چگونگی حمایت رهبران سازمانی از راهکارهای امنیتی

چگونه می‌توان رهبران سازمانی را مجاب به حمایت از راهکارهای امنیتی نمود!

گزارش اخیر Fortinet نشان می‌دهد در عصر حاضر به خصوص از سال ۲۰۲۳ به بعد سازمان‌ها بیش از پیش به امنیت سایبری توجه نشان می‌دهند. آن‌ها باید علاوه بر ملاحظات تجاری، رعایت قوانین حریم خصوصی و امنیت داده‌ها را نیز در نظر داشته باشند. در اروپا دو قانون General Data Protection Regulation (GDPR)  و  Network and Information Security Directive وجود دارد که سازمان‌ها موظف به پیروی از آن‌ها پیروی هستند.

در ایالات متحده، موسسه National Institute of Standards and Technology (NIST) با در نظر گرفتن همه‌ی سازمان‌ها؛ صرف‌نظر از اندازه‌شان، چارچوب استانداردی برای امنیت سایبری ارائه داده است. کسب‌و‌کارها با رعایت این چارچوب می‌توانند سطح محافظت از شبکه و داده‌های خود را ارتقا بخشیده و خطرات مرتبط را تا حد قابل ملاحظه‌ای، کاهش دهند.

شرکت‌های سهامی عام در ایالات متحده موظف هستند از دستورالعمل‌های Securities and Exchange Commission (SEC) پیروی کنند. این قانون مدیران سازمان را مسئول اصلیِ security breach می‌داند.

فورتی‌نت نشستی با Wolfgang Bitomsky ، مدیر ارشد اطلاعاتِ FCC Environment CEE برگزار نموده تا نحوه اثرگذاریِ چالش‌ها و تهدیدات سایبری بر کار و تصمیم‌گیریِ مدیران سازمان را مورد بررسی قرار دهد.

بر اساس اظهارات Wolfgang، امنیت سایبری می‌بایست برای تک‌تکِ مدیران و رهبران سازمانی، در اولویت قرار گیرد. این موضوع فراتر از دغدغه‌های فناوری اطلاعات بوده و امری کاملا حیاتی برای کل سازمان محسوب می‌شود.

امروزه امنیت سایبری علاوه بر فناوری اطلاعات، به منابع انسانی برای آموزش، به بخش حقوقی در جهت نظارت بر رعایت قوانین و همچنین به بخش تدارکات از جهت مدیریت و کاهش خطرات امنیتیِ مرتبط با تامین کنندگان سازمان و فرایند زنجیره تامین مربوط می‌گردد.

Wolfgang توضیح می‌دهد که واحد منابع انسانیِ FCC Environment، آموزش امنیت سایبری را در برنامه‌های خود گنجانده تا اهمیت امنیت سایبری را به همه افراد سازمان نشان دهد. این شرکت به منظور حصول اطمینان از آگاهیِ پرسنل خود، از آن‌ها خواست در برنامه‌های آموزشی حضور داشته باشند. سپس این برنامه‌ها به صورت سالانه، بازآموزی می‎‌شود تا نسبت به جدیدترین اطلاعات تهدیدات سایبری، آگاه باشند.

ولفگانگ گفت به هنگام مذاکره با گروه مدیریت سازمان در خصوص امنیت سازمانی، توجه داشته باشید که معمولا آن‌ها در این زمینه، صاحب تخصص نیستند و این قبیل موضوعات باید در قالبی مطرح شود که آن‌ها درک روشنی از موضوع پیدا کرده و بتوانند تصمیمات آگاهانه‌ای بگیرند.

ولفگانگ افزود عمدتا هییت مدیره بر دو حوزه اصلی متمرکز است؛ مدیریت ریسک و کشف فرصت‌ها. بنابراین بهتر است برای مذاکره با ایشان،  به موضوعاتِ مبتنی بر فناوری و خطراتی بپردازید که در این دو حوزه، شناسایی کرده‌اید.

اولویت دادن به امنیت سایبری

غالبا رهبران سازمان‌، در زمینه‌ی اتخاذ فناوری به دنبال یک رویکرد متعادل و ایده‌آل گرایانه هستند تا میزان خطرات را به حداقل برسانند. ممکن است آن‌ها بر اساس اولویت‌های خود، ترجیح دهند سرمایه‌گذاری را به زمان دیگری موکول کنند. گاهی آن‌ها تصمیم می‌گیرند ریسک‌های خاصی را بپذیرند، اما از شما می‌خواهند خطرات دیگری را فورا بررسی و رفع کنید.

غالبا بخش فناوری اطلاعات با چالشی مبنی بر عدم دریافت کل بودجه‌‌ی درخواستی برای تامین امنیت سایبری مواجه است. بنابراین واحد مربوطه به منظور دریافت حمایت تیم مدیریت، باید روش مناسبی برای مذاکره‌ی بیابد.

Wolfgang پیشنهاد می‌دهد نیازهای فناوری اطلاعات از نظر مدیریت ریسک به طور مفصل برای سازمان شرح داده شود. سپس تصویر روشنی از امنیت سایبری و صرفه‌ی اقتصادیِ سرمایه‌گذاری بر روی آن به تصمیم‌گیرندگان ارائه شود. بهتر است توضیحات تکمیلی در خصوص هزینه‌های گزاف مرتبط با بروز حملات سایبری و ضرورت سرمایه‌گذاری بر روی آن نیز ارائه شود.

به این ترتیب رهبران سازمان قادر خواهند بود با ارزیابی صحیح، تصمیم‌گیری مناسبی داشته باشند.

امنیت سایبری، مسئولیت همگانی

Wolfgang در ادامه به اهمیت آماده‌سازی پرسنل در حوزه امنیت سازمانی تاکید داشت و گفت: امنیت سایبری را می‌توان به ایستگاه آتش‌نشانی تشبیه کرد که بیشتر زمان خود را صرف آموزش و آماده‌سازی پرسنل برای مهار آتش می‎‌کند. به این ترتیب اگر سازمانی مورد حمله قرار گیرد، هر پرسنلی باید به سهم خود، نسبت به این موضوع آگاهی کامل داشته باشد.

امنیت سایبری یک مسئولیت همگانی بوده و باید به اولویت همه‌ی مشاغل تبدیل گردد.