مقاله

۱۰ راهنمایی برای اولویت بندی هزینه های امنیت سایبری

مدیریت هزینه ها و اولویت بندی یک معیار بسیار مهم در تامین امنیت سایبری یک سازمان می باشد. در این مقاله به بررسی این موضوع می پردازیم.

شما حتما تمامی توصیه‌های امنیتی را می‌دانید، اینکه باید فایروال داشته باشید و یا برنامه و سیستم خود را بروز رسانی شده حفظ کنید، اما دیگر این ابزار برای حفاظت از محیط امنیتی شما کافی نیست. بنابراین شما باید به یک قابلیت جامع در شبکه‌ی داخلی خود دست پیدا کنید. بهتر است اطمینان پیدا کنید که تست نفوذ و بسیاری از موارد دیگر را را انجام داده باشید اما پیاده سازی این موارد همیشه مشکلاتی برای ما دارند و تقریبا تمامی این مشکلات، به خاطر پول است. سازمان‌ها، باید در خصوص پرداخت‌ها هوشمندانه عمل کنند. به این خاطر که شما به خاطر چیزی که خریداری نکردید، پولی نپردازید. بنابراین تصمیم گرفتیم تا با کارشناسان امنیتی در این خصوص صحبت کنیم، تا نحوه‌ی برخورد با این شرایط را بررسی کنیم.

اینکه چه مراحلی را باید برای پرداخت نکردن پول طی کرد؟ و یا چه تصمیمی گرفته شود را با چندین راهنمایی برای شما توضیح می دهیم.

 

  • در خصوص اینکه چه دیتاهایی به واقع به محافطت احتیاج دارند، فکر کنید.

Todd Mileecam مدیر ارشد فنی و مشاور DevOps در بخش خدمات فناوری اطلاعات SWYM System می‌گوید، هرچیزی که در سرور شما وجود دارد مهم نیست و هرچیزی به آن سطح دفاعی بالا احتیاج ندارد. بعضی از دیتاها مهم نیستند. در حالیکه اطلاعات پرداخت، اطلاعات تماس و اطلاعات شخصی از آن دسته از دیتاهایی هستند که باید از آنها محافظت شود و اطلاعات سطحی چندان اهمیتی ندارند.

Stu Bradley معاون راهکارهای امنیت سایبری در SAS گفته است، به طور کلی شما می‌توانید از پروژه‌های کسب و کاری خود شروع کنید و سپس از مهم ترین آنها حمایت کنید. برای مثال، اگر شما خرده فروش هستید، مهم است که از اطلاعات پرداخت مشتری و سایر اطلاعات قابل شناسایی شخصی، محافظت کنید.

این موضوع به همان اندازه مهم است که مشتریان بتوانند به طور ایمن معاملات خود را در وبسایت‌ها و در هر زمانی، انجام دهند.

 

  • کم کردن معضل‌ها

حفظ کردن این شرایط، با بروزرسانی شبکه، آسان است. اما Robert Wood مدیر ارشد فنی، در شرکت نرم افزاری Source Clear می‌گوید، کلید اصلی این است که نا امید نشوید. یکی از مواردی که به نظر من بسیار حائز اهمیت است، این است که مشکلات بزرگ خود را به مشکلات کوچکتر تبدیل کنید. تا راحت تر قابل حل کردن باشند، وی افزود، تمرکز بر روی مسایل کوچکتر، تکراری و قابل تست کردن در طول زمان می‌تواند به بهبود شرایط امنیتی کمک کند.

 

  • فعال کردن Autopilot

Tony Buffomant لیدر KPMG خدمات امنیت سایبری در ایالات متحده، پشنهاد می‌کند که، از ابزارهای دیجیتالی خودکار برای تجزیه و تحلیل دستگاه‌های آسیب دیده استفاده شود. شرکتها دیگر مجبور نیستند که هرچیزی را بر روی سیستم خود نصب کنند. آنها می‌توانند به جای هزینه‌های هنگفت برای یک تحلیل گر بسیار با تجربه برای انجام کارهای قانونی، از ابزار دیجیتالی ارزان با پاسخ دهی سریع در حوزه ی امنیت سایبری، استفاده کنند.

 

  • متمرکزکردن استانداردهای امنیتی

Jeff William یک از بناینگذاران نرم افزارهای امنیتی در شرکت Contrast Security می‌گوید، پیچیدگی زیاد، دشمن امنیت است. برای کاهش این پیچیدگی‌ها، از یک مجموعه‌ی استاندارد از منابع امنیتی، فرایندها و ابزارهای موجود استفاده کنید. وی افزود؛ با حداکثر امکان، دفاع از امنیت خود را با کنترل ساده، اثبات شده و موثر متمرکز کنید. هنگامی که یک پروژه از رویکردهای مختلف استفاده کند، ارزیابی و حفاظت از آن غیر ممکن می شود.

