کمیته رکن چهارم – هنگامی که مهاجمان سایبری به بانکها و مؤسسات مالی حمله میکنند علاوه بر پول، مشتریان و اعتماد آنها را هم مورد هدف حملات خود قرار میدهند. اگر یک مؤسسه مالی دچار خسارتهای ناشی از وقوع حملات سایبری شود، از آنجا که بیمه فقط بخشی از هزینهها را پرداخت میکند تمام جنبههای کسبوکار و همه سهامداران و ذینفعان نیز تحت تأثیر این خسارت قرار میگیرند. از این رو با آشکارتر شدن نیاز به حفاظت از امنیت و حریم خصوصی، همه مؤسسات مالی باید راهکارهایی را جهت ارتقای امنیت سایبری خدمات مالیشان اجرا کنند.
در مؤسسات مالی معمولاً قوانینی جهت حفظ امنیت سایبری وجود دارد تا مشتریان مطمئن شوند در صورت بروز مشکلات امنیتی، متضرر نمیشوند. با این حال تنها وجود چنین قوانینی کافی نیست و مدیریت مخاطرات در حوزه امور مالی یکی از اهداف اصلی تأمین امنیت سایبری است. در این مطلب به تشریح بعضی از راهکارهایی که امنیت مؤسسات مالی را افزایش میدهند، میپردازیم.
طرح پرسشهای چالشبرانگیز در خصوص امنیت سایبری
به منظور بررسی امنیت سایبری سازمان خود ابتدا باید سؤالات زیر را که پاسخ به آنها نقش عمدهای در نحوه مدیریت چالشهای امنیت سایبری دارد، از خودتان بپرسید:
- آیا مؤسسه شما تمایل به تغییر راهکار امنیتیاش دارد یا خیر؟
- آیا این مؤسسه در جستجوی شناسایی یک ایده یا راهکار بهتر است؟
- آیا این مؤسسه قابلیت اجرای راهکار منتخب را دارد؟
در ادامه، ۵ پرسشی که شما را در این فرایند راهنمایی میکنند، مرور میکنیم. این پرسشها به گونهای طراحی شدهاند که پاسخ آنها ساده و در حد بله یا خیر بوده و هدف اصلی از طرح آنها مدیریت مخاطرات امنیتی است. اگر پاسخ شما برای هر کدام از این پرسشها مطلوب نیست باید سریعاً دست به کار شده و اقدامات لازم را انجام دهید. به خاطر داشته باشید که در صورت نداشتن صداقت در پاسخگویی، خودتان را گول میزنید!
آیا درک درستی از وضعیت مخاطرات امنیتی که شما و مشتریان تان را تهدید میکنند، دارید؟
جهت شناسایی مخاطرات سایبری باید یک ارزیابی کامل انجام داده و در صورت نیاز، از شرکت ها و محققان بیرونی هم درخواست کمک کنید. پاسخ به پرسشهای زیر به شما کمک میکند تا ارزیابی خود را به صورت دقیقتر انجام دهید:
- آیا میدانید جزو اهداف مجرمان سایبری هستید؟
- آیا میدانید چه افرادی به شبکه شما دسترسی دارند؟
- آیا ممکن است به دلیل نقض استانداردهای قانونی جریمه شوید؟
- آیا از مکان ذخیره دادههای حساس مطلع هستید؟
- آیا دادهها را مدیریت میکنید؟
- آیا در فرایند زنجیره تأمین با مشکل جدی مواجه هستید؟
در هنگام پاسخ به پرسشهای بالا اگر از جواب های خود مطمئن نیستید، پاسخ سؤال را «خیر» در نظر بگیرید.
آیا شما تست نفوذ را به صورت مداوم بر روی سیستمهایتان انجام میدهید؟
ارزیابی مخاطرات و آزمون نفوذپذیری (تست نفوذ) معمولاً هزینههای بالایی دارند. البته هزینه آنها با توجه به میزان پیچیدگی کار نیز افزایش پیدا می کند. با این حال وابستگیهای دنیای امروز به فناوری و فضای مجازی انجام چنین کاری را الزامی نموده است. بنابراین شما هم باید آزمون نفوذپذیری و ارزیابیهای امنیتی را با در نظر گرفتن میزان حساسیت دادهها و شدت مخاطراتی که مایل به پذیرش آن هستید، انجام دهید.
شما میتوانید از شرکتهای امنیتی مختلف برای انجام منظم آزمونهای نفوذپذیری کمک گرفته و این تست ها را در بازههای زمانی مشخص (مثلاً هر ۶ ماه یک بار) اجرا کنید.
