۵ گام در ارزیابی اهمیت خطرات امنیت سایبری

سازمان ها دائما در معرض تهدیدهای امنیتی سایبری هستند. Botnet ها، بدافزارها، ویروس ها، کرم های رایانه ای و هک تنها چند نمونه کوچک است که مدیران IT را همیشه بیدار نگه می دارد، تا از ایمنی و قدرت شبکه خود برای مقابله با این حملات مطمئن باشند. به جای این شب بیداری ها، به نظر می رسد که سازمان ها نیاز به یک شیوه و اسلوب مشخص برای اولویت بندی و نشان یابی خطرات امنیت سایبری دارند. 

سازمان های بسیار زیادی از ضعف های امنیتی رنج کی برند که اولویت بندی برای برطرف کردن آن ها با وجود منابع محدود، غیر ممکن است. برخی هم تلاش می کنند بهترین عملکردهایی را  که برای دیگر سازمان ها مفید بوده به کار ببرند.، به این امید که آنچه برای دیگران مفید بوده برای آنها نیز کاربردی باشد. اما هیچ یک از این راهها استراتژی معقولی برای محافظت از اطلاعات نیست.

CDW به سازمان ها 5 گام را در توسعه پایه های  محکم  برای استراتژی امنیتی شان توصیه می کند. این گام ها برای سازمان هایی که راهنمای ساده ای برای شروع به کار نیاز دارند مناسب است. برای شروع به کار باید تصمیم گیرندگان را از تمام سازمان دور هم جمع کنند. بهترین حالت گروهی متشکل از 5 تا 6 نفر است، اما هدف این است که از تمامی بخش ها (برای مثال : واحد کسب و کار، واحد IT ، واحد مالی ، مدیریت و غیره) افرادی حاضر باشند .

۱- شناسایی اطلاعات ارزشمند

انواع اطلاعات اولیه ای که یک سازمان دارد (برای مثال شماره های تامین اجتماعی، شماره کارت های حقوق، سوابق بیماری، طرح ها، اطلاعات منابع انسانی ) را در نظر بگیرید و یک لیست از اولویت های اطلاعاتی که باید نگهداری و حفاظت شوند را تهیه کنید. به عنوان یک راهنمایی بیشتر از یک یا دو ساعت روی این مرحله زمان نگذارید.

۲- تعیین محل اطلاعات ارزشمند

لیستی از مکان نگه داری اطلاعات ارزشمند در سازمان را تهیه کنید. مانند سرورها، کامپیوترهای کاری، لپ تاپ ها، ابزارهایهای جداشدنی (هارد اکسترنال، کول دیسک و…) تلفن ها، بانک های اطلاعاتی و…

۳- طبقه بندی اطلاعات ارزشمند

لیست اطلاعات ارزشمند را رتبه بندی کنید. یک مقیاس از 1 تا 5 را با دسته بندی زیر در نظر بگیرید:

• ۱- اطلاعات عمومی (مثلا بازاریابی و فروش، اطلاعات تماس، گزارش های مالی اتمام یافته و غیره )
• ۲- اطلاعات داخلی غیر محرمانه (مثلا لیست تلفن، چارت سازمانی، بیمه نامه و غیره )
• ۳- اطلاعات حساس داخلی (مثلا برنامه های کسب و کار، طرح های استراتژیک، موارد مربوط به توافق نامه های پنهانی و غیره )
• ۴- اطلاعات داخلی طبقه بندی شده ( مثلا اطلاعات پاداش ها، برنامه های ادغام و کسب رتبه، طرح های پرداخت غرامت و غیره )
• ۵- اطلاعات کنترل شده کاملا محرمانه (مثلا اطلاعات بیماران ، اطلاعات  طرح های انحصاری و غیره )

این طرح طبقه بندی به سازمان این امکان را می دهد که اطلاعات ارزشمند را بر اساس میزان ضرر و خسارتی که در صورت فاش شدن یا تغییر کردن وارد می شود، دسته بندی کند. تیم بررسی باید در  اینجا سعی کنند که واقع بین باشند و به توافق برسند. 