 

  • می‌توانید بر روی کمک انجمن‌ها متکی باشید

Kenneth S Robb مشاور امنیت سایبری در شرکت Citadel Cyber Solutions به شما یاد آوری می‌کند که شما تنها نیستید، کل انجمن‌های موجود امنیتی می‌توانند به شما کمک کنند. او می گوید؛ در اکثر تجربه‌هایی که داشتم از ابزارهای منابع باز استفاده کردم. بسیاری از این ابزارها در ابتدا برای شروع، رایگان هستند، اما هنگام ارتقا به نسخه‌های بعدی، پولی می شوند . این ابزار برای شما می‌تواند یک نقطه‌ی شروع تلقی شود. وی هم چنین از کاربران خواسته است تا به اتحاد Infragard  (اتحادیه‌ی میان FBI و صنایع آمریکا، که بیش از ۵۰ کشور در آن عضو هستند) بپیوندید.

 

  • آزمایش تست نفوذ

SMYM s Millecam می‌گوید، تنها به این دلیل که شما نمی‌توانید، یک فرایند هک را شبیه سازی کنید، به این معنا نیست که نمی‌توانید تست نفوذ را انجام بدهید. اگر شما یک تیم کوچکی از افراد داشته باشید که بتوانید با آنها این شبیه سازی را انجام دهید دیگر به تست نفوذ احتیاجی ندارید. شما در حقیقت یک تیم نایت هک را ایجاد می کنید و تا جایی که امکان دارد سعی می‌کنید تا کدهای یکدیگر را بدون استفاده قانونی و در دسترسی به ادمین به خطر بیاندازید.

 

  • برای بدترین شرایط برنامه ریزی داشته باشید.

برنامه ریزی برای شرایط نابسامان ، شامل خرید نرم افزار و یا سخت افزارهای امنیتی که مانع هک کردن شما است، نمی باشد، بلکه طبق گفته‌ی Ron Winward شامل برنامه‌ای است که بتواند در صورت وقوع حوادث بموقع واکنش نشان دهد. توصیه‌ی اول من این است که، این برنامه باید در صورت وقوع حادثه آماده باشد و بموقع واکنش نشان دهد. گزارش سالانه‌ی امنیت جهانی  Rod Ware نشان می دهد که ، از هر ۳ شرکت، یکی از آنها طرحی برای واکنش نشان دادن به حوادث احمالی، در دست ندارند.

 

  • برون سپاری

اینکه پولی ندارید، اصلاَ مشکلی نیست؟ larry Cecchini مدیر عامل و مدیر ارشد فناوری امنیتی در شرکت Secure Design  می گوید، برون سپاری و یا واگذاری فعالیت‌های داخلی یک شرکت به یک تامین کننده‌ی خارجی تحت قرارداد مشخص می‌تواند در هزینه های شما در طولانی مدت صرفه جویی کند.

 

  • هک نمودار سازمانی

Justin Davis مدیر فروش شرکت مخابراتی Century Link می‌گوید، گاهی اوقات لازم است که تفکر افراد را در خصوص فناوری اطلاعات تغییر دهیم چرا که این تغییر می‌تواند برای امنیت اطلاعات مفید باشد. شما می‌توانید یک آزمایش مهندسی اجتماعی، سریع انجام دهید و نشان دهید این فرایند هک توسط ماشین صورت نگرفته است بلکه توسط افراد آموزش دیده انجام گرفته است. اگر مشکلی برای افراد آموزش دیده ایجاد شود، این مشکل تبدیل به مشکل HR (نیروی منابع انسانی) می‌شود. هدف کلی برقرای بهترین امنیت است.

 

  • دنبال کردن هزینه‌های مالی

Davis می‌گوید، در حقیقت کلید اصلی تامین امنیت سایبری، لزوما جلوه دادن مشکل شما در بخش فناوری اطلاعات نیست، شما می‌توانید از آنها در این خصوص سوال کنید که اگر CRM هک شود، آیا می توانم برای شرکت کاری کنم یا نه ؟ و یا اینکه چقدر هزینه بر است؟ و سپس آنها شروع به تعیین مقدار آن می کنند و انتخاب را برای افراد آسان تر می‌کنند. اگر شما با یک مدیر اجرایی یک شرکت به بحث در خصوص حملات مختلف و خطرات ناشی از آن صحبت می‌کنید، چندان اهمیت خاصی قایل نمی‌شوند، اما اگر بگویید این سیستم دچار حمله شده است  و X دلار هزینه‌ی تعمیر آن است، این یک مکالمه‌ی تجاری استاندارد در آن زمان است و باعث می شود که تصمیم گیری سریعتر انجام شود.

 

مطالب مرتبط:

بیگ دیتا ، یادگیری ماشین و هوش مصنوعی سه قدرت جدید صنعت امنیت سایبری

هوش مصنوعی و امنیت سایبری: یک ادغام فوق العاده

بهترین دوره های هک و امنیت سایبری کدام‌ها هستند؟ شرح هزینه ها و میزان اعتبار آنها

 


۱۰ راهنمایی برای اولویت بندی هزینه های امنیت سایبری


 

نسرین ذاکری
نویسندهنسرین ذاکری

دیدگاهتان را بنویسید