عضو گروه هک Red Hacker Alliance از وب سایتی استفاده می کند که حملات سایبری جهانی را در … [+] دفتر آنها در Dongguan، چین را رصد می کند.
بسیاری از هیئت‌های مدیره شرکت‌ها در مورد درک اهمیت امنیت سایبری برای سلامت رقابتی و پایداری شرکت‌هایی که نظارت می‌کنند، پیشرفت چشمگیری داشته‌اند.
آنها مطمئناً این پیام را دریافت کرده اند که امنیت سایبری فقط یک موضوع فناوری اطلاعات نیست.
و در بخشی از جلسات هیئت مدیره که به ارزیابی ریسک اختصاص دارد، امنیت سایبری تقریباً همیشه یکی از مهمترین موارد در دستور کار است.
اما بیشتر مدیران هیئت‌مدیره هنوز به اندازه‌ای حرکت نکرده‌اند که به‌طور مؤثر مجهز شوند تا بتوانند به‌طور هوشمندانه میزان حضور تیم‌های مدیریت شرکت‌هایشان در جنگ با حملات سایبری شرکت‌ها را در راس بازی‌های خود ارزیابی کنند.
تعداد کمی از اعضای هیئت مدیره مدیران C-suite را در گفتگوی معنی‌دار در مورد استراتژی‌های خاصی که برای کاهش آسیب‌پذیری در برابر هک‌ها اتخاذ می‌کنند و اینکه چرا رویکردهای خاص به‌جای روش‌های دیگر استفاده می‌شوند، درگیر می‌کنند.
من این را از نزدیک می‌دانم: هم از هیئت‌های شرکتی که در آن خدمت می‌کنم و هم از هیئت‌های مدیره‌ای که در مورد رشد کسب‌وکار و استراتژی کاهش ریسک مشاوره می‌دهم، به‌ویژه هیئت‌های مدیره شرکت‌هایی که معاملات بین‌المللی برای حیات آن‌ها مهم است – که به سختی ویژگی منحصربه‌فرد بسیاری از شرکت‌ها است. اکوسیستم اقتصادی جهانی امروز که در آن همه ما به روشی تصمیم می گیریم.
واقعیت بیهوده این است که بسیاری از اعضای هیئت مدیره می‌ترسند از اعضای تیم‌های اجرایی C-suite خود بپرسند که چه کسانی مسئول اصلی امنیت سایبری هستند – معمولاً افسران ارشد اطلاعات (CIO)، اما به طور فزاینده‌ای از افسران ارشد امنیت اطلاعات (CISO) – همه به جز کلی ترین سوالات فنی
حتی پس از آن، مسائلی که مدیران هیئت مدیره در مورد C-suite مطرح می‌کنند، تقریباً همیشه بر بزرگی مشکل و درجه‌ای که CISO معتقد است تهدیدات موجود را در بر می‌گیرد، متمرکز است.
و برای CISO ها، آنها تمایل دارند که به هیئت مدیره خود در مورد امنیت سایبری به زبانی نسبتاً گنگ توضیح دهند.
تجربه من این بوده است که یک CISO نادر است که با هیئت مدیره خود در مورد راه حل های واقعی که تیم آنها قبلاً ارائه کرده اند یا در فکر انجام آن هستند بحث می کند.
اکثر اعضای هیئت مدیره شرکتی در پرسیدن سوالات فنی از مدیران ارشد مالی (CFOs) شرکت خود در مورد گزارشگری مالی و جزئیات مربوط به آن مهارت دارند. با این حال، وقتی نوبت به سایبری می‌رسد، به نظر می‌رسد که ارعاب وارد می‌شود. لازم نیست اینطور باشد. و نباید.
برای مدیران هیئت مدیره این یک شاهکار بزرگ نیست که به اندازه کافی در درک انواع راه حل های موجود برای کاهش خطرات سایبری که ارتباطات درون سازمانی در معرض آن قرار گرفته اند یا جلوگیری از این امر، سهل باشند.
در واقع، هیأت‌ها باید بتوانند خود را به دانش لازم برای تبادلات معنادار با CISOها برای بحث در مورد جوانب مثبت و منفی راه‌حل‌های مختلف، از جمله اینکه چگونه گزینه‌های مختلف می‌توانند بر حاکمیت داخلی، بهره‌وری کارکنان، و حفظ اسناد در میان ابعاد دیگر تأثیر بگذارند، مجهز کنند.
طنز واقعی در تمام این است که آن را اغلب ارتباطات درون هیأت مدیره و در C- مجموعه خود که در آن حساس ترین مسائل شرکت های بزرگ در حال بحث.
