پرداختن به بلوغ سایبری می تواند استراتژی امنیت سایبری کسب و کار را بهبود بخشد.

25 مارس 2024-بلوغ سایبری-© shutterstock/Pressmaster

فیل رابینسون، مشاور اصلی Prism Infosec، توضیح می دهد که چگونه پرداختن به بلوغ سایبری می تواند استراتژی امنیت سایبری کسب و کار را بهبود بخشد.

تعیین اثربخشی اقدامات امنیت سایبری شما ممکن است بیهوده به نظر برسد. با این حال، یک گزارش اخیر از گروه صنعتی ISACA نشان می دهد که تنها 65٪ از سازمان ها به طور منظم ارزیابی بلوغ سایبری را انجام می دهند.

علاوه بر این، گزارش State of Cybersecurity 2023 ادعا می‌کند که این عددی است که در دو سال گذشته تا حد زیادی ثابت مانده است، که نشان می‌دهد هنوز به‌عنوان یک هزینه کاهش‌یافته تلقی می‌شود تا وسیله‌ای برای تمرکز سرمایه‌گذاری و اجتناب از هزینه‌های مقابله با یک نقض .

اولاً، ارزش آن را دارد که بدانید اهمیت امنیت سایبری چیست و قابلیت دستیابی آن را در زمینه قرار دهیم. ISACA آن را به عنوان آمادگی استراتژیک یک سازمان برای کاهش تهدیدات و آسیب پذیری ها توصیف می کند، اما مهم است که توجه داشته باشیم که این یک روند متحرک است. با تکامل حملات سایبری و افزایش طیف تهدید، تدارکات امنیت سایبری باید قادر به مقابله پیشگیرانه با این رشد باشد، بنابراین یک برنامه بلوغ سایبری باید همگام با آن سطح از تغییرات باشد. تنها راهی که می‌توانیم تشخیص دهیم این دو به خوبی هماهنگ هستند، ارزیابی بلوغ سایبری است.

بلوغ سایبری با بررسی کنترل‌ها و فرآیندهای امنیتی موجود و توانایی آنها برای کاهش یک حادثه بالقوه ارزیابی می‌شود. ارزیابی‌ها بر اساس یک چارچوب مبتنی بر ریسک مانند چارچوب امنیت سایبری NIST (CSF)، با سطح دستاورد در مقیاس کشویی 0-5 یا با استفاده از اصطلاحات درجه‌بندی شده (یعنی اولیه، در حال توسعه، تعریف شده، مدیریت شده یا بهینه‌سازی شده) است. ، در نتیجه یک معیار ارائه می دهد.

این اجازه می دهد تا مناطق برای بهبود شناسایی شوند. همچنین بسیار ارزشمند است زیرا اثربخشی مقررات فعلی را به شیوه‌ای که برای تیم‌های فناوری اطلاعات/امنیتی، مدیریت ارشد و هیئت مدیره قابل درک باشد، به اشتراک می‌گذارد.

در واقع، توسعه درک و برقراری ارتباط موثر امنیت سایبری یک سازمان آنقدر مهم است که اکنون به عنوان ششمین الزام در NIST 2.0 که در ماه فوریه رونمایی شد، گنجانده شده است. در نسخه دوم CSF، که در ابتدا برای اهداف فدرال ایالات متحده توسعه داده شد، ده سال پیش، این چارچوب بهینه‌سازی شده است تا برای سازمان‌های تجاری که اکنون از آن در سراسر جهان استفاده می‌کنند، کاربرد بیشتری داشته باشد.

پیوستن به پنج رکن شناسایی، محافظت، شناسایی، پاسخگویی و بازیابی یک عملکرد «حاکمیتی» است که همه آن‌ها را در بر می‌گیرد و هدف آن روشن‌سازی چگونگی ایجاد، ارتباط و نظارت بر ریسک امنیت سایبری است. دولت باید امیدوار باشد که وضعیت حکمرانی را ارتقا دهد و ممکن است تقاضا برای ارزیابی بلوغ امنیت سایبری را ببیند.با این حال، چندین محرک دیگر وجود دارد که باید پذیرش را تقویت کند. بلوغ امنیت سایبری می تواند شواهد محکمی از دقت لازم را که کسب و کارها باید بتوانند در تعدادی از سناریوها نشان دهند، ارائه دهد. برای مثال، بیمه‌گران امنیت سایبری به طور فزاینده‌ای درخواست می‌کنند، که به دنبال شواهدی از مشتریان بالقوه یا تمدیدکننده کنترل‌هایی هستند که برای کاهش ریسک و سطح قرار گرفتن در معرض آنها اعمال می‌کنند.