آیا سیستم شما قابلیت مواجه با مشکلات فعلی و انطباق با چالشهای امنیتی آتی را دارد؟
احتمال دارد مشکلات امنیتی فعلی، فردا قدیمی شده و مشکلات جدیدی جایگزین آنها شوند. از این رو شما باید از سیستمهایی در مؤسسه مالی خود استفاده کنید که علاوه بر قابلیت برطرف کردن مشکلات امنیتی فعلی آمادگی لازم برای تغییرپذیری در برابر چالش های احتمالی آینده را هم داشته باشند.
«امنیت در طراحی» یا «مهندسی امنیت»، یکی از راهکارهایی است که در هنگام طراحی سیستمها بر روی جنبههای امنیتی آنها تمرکز ویژهای دارد.
آیا مؤسسه شما فرهنگ امنیت سایبری مناسبی دارد؟
وجود فرهنگ امنیتی نه تنها برای موفقیت امنیت سایبری بلکه برای موفقیت کل سازمان ضروری است. با توجه به افزایش هجوم هکرها و مجرمان سایبری به مؤسسات مالی، دیگر داشتن شبکهای امن در برابر تهدیدات و مخاطرات، جزو ملزومات اولیه یک مؤسسه مالی به حساب میآید.
شما باید اطمینان حاصل کنید کارکنانی که وظیفه راهبری سیستم ها و مدیریت شبکه را بر عهده دارند، مخاطرات را به خوبی درک نموده و مانع از بروز آنها میشوند.
آیا منابع انسانی و مالی لازم را در اختیار دارید؟
در حوزه امنیت، پول می تواند موجب خریداری ابزارهای کاربردی مختلف شده و بسیاری از مشکلات تان را حل کند. هر مؤسسه مالی باید تیمی متشکل از افراد متخصص داشته باشد تا بتوانند با این ابزارها کار کنند.
همانطور که در پرسش چهارم اشاره شد باید مطمئن شویم همه اعضای سازمان از اهمیت امنیت سایبری مطلع هستند. شما به افرادی نیاز دارید که مهارتهای کسب و کاری، فناوری و فردی لازم را داشته باشند. پیدا کردن چنین اشخاصی اغلب آسان نیست. بنابراین پس از یافتن آنها همه سعی تان را برای حفظ شان می بایست انجام دهید.
بررسی امتیاز نهایی
رسیدن به پاسخ «بله» برای هر پنج سؤال مطرح شده، دستاورد کمی نیست و اگر واقعاً ارزیابی صادقانهای انجام دهید، دستیابی به این امتیاز بسیار سخت خواهد بود. دقت داشته باشید که هیچ سیستم یا سرویس کاملاً امن و بی نقصی وجود ندارد. این پنج سؤال، یک دید کلی را از وضعیت امنیت سایبری سازمان شما فراهم میکنند.
این پرسشها بعضی از ابزارهای لازم برای بررسی وضعیت امنیت فعلی سازمان تان هستند که به شما برای انجام گفتگوهایی عمیقتر کمک نموده و شما میتوانید هنگام بحث و گفتگو با تصمیم گیرندگان سازمان از آنها استفاده کنید. مثلاً اگر پاسخ شما به پرسش چهارم «خیر» است پس میبایست در رابطه با اهداف امنیتی تان در سازمان صحبت کرده و دیگران را در این بحثها مشارکت داده یا حداقل به آنها توضیح دهید که چرا باید یک اقدام امنیتی انجام شود. در این صورت احتمال اینکه شما را همراهی کنند، بیشتر خواهد شد.
اگر پاسخ شما برای سؤال دوم منفی بود پس وقت آن رسیده که بودجههای سالیانه را همراه تصمیمگیران سازمان بررسی کنید. به آنها توضیح دهید که چرا ممکن است غفلت در سرمایه گذاری در این حوزهها منجر به ایجاد هزینههای سنگینتر در آینده شود.
گامهای بعدی برای حفاظت از امنیت سایبری مؤسسات مالی
سؤالات خودآزمایی که در این مطلب آمده با این هدف طراحی شده اند که یک نگرش کلی را از وضعیت امنیت سایبری شما فراهم کنند. قاعدتاً پاسخ صادقانه به این پرسشها تمامی مشکلات امنیتی سازمان تان را حل نمیکند اما شما را در موقعیت خوبی قرار میدهد تا بتوانید این مشکلات را برطرف نمایید. البته یک چالش جدی در این پرسشها وجود دارد و آن هم رسیدن به پاسخ «بله» برای سه پرسش اول است.
این پرسشها برای اطمینان از جدی بودن عزم شما جهت طی کردن مراحل بعدی طراحی شدهاند. پس از مشخص کردن پاسخ آنها سعی کنید با تمرکز کامل به حل مشکلات موجود بپردازید.
منبع : فراست
