سازمان ها در هر اندازه باید برای بالاترین سطح بلوغ امنیتی تلاش کنند، اما این رویکرد باید با مجموعه منحصر به فرد نیازهای امنیتی آنها هماهنگ باشد.
با توجه به اینکه کسبوکارها بیش از همیشه دادهها را مدیریت میکنند، مجرمان سایبری تلاشهای خود را برای ضربه زدن به آنها دوچندان میکنند. در سال ۲۰۲۲، ۸۳ درصد از سازمانها بیش از یک نقض داده را تجربه کردند.
تهدیدها در حال تکامل هستند و کلاهبرداری ها پیچیده تر می شوند و از رسانه هایی مانند پلت فرم های جلسات مجازی برای متقاعد کردن کارمندان برای انتقال پول یا داده استفاده می کنند. حالا وقت گرفتن است امنیت سایبری به سطح بعدی می رسد، اما اندازه یک کسب و کار باید روی رویکرد آن تأثیر بگذارد.
مسائل اندازه
بزرگترین سازمان ها نیازهای امنیتی و انطباق منحصر به فرد و خاصی دارند. به این ترتیب، استراتژی امنیت سایبری آنها باید با خطرات منحصر به فرد آنها هماهنگ باشد. کسبوکارهای بزرگ بیشترین ضرر را دارند، با هکهای موفقیتآمیز که منجر به سودهای کلان برای مجرمان سایبری میشود – و در صورت دخالت یک برند با مشخصات بالا، اغلب در این فرآیند خبرساز میشوند.
از سوی دیگر، کسب و کارهای کوچک بعید است که زمان و منابع لازم یا دانش تخصصی در مورد امنیت سایبری را داشته باشند. انتظار می رود تا سال ۲۰۲۵ جرایم سایبری برای جهان ۱۰٫۵ تریلیون دلار هزینه داشته باشد کار و کسب های خرد جذب بسیاری از تاثیرات در حالی که کسب و کارهای کوچک ممکن است احساس کنند که مجرمان سایبری به دلیل اندازه آنها آنها را هدف قرار نمی دهند، دقیقا برعکس این موضوع صادق است.
شیوع نرم افزار به عنوان سرویس (SaaS) در زیرزمینی جنایتکار، هدف قرار دادن هزاران کسب و کار کوچک را به آسانی با کلیک یک دکمه ماوس انجام می دهد. هیچ کس برای مجرمان سایبری امروزی “خیلی کوچک” نیست.
ارزیابی بلوغ امنیت
بلوغ امنیتی موقعیت امنیتی یک سازمان نسبت به محیط ریسک و تحمل آن است. سطح بلوغ یک سازمان با میزان کارآمدی کنترلها، گزارشدهی و فرآیندهای امنیتی تعیین میشود.
پنج سطح بلوغ امنیتی وجود دارد:
- سطح یک: فرآیندهای امنیت اطلاعات بدون ساختار هستند، خطمشیها غیرمستند هستند و کنترلها بهطور خودکار یا به کسبوکار گزارش نمیشوند. آنها را می توان به کنترل های اساسی مانند اسکن محدود کرد.
- سطح دو: فرآیندهای امنیت اطلاعات ایجاد می شود و خط مشی به طور غیر رسمی تعریف می شود، اما فقط تا حدی اعمال می شود.
- سطح سه: در این سطح به مستندسازی خط مشی، پیاده سازی و اتوماسیون کنترل ها و همچنین سطوح گزارش دهی بیشتر توجه می شود.
- سطح چهار: زمانی حاصل می شود که سازمان فرآیندهای امنیت اطلاعات خود را با سیاست های جامع، پیاده سازی گسترده، درجه بالایی از اتوماسیون و گزارش های تجاری کنترل کند.
- سطح پنج: در بالاترین سطح بلوغ امنیتی، سیاست جامع و رسمی است. استقرار کامل و اتوماسیون کنترل ها به دست آمده است و گزارش تجاری در تمام سیستم ها انجام می شود. فرآیندهای امنیت اطلاعات به طور مداوم نظارت و بهینه سازی می شوند.
به طور کلی، هر چه درآمد کمتر باشد، سررسید کمتر است. یکی از دلایل این است که کسبوکارهای بزرگتر نسبت به همتایان کوچکتر خود، فرآیندهای تجاری و ساختار سازمانی تثبیتتری دارند. اما ویژگی مشترک شرکتهایی که برنامههای امنیت سایبری بالغ دارند، اطمینان از آگاهی کل سازمان از اقدامات امنیت سایبری است.