حتی شواهدی برای حمایت از این موضوع وجود دارد، با گزارش وضعیت دفاع سایبری 2023 از کرول نشان می‌دهد که افراد دارای بلوغ امنیت سایبری قوی، حوادث امنیتی کمتری را تجربه کرده‌اند و در شناسایی حملات روز صفر بسیار موفق‌تر هستند.

طبق گزارش Cost of a Data Breach 2023 از IBM، ادعا می‌شود که به دلیل هزینه‌های بالای مقابله با نقض داده‌ها، که طی سه سال گذشته 15 درصد افزایش یافته است، این پتانسیل صرفه‌جویی میلیون‌ها نفر را دارد. در نتیجه، داشتن درک درستی از بلوغ سایبری می‌تواند به سازمان کمک کند تا بیمه را تضمین کند و حتی هزینه حق بیمه را کاهش دهد. حتی ممکن است در آینده به یک الزام اجباری تبدیل شود، دقیقاً مانند MOT برای بیمه موتور.

از نقطه نظر نظارتی، بلوغ امنیت سایبری نیز می تواند به انطباق کمک کند. ما شاهد اجرای بخشی از مقررات جدید در سال جاری هستیم که نمونه بارز آن دستورالعمل امنیت شبکه و اطلاعات (NIS 2) در ماه اکتبر است.

در حالی که این مورد در حال حاضر فقط در اروپا اعمال می شود، بر کسانی که در این قاره تجارت می کنند نیز تأثیر می گذارد و انتظار می رود شاهد تجدید نظر در نسخه قبلی خود – NIS – باشد که همچنان در بریتانیا اعمال می شود.

NIS2 شاهد گسترش قابل توجهی در دامنه است، که اکنون بیش از 160000 کسب و کار را در 18 بخش که برای عملکرد اقتصادی موثر کشورهای درگیر حیاتی تلقی می شوند، ترکیب می کند و مسئولیت پذیری شخصی و جریمه های قابل توجهی را برای عدم رعایت آنها معرفی می کند. به همین دلایل، اکنون بسیاری از این موضوع حمایت می‌کنند که اولین قدمی که یک کسب‌وکار باید در سفر خود به سوی انطباق بردارد، انجام یک ارزیابی بلوغ امنیت سایبری است که می‌تواند نشان دهد کسب‌وکار در حال حاضر در کجا قرار دارد و به چه چیزی نیاز دارد.

همه اینها دلایل محکمی برای انجام ارزیابی بلوغ امنیت سایبری هستند، اما برای بسیاری، می‌تواند برای توجیه زمان و منابع لازم برای انجام آن‌ها تلاش کند. سه دلیل اصلی که توسط ISACA برای انجام ندادن این کار کشف شد، زمان مورد نیاز (41٪)، پرسنل ناکافی برای انجام ارزیابی (38٪) و فقدان تخصص داخلی (22٪) بود. تامین منابع نیز یک مشکل بود، با افزایش تعداد افرادی که ادعا می‌کردند ابزار مناسبی ندارند (19%) یا اینکه هزینه ابزارها مانع است (18%).

این مسائل صرف نظر از اندازه کسب و کار در سراسر جهان احساس می شود. برای مثال، SMEها ممکن است سطح حمله کوچکتری داشته باشند، اما تمایل به عدم استراتژی مدیریت ریسک دارند. در نقطه مقابل این مقیاس، شرکت‌های بزرگ، که ممکن است یک CIO/CISO و تیم حسابرسی اختصاصی داشته باشند، متوجه می‌شوند که هر دو به دلیل افزایش حجم کار، بیش از حد کشیده شده‌اند.

به این دلایل، برون سپاری ارزیابی در حال تبدیل شدن به یک جایگزین محبوب برای ارزیابی وضعیت امنیت سایبری است. با این حال، به منظور حرکت واقعی و وادار کردن سازمان‌ها به انجام چنین ارزیابی‌هایی بیشتر، سازمان‌ها باید بتوانند نه تنها ارزش عملیاتی، بلکه ارزش مالی را نیز ببینند.

این اتفاق اکنون شروع شده است زیرا بیمه‌گران امنیت سایبری و قانون‌گذاران این پرونده را تقویت می‌کنند، که فقط می‌تواند چیز خوبی باشد.

امید این است که پذیرش با سرعت شروع به جمع‌آوری کند تا این موارد به بخشی عادی از روشی که کسب‌وکارها در آن فعالیت می‌کنند، افزایش آگاهی و ارتباط نیاز به انعطاف‌پذیری امنیت سایبری در کل سازمان تبدیل شود.