را ارائه کنند. درنتیجه، مدیریت ریسک اطلاعات تنها زمانی معنا خواهد داشت که بتواند سازمان‌ها را قادر کند تا به این اهداف دست یافته و اطمینان دهد که در جایگاه مناسبی برای موفقیت قرار دارد و برای مقابله با حوادث غیرمنتظره انعطاف‌پذیر است. درنتیجه فعالیت‌های مدیریت ریسک در سازمان‌ها، چه اینکه به‌عنوان یک برنامه‌ی گسترده‌ی تجاری و چه این‌که در یک سطح عملکردی فعالیت کند، باید شامل ارزیابی خطراتی از اطلاعات باشد که موفقیت را در معرض تهدید قرار می‌دهد.

بخشی از موارد مکملی که بهتر است مورد استفاده قرار گیرد، رادار تهدید ISF است. رادار تهدید، توانایی مدیریت یک تهدید را در برابر سطح بالقوه‌ی اثرپذیری مورد ارزیابی قرار می‌دهد، بنابراین کمک می‌کند تا اهمیت نسبی آن را برای یک شرکت مشخص تعیین کنیم. همچنین این قابلیت هرگونه تغییر احتمالی را که ممکن است رخ بدهد با استفاده‌ از رسم بردارها نشان می‌دهد.
ضروری است که به خاطر داشته باشیم که این قابلیت در برابر همه‌ی تهدیدها کاربردی نیست؛ بنابراین سازمان‌ها نیاز دارند تا به قابلیت انعطاف‌پذیری خود نگاه کنند و آن این است که: چه برنامه‌ها و تمهیداتی رعایت شده تا تأثیر را به حداقل ممکن کاهش دهد، بازیابی را سرعت بخشد و از حوادث درس بگیرد تا بتواند در آینده تأثیر آن‌ها را به حداقل ممکن برساند.

آماده‌سازی افراد
بسیاری از شرکت‌ها کارمندان خود را به‌عنوان بزرگ‌ترین دارایی خود می‌دانند. با این حال آن‌ها هنوز موفق نشده‌اند تا نیاز تأمین امنیت عناصر انسانی را برای امنیت اطلاعات رفع کنند. در اصل، افراد باید قوی‌ترین عنصر کنترل سازمان باشند.
با این وجود،‌ به‌جای اینکه به‌سادگی افراد را از مسئولیت‌های امنیت اطلاعات آگاه کرده و نحوه‌ی پاسخگویی را به آن‌ها تذکر دهیم، پاسخ صحیح برای سازمان‌ها این است که رفتارهای مثبت امنیت اطلاعات را در فعالیت‌های آن‌ها به‌عنوان یک عادت و بخشی از فرهنگ امنیت اطلاعات سازمانی تعبیه کنند. درحالی‌که بسیاری از سازمان‌ها دارای فعالیت‌های منطبق بر «هوشیاری‌های امنیتی» عمومی هستند، اما سازمان هنوز در معرض خطر است و آنچه می‌تواند به کاهش خطر کمک کند، تغییر رفتارهای کارکنان است.

وضعیت‌هایی که موجب افشای اطلاعات می‌شود، از خود سرقت اطلاعات مخرب‌تر است و یک راه آسان برای از بین بردن اعتماد مشتریان است. با این حال،‌ معمولاً برنامه‌ریزی‌های پیشرفته به‌عنوان بخشی از خدمات روابط عمومی شرکت‌های فناوری در این میان غایب است. درسی را که می‌توان به اعضای ISF داد این است که با دقت نحوه‌ی پاسخ خود را در نظر داشته باشند، زیرا سازمان آن‌ها بعد از اینکه حادثه عمومی شد، ‌دیگر نمی‌تواند کنترلی بر اخبار آن داشته باشد. به‌شدت توصیه می‌شود که از قابلیت شبیه‌سازی با شرکت‌های روابط عمومی استفاده کنید تا بتوانید به نحو بهتری برای پاسخگویی به نفوذهای آینده آماده شوید.

تمرکز بر انعطاف‌پذیری سایبری
امروزه کسب‌وکار در یک جهان سایبری پیشرفته مشغول فعالیت است و این حقیقت که مدیریت ریسک سنتی به‌اندازه‌ی کافی برای مقابله با خطرات فعالیت‌های فضای سایبری کافی نیستند، حقیقتی مسلم است. اگر بخواهیم ساده‌تر مطالب را بیان کنیم: ‌بخش مدیریت ریسک شرکت‌ها باید به نحوی توسعه یابند که موجب انعطاف‌پذیری در برابر خطر شده و یک وضعیت پایه‌ای از آمادگی را ایجاد کنند که بتواند به ارزیابی بردارهای تهدید در وضعیت‌های مخاطره‌آمیز کسب‌وکار بپردازد.

به‌عنوان یک تجارت جهانی،‌ دولت‌ها و اقتصادها به شکلی وابسته‌تر رشد می‌کنند و دانستن اینکه چگونه می‌توانند انعطاف‌پذیری سازمان خود را شکل دهند برای امنیت سایبری آن‌ها حیاتی است. دیگر نمی‌توان پشت دیوارهای نفوذناپذیری پنهان شد، بلکه اکنون ما به‌عنوان بخشی از کل عمل می‌کنیم. توانایی تحمل ضربات، یک مزیت و رشد رقابتی را در فضای سایبری و فراتر از آن مهیا می‌کند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap