پنج نکته مهم برای ارزیابی مجدد ریسک امنیت فناوری اطلاعات

بر اساس Growth Intelligence، بیش از 85،000 کسب و کار آنلاین در طی قرنطینه اول در انگلستان راه انداخته شدند – یک شماره فوق‌العاده. برای برخی از آن‌ها، این یک حرکت بود تا در پی رسیدن به منابع درآمدی جدید یا توسعه کسب و کارهای موجود به علت اخراج‌های بی‌شماری که ویروس کرونا باعث شده بود. برای دیگران، این یک فرصت طلایی بود تا یک حرفه جدید را دنبال کنند یا محصول یا خدمتی جدید را برای مخاطبان از راه دور راه‌اندازی کنند.

 

بسیاری از اینها کسب و کارهای کوچکی بودند که شاید قبلاً هرگز به صورت آنلاین معامله نکرده بودند، یا مطمئناً به شیوه ای قابل توجه نبودند. این کسب‌وکارها با مقیاس‌پذیری و به احتمال زیاد ناخواسته، سطوح حمله جدیدی را باز کرده‌اند و خود را در برابر حملات سایبری آسیب‌پذیرتر می‌کنند. جایی که ممکن است نقض در یک سازمان بزرگتر شامل جریمه هنگفت و صدمه به اعتبار قابل توجهی تلقی شود، برای یک کسب و کار کوچک ممکن است میخ بر تابوت باشد، زیرا آنها اغلب ابزار اقتصادی برای حمایت از یک دوره اختلال را در اختیار ندارند. . این موضوع در تحقیقات اخیر نیز مشهود است که نشان می‌دهد تقریباً یک چهارم از شرکت‌های کوچک و متوسط بریتانیا در صورتی که مجبور به پرداخت هزینه متوسط یک حمله سایبری باشند، احتمالاً از کار می‌افتند.

بنابراین، کسب و کارهای کوچکتر چگونه در معرض خطر هستند؟

به خوبی مستند شده است که 43٪ از تمام نقض های داده مربوط به SMB ها است. این کسب‌وکارها اغلب در سال زمانی را صرف بررسی هزینه‌های خود می‌کنند، و این باید با بررسی پروتکل‌های امنیتی و مدیریت ریسک فناوری اطلاعات همراه باشد. کسب‌وکارها باید به سرمایه‌گذاری خود نگاه کنند و اطمینان حاصل کنند که هر گونه خطری کاهش می‌یابد و به آنها یک شبکه ایمنی اضافه و آرامش خاطر می‌دهد. مدیریت ریسک فناوری اطلاعات اکنون یک زمینه بسیار بالغ است و دستورالعمل‌ها و چارچوب‌های متعددی مانند ISO 31000، تجزیه و تحلیل نیروهای پنج‌گانه پورتر یا ماتریس آنسوف وجود دارد. این ابزارها به کسب‌وکارها اجازه می‌دهند ریسک سرمایه‌گذاری را ارزیابی کنند و چارچوبی را برای پیش‌بینی و رسیدگی به اختلالات احتمالی کسب‌وکار فراهم کنند. سرمایه گذاری در پروژه اشتباه می تواند اثرات منفی قابل توجهی بر کسب و کار داشته باشد، اما با برنامه ریزی صحیح، بهبود (تقریبا) همیشه امکان پذیر است.

بدون سرمایه‌گذاری در امنیت فناوری اطلاعات و درک مدیریت ریسک، کسب‌وکارها نمی‌توانند هیچ اشتباهی مرتکب شوند. اما با پیچیدگی محیط های تجاری مدرن، اشتباه نکردن غیرممکن است. بنابراین، همانطور که ما شروع به مشاهده کسب و کارهای جدید و موجود از همه‌گیری می‌کنیم، مهم است که کسب‌وکارها سیاست‌های کاری جدید را اجرا کنند و زمان بگذارند تا به این فکر کنند که واقعاً در برنامه‌ریزی تجاری چقدر مطمئن هستند. آنها همچنین باید از خود بپرسند که آیا برنامه ای برای تداوم دارند یا خیر.

در زیر 5 نکته مهم وجود دارد که اجرای یک استراتژی ریسک امنیت فناوری اطلاعات را موفق می‌سازد و با شروع سفر جدیدی که بسیاری از کسب‌وکارها ممکن است احساس سردرد فناوری اطلاعات را داشته باشد، از بین می‌رود.

1. مدیریت فناوری اطلاعات را درک کنید

اولین چیزی که در دستور کار قرار می گیرد باید افزایش درک در مورد قرار گرفتن در معرض سایبری باشد. یافتن خطرات برای حفظ فعالیت بسیار مهم است، اما می تواند یک کار مهم باشد. خوشبختانه، صنعت و سازمان های ملی مقررات و چارچوب هایی را برای کمک به شفاف سازی تعهدات تجاری و حفاظت از عملیات شرکت ارائه می کنند. استانداردهای نظارتی که معمولاً به آنها ارجاع می شود عبارتند از ISO 27001، IEC 62443 و چارچوب های NIST.