اینها جایی هستند که بازده نفوذ سایبری بالاترین است. بنابراین جای تعجب نیست که اینها اهداف اصلی هکرها هستند.
آنها به دو دلیل بیشترین ارزش را دارند.
واضح‌ترین آن این است که این مکان‌ها در اوج دستگاه تصمیم‌گیری یک کسب‌وکار قرار دارند و بنابراین انتظار می‌رود نزدیک‌ترین اطلاعات تجاری در آن‌ها به صورت داخلی منتقل شوند.
در اتاق هیئت مدیره، چنین ارتباطاتی می تواند از جزئیات مذاکرات بر سر ارزش سهام پیشنهادی که برای خرید شرکت ارائه شده است (یا پیشنهادی که شرکت برای یک هدف خرید انجام داده است) تا نظرسنجی بین اعضای هیئت مدیره در مورد میزان وجود داشته باشد. برای حفظ (یا اخراج) مدیر عامل شرکت که متهم به درگیر شدن در یک رویه تجاری فاحش است، اعتماد به نفس خود را حفظ می کند.
در C-suite، آنها ممکن است به موضوعاتی مانند ارزیابی داخلی از تأثیرات نهایی استراتژی قیمت گذاری پیشنهادی جدید شرکت در برابر رقبا یا اطلاعاتی در مورد میزان نقص ایمنی خطرناک مربوط باشند. در داخل در فرآیند تولید پرفروش ترین محصول شرکت کشف شده است.
دلیل دوم حتی مخرب‌تر است: در این مکان‌ها ارتباطات داخلی در مورد روش‌های خاصی که شرکت برای رفع آسیب‌پذیری‌های سخت‌افزاری و/یا نرم‌افزاری استفاده می‌کند که در وهله اول ارتباطات با ارزش را نشان می‌دهد، انجام می‌شود.
اگر هکرها بتوانند راه حل های دقیقی را که مثلاً مدیر ارشد امنیت اطلاعات اعمال می کند، تعیین کنند، نه تنها آسیب پذیری باقی می ماند، بلکه شرکت اکنون ناخواسته اطلاعاتی در مورد فرآیند تصمیم گیری داخلی خود در مورد نحوه مدیریت امنیت سایبری ارائه کرده است.
این جایزه بزرگ برای هکرها است.
با توجه به این موضوع، می‌توان پرسید که جریان کلی گفت‌وگوهای در حال انجام و اقدامات انجام شده درباره امنیت سایبری در اتاق‌های هیئت مدیره شرکت‌ها، به‌ویژه مبادلات بین مدیران و اعضای C-suites چیست؟
در حالی که تعداد زیادی نظرسنجی برای دستیابی به پاسخ به چنین سؤالی انجام شده است – در واقع به ندرت یک ماه می گذرد که چندین نشریه مرتبط با هیئت مدیره شرکتی در مورد چنین نظرسنجی هایی گزارش نمی دهند – تعداد کمی از نظرسنجی ها، در صورت وجود، به اندازه کافی بزرگ بوده اند. به طور سیستماتیک یک نمونه بین بخشی نماینده را برای ارائه نتایج معنی دار به دست آورید.
بدتر از آن، ابزارهای نظرسنجی معمولاً به جای استفاده از روش‌شناسی مبتنی بر داده‌های مبتنی بر داده‌ها، یعنی روشی که تعداد واقعی دفعاتی که اقدامات خاصی توسط اعضای هیئت مدیره انجام شده یا انجام نشده است، کمیت می‌کند، معمولاً از سؤالات مبتنی بر ادراک استفاده می‌کنند.
بر اساس مشاهدات من و دیگران – برای اطمینان از اینکه یک نمونه کوچک است و ادعا نمی شود که یک نمونه نماینده است و بنابراین لزوماً برای همه هیئت مدیره شرکت ها صادق نیست – مکالمه "معمولی" در مورد سایبر در سطح هیئت مدیره بر موارد زیر متمرکز است. انواع سؤالات گسترده ای که توسط مدیران برای سازمان های CISO مطرح می شود:
آیا امنیت داریم؟
· چگونه بفهمیم که به ما نقض شده است؟
· چگونه برنامه امنیتی ما با همتایان صنعت مقایسه می شود؟
آیا منابع کافی برای برنامه امنیت سایبری خود داریم؟
· برنامه امنیتی ما چقدر موثر است و آیا سرمایه گذاری ما به درستی هماهنگ است؟
اینها قطعاً سؤالات مهمی هستند که باید پرسیده شوند (و پاسخ داده شوند). اما آنها را باید فقط به عنوان شروع کننده مکالمه دید.
