17 مهر 1403

قرارگاه جنبش انقلابیون (قجا)

قرارگاه امنیتی و سایبری جنبش انقلابیون جمهوری اسلامی ایران

چگونه شرکت‌ها می‌توانند امنیت سایبری خود را کنترل کنند

چگونه شرکت‌ها می‌توانند امنیت سایبری خود را کنترل کنند

در این مصاحبه Help Net Security، Baya Lonqueux، مدیرعامل Reciproc-IT، در مورد چشم انداز امنیت سایبری در حال تحول و مهارت‌های ضروری مورد نیاز برای تیم‌هایی که در این زمینه کار می‌کنند صحبت می‌کند. این مصاحبه تغییر از تخصص فنی به تمرکز بر مهارت‌های سازمانی و حاکمیتی برای مدیریت ریسک‌های امنیت سایبری کسب و کار را برجسته می‌کند.

در این مصاحبه Help Net Security، Baya Lonqueux، مدیرعامل Reciproc-IT، در مورد چشم انداز امنیت سایبری در حال تحول و مهارت‌های ضروری مورد نیاز برای تیم‌هایی که در این زمینه کار می‌کنند صحبت می‌کند. این مصاحبه تغییر از تخصص فنی به تمرکز بر مهارت‌های سازمانی و حاکمیتی برای مدیریت ریسک‌های امنیت سایبری کسب و کار را برجسته می‌کند.

Lonqueux همچنین به اقدامات پیشگیرانه مورد نیاز برای کاهش خطرات امنیت سایبری می‌پردازد و بر اهمیت شناسایی نیازهای امنیتی، اطمینان از انطباق و شبیه‌سازی خطرات برای اقدامات اولویت بندی شده تاکید می‌کند.

حتی ماهرترین تیم‌ها نیز می‌توانند مدیریت امنیت سایبری را سخت بدانند. داشتن چه مهارت‌هایی برای تیم‌ها در این چشم انداز همیشه در حال تغییر بسیار مهم است؟

به طور کلی، تیم‌هایی که با خطرات امنیت سایبری سروکار دارند عمدتاً عملیاتی و فنی‌تر هستند. این رشته از دیرباز به عنوان یک موضوع صرفاً فناوری اطلاعات تلقی می‌شد و آموزش و پرورش منابع فنی را فراهم کرده و می‌کند. آنچه امروز باید پر شود، سازمانی، حاکمیت و مدیریت خطرات امنیت سایبری است. اینها مهارت‌هایی هستند که باید در کسب وکار در جریان باشند.

روش‌ها و اهداف مهاجمان سایبری چگونه تکامل یافته‌اند و این برای استراتژی‌های حفاظت از شرکت چه معنایی دارد؟

مهاجمان سایبری به سرعت تکامل می‌یابند و اقدامات انجام شده و باید توسط شرکت‌ها را پیش‌بینی کنند. مهاجمان سایبری به طور مداوم قربانیان خود را می‌شناسند و زیر نظر دارند و آنها را قادر می‌سازند یک قدم جلوتر بمانند. شرکت‌ها به نوبه خود باید استراتژی حفاظتی خود را هدف قرار دهند، آنچه حساس است را ایمن کنند، دارایی‌های حیاتی را ایزوله کنند تا از حفاظت‌های نظارتی گسترده‌ای که باعث ایجاد خطا می‌شود جلوگیری کنند.

اقدام پیشگیرانه برای کاهش خطرات امنیت سایبری کلیدی است. شرکت‌ها چه اقدامات پیشگیرانه‌ای باید اجرا کنند؟