۴- اجرای شبیه سازی خطر

خطراتی که دارایی اطلاعاتی یک سازمان بیشترین برخورد را با آنها دارند، ارزیابی کنید. یک راه برای انجام این کار استفاده از روش STRIDE مایکروسافت است، که ساده، روشن و واضح بوده و حاوی بیشتر خطرات درجه یک است. همچنین استفاده از یک مشاور با تجربه خارج از سازمان در این جا توصیه می شود. یک صفحه گسترده (فایل اکسل) برای هر دارایی بسازید و دسته های STRIDE را بر روی محور X آن لیست کنید.

STRIDE :

S : سرقت هویت

T : دستکاری داده ها

R : لغو تراکنش ها

I : افشای اطلاعات

D: محرومیت از سرویس

E : افزایش سطح دسترسی

بر روی محور Y، محل قرار گیری داده که در گام 2 شناسایی شد را لیست کنید. برای هر سلول براوردهای زیر را انجام دهید:

• احتمال بروز این خطر در دارایی مورد نظر
• تاثیری که این ضعف امنیتی بر روی سازمان خواهد داشت

هر یک از دو مورد بالا را با اعداد یک تا ده امتیاز بدهید. (مثلا 1 برای احتمال کم و یا تاثیر بسیار کم، 10 برای احتمال قطعی و فاجعه آمیز ) سپس امتیاز این دو مورد را در هم ضرب کرده و در سلول ها قرار دهید. صفحه گسترده باید با اعداد 1 تا 100 پر شود. این کار برای سازمان های کوچک یک روز کامل و برای سازمان های بزرگ تر چندین روز طول می کشد. 

۵- مرحله جمع آوری اطلاعات را به اتمام رسانده و برنامه ریزی را شروع کنید

تمامی سلول های برگه ها را در عدد طبقه بندی مشخص شده در مرحله سه (اعداد ۱ تا ۵) ضرب کنید. نتیجه این کار رتبه بندی کامل و معقولانه از تهدیدهایی است که برای سازمان وجود دارد. این درجه بندی، هم شامل اهمیت دارایی مورد نظر و هم طیف گسترده ای از پیش آمدهای احتمالی است. یک برنامه امنیتی مناسب تمامی خطرات شناسایی شده با بالاترین اعداد را بررسی می کند.

بسیاری از سازمان ها حدودی به صورت زیر تعیین می کنند:

1-250 در این رنج بر روی تهدید و خطر تمرکز نمی شود.

250-350 بر روی این خطرات تا جایی که زمان و بودجه اجازه دهد تمرکز می شود.

350-450 در پایان سال مالی بعدی به آنها رسیدگی می شود.

450-500 بلافاصله مورد توجه قرار می گیرند.

این حدود فقط نمونه  هستند و در عمل نتایج بالا یا پایین بازه در نظر گرفته می شوند. و بنابراین سازمان ها باید بر اساس آن واکنش ها و پاسخ ها را تنظیم کنند. هدف از ارزیابی ریسک، پایه ریزی درست برنامه امنیتی است. اما ارزیابی ریسک به تنهایی مسائل و مشکلات  امنیتی را حل نمی کند. 

CDW پیشنهاد می کند که سازمان ها با تمرکز بر روی خطرات خاص و استفاده از راههای مقرون به صرفه، هزینه ها را کاهش دهند. با داشتن لیستی از خطرات، سازمان ها می توانند تلاش خود را بر روی خطراتی که از اهمیت بیشتری برخوردارند متمرکز کنند و بر روی تکنولوژی های امنیتی یا فعالیت های غیر ضروری یا غیر مرتبط با مشکلات شناسایی شده، وقت و هزینه صرف نکنند.

منبع نگهبان