ایجاد فرهنگ امنیت و اجرای بهترین شیوهها برای اطمینان از مؤثر بودن کنترلهای امنیتی و مطابقت با مقررات حفظ حریم خصوصی دادهها، اولین قدم برای افزایش سطح بلوغ شماست. هم شرکتهای بزرگ و هم شرکتهای کوچک میتوانند با راهنماییهای صحیح، یک فرهنگ قوی برای امنیت ایجاد کنند.
بخشی از این موضوع امنیت سایبری را تبدیل به یک موضوع هیئت مدیره می کند. مشارکت دادن مدیران در بحثهای امنیتی، یک موضع فعال را تشویق میکند که رویکرد امنیتی کل سازمان شما را کاهش داده و تقویت میکند. برای شرکتهای کوچکتر، مالکان باید اهمیت بلوغ موضع امنیتی خود را بپذیرند – و برای اینکه این طرز فکر بقیه شرکتها را از بین ببرد.
اتوماسیون نیز بخش مهمی برای دستیابی به سطح بالایی از بلوغ امنیتی است. پیاده سازی راه حل های خودکار به معنای قابلیت اطمینان بالاتر، کارایی بیشتر و ارائه گزارش بهتر برای زمان پاسخگویی سریعتر است. اما روند افزایش سطح بلوغ با اتخاذ یک چارچوب امنیت سایبری شروع میشود که به شناسایی ریسکها، محافظت از داراییهای شرکت و شناسایی، پاسخگویی و بازیابی از یک حمله امنیت سایبری کمک میکند.
آشنایی با چارچوب های امنیتی
مدل بلوغ قابلیت امنیت سایبری وزارت انرژی ایالات متحده (C2M2) یکی از چارچوبهای کنترل امنیتی پیشرو است که به سازمانها کمک میکند فرآیندهای امنیت اطلاعات را اندازهگیری کرده و نحوه بهبود آنها را شناسایی کنند.
مرکز امنیت اینترنتی (CIS) مدل بلوغ امنیت سایبری (CMM) یکی دیگر از مدلهای سیاست جامع، کنترلها، اتوماسیون و گزارشدهی است که به سازمانها این اطمینان را میدهد که امنیت سایبری را به طور مؤثر مدیریت میکنند و از خود در برابر طیف کاملی از تهدیدات محافظت میکنند. این چارچوب که در اصل توسط وزارت دفاع ایالات متحده توسعه یافته است، راهنمای ارزیابی بلوغ امنیتی یک سازمان با توجه به کارایی آن در انجام تعدادی از کنترل ها را ارائه می دهد.
اما همه چارچوبها بر اساس استانداردهای NIST (موسسه ملی استانداردها و فناوری) هستند که به آژانسهای فدرال کمک میکند تا از قانون مدیریت امنیت اطلاعات فدرال (FISMA) و سایر مقررات پیروی کنند.
چارچوب امنیت سایبری NIST یکی از استانداردهای پذیرفته شده NIST است. این یک چارچوب داوطلبانه برای مشاغل در هر اندازه و در همه بخش ها است که از طریق همکاری بین دولت ایالات متحده و سازمان ها برای ارتقاء حفاظت از زیرساخت های حیاتی ایجاد شده است.
پیدا کردن شریک مناسب
همانطور که چشم انداز جنایی تغییر می کند، سازمان ها در هر اندازه خود را به دنبال کمک می یابند. برای همه کسبوکارها مهم است که در مورد مجموعه مهارتهایی که نیاز دارند تا بتوانند فروشنده امنیتی مناسب را انتخاب کرده و با آن شریک شوند، روشن باشند. بهترین شرکا سازمان را در هر مرحله ای از سفر امنیت و انطباق آن حمایت و راهنمایی خواهند کرد. در حالی که بسیاری از مشارکت توسط افراد ماهر هدایت می شود، برای شریک نیز حیاتی است که پلتفرمی داشته باشد که امنیت و انطباق را با هم پیوند دهد.
نادیده گرفتن افزایش جهانی تهدیدات امنیتی غیرممکن است. امروز مهم این نیست که آیا سازمانی مورد حمله قرار می گیرد یا خیر، بلکه مهم این است که چه زمانی و چند بار. همراه با دستورات انطباق پیچیدهتر، سازمانها در هر اندازه باید ارزیابی و ارتقای سطح بلوغ امنیتی خود را در اولویت قرار دهند – قبل از اینکه خیلی دیر شود.
منبع: https://www.techradar.com/pro/why-theres-no-one-size-fits-all-solution-to-security-maturity