•    اطمینان حاصل کنید که شرکت از نیازهای امنیتی خود آگاه است و آنها را با مشارکت مدیران تجاری به وضوح تعریف کنید: هدف اصلی این اقدام هدف قرار دادن دارایی مورد محافظت است.
•    بر اساس بیان این نیاز، سطح انطباق را تأیید کنید: آیا اقدامات امنیتی مورد نیاز برای رفع این نیاز به درستی اعمال می‌شود؟
•    این به سادگی شامل انجام تجزیه و تحلیل شکاف در سیستم اطلاعاتی شما برای تعیین سطح بلوغ اقدامات قبلاً اعمال شده است.
•    آیا این اقدامات با استانداردهای شرکتی (قانونی یا داخلی) مطابقت دارد؟
•    بر اساس این نتایج، خطرات را شبیه‌سازی کنید تا بررسی کنید که آیا شرکت ممکن است مورد حمله قرار گیرد یا خیر.
•    سناریوهای ریسک و سطح احتمال آنها تعریف شده است. محتمل ترین سناریوها برای اقدام اصلاحی اولویت بندی می‌شوند.

چگونه انطباق با استراتژی گسترده‌تر مدیریت ریسک امنیت سایبری مطابقت دارد؟ آیا این یک محرک یا محصول جانبی یک استراتژی امنیت سایبری است؟

انطباق بدون شک یکی از نیروهای محرک پشت استراتژی امنیت سایبری است.

شرکت‌ها باید دائماً سطح انطباق خود با استانداردهای امنیتی را زیر سوال ببرند. این رویکرد مبتنی بر انطباق، اجرای فرآیند بهبود مستمر را تسهیل خواهد کرد. یک راه حل برنده برای انعطاف پذیری موفق.

آیا می‌توانید در مورد برخی از مقررات جهانی که بر نحوه مدیریت ریسک‌های امنیت سایبری شرکت‌ها تأثیر می‌گذارند و اینکه چگونه باید در استراتژی حفاظت سرتاسر در نظر گرفته شوند صحبت کنید؟

تا به امروز، تنها مقرراتی که واقعاً تأثیر گذاشته و آگاهی را در بین مشاغل در همه زمینه‌ها و اندازه‌ها افزایش داده است، GDPR، حفاظت از داده‌های شخصی شهروندان اروپایی است. این مقررات که مربوط به سال 2018 است، اوضاع را متزلزل کرده است. شرکت‌ها مجبورند بدانند از چه داده‌هایی باید محافظت کنند، کجا ذخیره می‌شوند و چگونه از آن محافظت کنند. در نتیجه، شرکت‌ها شروع به جدی گرفتن امنیت کرده‌اند و متوجه می‌شوند که چه چیزی در خطر است.

مقررات راه خوبی برای افزایش سطح بلوغ شرکت‌ها در مورد امنیت است. مقررات اروپایی آینده، NIS2 و DORA، تأثیر قابل توجهی خواهند داشت. آنها بخش بزرگی از کسب وکارها را تحت تأثیر قرار خواهند داد و به امنیت اطلاعات سرتاسر در سطوح سازمانی، عملکردی و عملیاتی می‌پردازند. و اینجاست که جالب می‌شود!

چه توصیه‌ای برای سازمان‌هایی دارید که به دنبال بهبود مدیریت سرتاسر خطرات امنیت سایبری خود هستند؟

پاسخ من تقریباً در تمام پاسخ‌های قبلی پوشیده است.

یک شرکت برای تامین امنیت که با چالش‌هایی که با آن مواجه است پاسخگو باشد، باید عملگرا باشد، آنچه ضروری و حیاتی است را ایمن کند و اقدامات خود را اولویت‌بندی کند. شما نمی‌توانید همه چیز و هر چیزی را ایمن کنید. تجزیه و تحلیل ریسک باید یک ابزار ضروری باشد و این رویکرد است که باید شیوه‌های امنیتی خوب را هدایت کند. خرید ابزارهای امنیت سایبری بدون دانستن اینکه کجا آنها را وصل کنید، منطقی نیست.

•    دارایی‌های حیاتی خود را شناسایی کنید
•    سطح انطباق خود را بررسی کنید
•    خطرات خود را شبیه‌سازی و تجزیه وتحلیل کنید
•    اقدامات لازم را متناسب با خطرات شناسایی شده اعمال کنید
•    بر برنامه اقدام مرتبط با این اقدامات نظارت کنید



“”قرارگاه جنبش انقلابیون(قجا)””

https://313-313.ir/