2. سطح حمله زیرساخت IT خود را کاهش دهید

کنترل و محافظت از حساب‌های دارای امتیاز نیز باید در صدر فهرست ریسک‌های فناوری اطلاعات قرار گیرد. این حساب‌ها یک انتخاب ایده‌آل برای افرادی هستند که اهداف مخرب دارند، زیرا با یک حساب کاربری، مهاجم می‌تواند توانایی استخراج، دستکاری یا رمزگذاری داده‌های حیاتی یا نفوذ عمیق‌تر به زیرساخت‌ها و عملیات را به دست آورد. درک اولیه از خطرات به شما امکان می دهد تا ابزارهای مناسب را برای محافظت از حساب های دارای امتیاز استفاده کنید.

3. استراتژی دسترسی از راه دور خود را در نظر بگیرید

کارگران از راه دور یا نگهبانان شخص ثالث که زیرساخت های حیاتی را مدیریت می کنند، می توانند شبکه شرکت را در معرض طیف وسیعی از خطرات جدید قرار دهند. هنگام اتصال به دارایی های IT از خارج از شبکه شرکتی، کاربران راه دور ممکن است از امتیازات بالایی برای کارکردن سیستم های حیاتی برخوردار باشند. و با این حال آنها از حفاظت محیطی شبکه بهره نمی برند. از آنجایی که این کارمندان از نظر فیزیکی قابل مشاهده نیستند، این چالش اضافی را اضافه می کند که نمی تواند هویت آنها را تضمین کند – به این معنی که آنها ممکن است از نقاط پایانی کنترل نشده یا آسیب پذیر متصل شوند. شناسایی این خطرات بخش مهمی از استراتژی ریسک امنیتی است.

4. اصل حداقل امتیاز را اعمال کنید

یک راه کارآمد برای اطمینان از اینکه کاربر دارای امتیازات نمی تواند به زیرساخت آسیب برساند، صرفاً حذف امتیازات است. اما این یک اقدام شدید است و اگر ناگهان دیگر قادر به دسترسی به منابع کلیدی برای انجام وظایف خود نباشند، احتمالاً تأثیر قابل توجهی بر روی بهره‌وری و بهره‌وری کاربران خواهد داشت. به عنوان مثال، خط مشی ای که اصل حداقل امتیاز را با راه حل مدیریت ممتاز نقطه پایانی اعمال می کند، امتیازات دسترسی را به حداقل محدود می کند و کارایی کار را تسهیل می کند. به این ترتیب، تنها امتیاز حق در زمان مناسب برای اقدام مناسب به کاربر اعطا می شود.

5. به هیچکس اعتماد نکنید

ممکن است در ابتدا خشن به نظر برسد، اما هرگز نباید به طور خودکار حتی به کاربران ممتاز اعتماد کنید.اگر فکر کنید که کاربران داخلی ذاتاً از نظر فنی قابل اعتمادتر از کاربران خارجی هستند. به یاد داشته باشید – همه انسان ها خطاپذیر هستند و حتی کارمندانی که امتیازات بالاتری دارند می توانند اشتباه کنند و دستور اشتباه را در سیستم بحرانی اشتباه اجرا کنند. کارکنان همچنین مستعد کلاهبرداری های پیچیده هستند و ممکن است در معرض تلاش های پیچیده فیشینگ قرار بگیرند. و متأسفانه هرگز فراموش نکنید که انتقام کارمندان وجود دارد.

با مدیریت مخاطرات، سازمان‌ها می‌توانند شرایط پیروزی را فراهم کنند.

تجارت به دلیل ماهیت خود همیشه پرخطر است. بهینه سازی تولید، انتخاب بهترین تجهیزات، تعیین بودجه… کسب و کار همه چیز در مورد گرفتن تصمیمات حساب شده و آگاهانه به منظور موفقیت و به حداقل رساندن ضرر است. مدیریت ریسک فناوری اطلاعات تفاوتی ندارد. زمانی که به خوبی برنامه ریزی شده باشد و حفاظت های مناسبی در آن وجود داشته باشد، کسب و کار برای برنده شدن راه اندازی می شود.

با آسیب پذیری کسب و کارهای کوچک در برابر حملات سایبری و عواقب چنین حوادثی به طور بالقوه کشنده، سرمایه گذاری در استراتژی مدیریت ریسک فناوری اطلاعات بسیار مهم است – در واقع، هر چه زودتر، بهتر. حفاظت از کاربران ممتاز و به ویژه دسترسی ممتاز باید جزء اصلی این امر باشد. با انجام اقدامات کافی، کسب و کارها به طور چشمگیری خطر به خطر افتادن زیرساخت های خود را کاهش خواهند داد. جلوتر از بازی. از هم اکنون استراتژی خود را برنامه ریزی کنید – از جمله بودجه ای که باید بر روی آن اجرا کنید – و یک خط مشی سنجیده برای محافظت از کسب و کار خود را اجرا کنید. سود سهام پرداخت خواهد کرد.