چرا؟ زیرا به خودی خود، مبنایی را برای مدیران هیئت مدیره فراهم نمی کنند تا در مورد راه حل های مقایسه ای برای سیستم های ارتباطی درون سازمانی برای کاهش آسیب پذیری در برابر حملات سایبری قضاوت کنند.
من بر "مقایسه ای" تأکید می کنم زیرا مجموعه ای از راه حل های ارتباطی وجود دارد و اغلب شامل مبادلاتی از یک نوع یا دیگری است.
و چنین راه‌حل‌هایی باید هم ایمیل و هم پیام‌رسانی امن سایبری را در بر گیرند، که دومی اهمیت ویژه‌ای دارد زیرا هزاره‌ها به رتبه‌های شرکتی صعود می‌کنند. آن‌ها در دنیایی بزرگ شده‌اند که فقط پیام‌رسانی دارد و این راهی است که حتی در محل کار چه دوست داشته باشد یا نه، به برقراری ارتباط ادامه می‌دهند.
یک اتفاق نظر در حال ظهور وجود دارد که راه حل ایده آل احتمالاً راه حلی است که:
· در سراسر شرکت – از "طبقه کارخانه" تا اتاق هیئت مدیره – ایمیل و پیام های ارتباطی یک شرکت، مکالمات تلفنی، فیلم ها و فایل ها با استفاده از پروتکل های پیشرفته (هر دو این پروتکل ها) در معرض رمزگذاری تمام عیار صادقانه قرار می گیرند. در حال حاضر با مفاد به روز رسانی مداوم موجود است)
· یک تجربه کاربر دعوت کننده و سازنده وجود دارد،
· کنترل های مجوز و نگهداری سند چابک وجود دارد، و
· شیوه های حاکمیت داخلی صحیح و در عین حال منعطف را می توان به راحتی به کار گرفت (به عنوان مثال، توانایی تفکیک دسترسی به ارتباطات خاص در داخل شرکت، برای جلوگیری از خطر "دکترین در دید آشکار"، در میان سایر خطرات).
در مقابل این پس‌زمینه، در اینجا 10 مورد از پربارترین انواع سؤالات وجود دارد که مدیران هیئت مدیره و مدیران C-suite، به ویژه CISO و تیم او، باید مستقیماً در مورد راه‌حل‌های سیستم ارتباطی برای افزایش امنیت سایبری شرکت بحث کنند:
1. آیا سیستم‌های ایمیل و پیام‌رسانی مورد استفاده همه کارکنان شرکت، از جمله C-suite و هیئت مدیره، بهترین رمزگذاری سرتاسر کلاس را دارند؟
2. آیا راهی وجود دارد که ارائه دهندگان خدمات اینترنتی (ISP) این شرکت بتوانند ارتباطات شرکت را روی سرورهای خود رمزگشایی کنند؟
3. فرآیندی که توسط آن شرکت به طور منظم نرم افزار ارتباطی مورد استفاده را در مقایسه با جایگزین های موجود در بازار محک می زند، چیست؟
4. فرآیند به روز رسانی امنیتی سیستم چقدر خودکار و پیچیده است؟
5. آیا سیستم در حال حاضر یک برنامه کاربردی و راه حل مبتنی بر ابر است یا به زیرساخت های گران قیمت یا سخت افزار اختصاصی نیاز دارد ؟
6. آیا سیستم در همه سیستم عامل ها و با همه دستگاه های تلفن همراه، تبلت ها و دسکتاپ ها کار می کند؟
7. آیا سیستم به طور کامل در سطح جهانی قابل استقرار است؟ چه مراحلی برای کاهش قرار گرفتن در معرض هک برای کارمندان شرکتی که در پرخطرترین بازارهای سایبری جهان کار می‌کنند انجام می‌شود؟
8. آیا C-suite به طور معمول نظرسنجی های سراسری شرکت را برای ارزیابی میزان وجود کارمندانی که تجربه کاربری سیستم فعلی را مناسب نمی دانند، اجرا می کند؟ بازخورد منفی چقدر گسترده است؟ برای رفع آن چه اقدامات خاصی انجام می شود؟
9. توانایی سیستم در تقسیم بندی ارتباطات و اسناد داخلی چقدر است؟
10. نرم افزار ارتباطی شرکت از نظر ارائه کنترل های سیستماتیک چرخه عمر اطلاعات در سطح سازمانی، از جمله تخریب و حفظ اسناد و داده های داخلی پرخطر یا اختصاصی، چقدر قوی است؟
این به‌روزرسانی ستون استراتژی رهبری ماهانه فوربس من در سال 2018 است: «نظارت هیئت‌های شرکتی بر ریسک‌های سایبری بیش از حد منفعل است»

source

توسط bookheart

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *