در این مقاله خلاصه صحبتهای انجام شده توسط مجموعه کارکسب به عنوان یک مجموعه متمرکز بر بهبود کسب و کارهای کشور و خانم دکتر رویا دهبسته مدیرعامل باگدشت ارائه شده است. موضوع این صحبت، امنیت سامانه‌ها، روال اجرای آن در سازمان‌ها، تاثیر آن در موفقیت کسب و کار و چالش‌های روبرو در سازمان‌ها می‌باشد

امنیت سامانه‌ها

 امنیت نوعی بهبود در سازمان به‌عنوان یک سیستم پیچیده است. همان‌طور که سازمان نیز مانند بدن انسان یک سیستم پیچیده، زنده و پویا است، نمی‌توان توقع داشت تأثیر تغییرات در عناصر آن، منجر به یک نتیجه خطی و قابل‌پیش‌بینی گردد؛ بنابراین نیازمند شناخت دقیق سازمان به‌عنوان یک سیستم هستیم تا بتوانیم متناسب با شرایط آن بهبود یا همان امنیت را ایجاد نماییم.

 ارتقا سطح امنیت سازمان در حوزه افراد، فرایندها و ابزارها می‌بایست در راستای نگهداشت پایداری یا resilience سازمان باشد تا منجر به شناسایی ریسک‌هایی گردد که در هر حوزه منجر به ازدست‌دادن پایداری سیستم می‌شود، در نتیجه امنیت تأثیر مستقیم بر روی کسب‌وکار و شاخص‌های عملکردی سازمان خواهد داشت.

 در واقع مدیران امنیت از دیدگاه رخداد محور به سمت بهبود و یادگیری فرایندی پیش خواهند رفت. همان‌طور که ترندهای مختلف فناوری هر سال ایجاد می‌شود، فضا و پارامترهای تحلیلی سازمان را برای مدیران امنیت تغییر می‌دهند. فناوری‌های جدید بر روی ابزارها، ارتباطات سازمان و دانش افراد برای شناسایی ریسک‌های فناوری جدید تأثیر می‌گذارند؛ بنابراین بروز بودن تیم امنیت نسبت به ترند فناوری‌ها و آگاهی داشتن از ریسک آنها اهمیت دارد. تیم تجاری و تیم امنیت می‌بایست هر دو بر مؤثربودن استفاده از فناوری جدید در راستای بهبود کسب‌وکار تلاش کنند و درصورتی‌که این فناوری می‌تواند تغییر مثبتی در کسب‌وکار ایجاد نماید، با همراهی تیم امنیت به‌صورت ایمن پیاده‌سازی گردد.

نگاه امنیت به کارکنان

 در سال‌های گذاشته دیدگاهی به کارکنان در امنیت سایبری وجود داشت به نام تهدید داخلی که سعی می‌شد در آن رفتار، اقدامات، واکنش‌ها و فاکتورهای مربوط به کارکنان را پایش و محدود نمود تا در نتیجه تخطی از قوانین امنیتی سازمان صورت نگیرد. این نگرش در سال‌های اخیر در دیدگاه پایداری سیستم تغییر نموده است و می‌پذیرد که انسان‌ها نیز مانند تمامی عناصر یک سیستم، همچون تجهیزات، نرم‌افزارها و غیره می‌توانند خطا داشته باشند و به‌صورت عمد یا غیرعمد به‌نوعی شکست منجر گردد. در این دیدگاه تمرکز بر این است که با پذیرفتن این موضوع و اینکه کارکنان خطا انجام می‌دهند، آیا سازمان به‌عنوان یک سیستم، پایداری خود را حفظ می‌نماید و یا قوانین و محافظت‌های دیگر به‌منظور حفظ این موضوع در نظر گرفته شده است و با خطای کوچک یکی از کارکنان، پیامد بزرگی برای سازمان ایجاد نمی‌شود.

 به‌عنوان‌مثال در حملات فیشینگ، یکی از راهکارهای مؤثر مبارزه با این نوع حمله، آموزش و آگاهی‌رسانی مستمر کارکنان است. ولی باید مدیران امنیت این موضوع را هم بپذیرند، آموزش، مانور امنیتی و اقداماتی ازاین‌دست منجر به تضمین نمودن به وقوع نپیوستن فیشینگ نمی‌شود. مدیر امنیت باید بتواند با شناخت سازمان خود، ریسک وقوع فیشینگ توسط هریک از کارکنان در هریک بخش‌ها را بررسی کرده و راهکار موازی برای کمترشدن صدمه به سازمان را پیش‌بینی نماید.

امنیت در سازمان‌های کشور

 بر اساس آخرین گزارش‌ها پلتفرم باگدشت، صنایع کشور بیشترین آسیب‌پذیری را در مقابل حملات امنیتی دارند که به دلیل کمتر اهمیت‌دادن این بخش به فناوری اطلاعات و امنیت است. پس از آن سازمان‌های حاکمیتی به دلیل گره‌نخوردن امنیت با کسب‌وکار بخش دولتی و سپس مجموعه‌های مالی بانکی به دلیل گستردگی سرویس‌های آنها در این رده‌بندی قرار گرفته‌اند. از سوی دیگر شرکت‌های استارتاپی نیز باید در نظر داشته باشند که از ابتدای حلقه توسعه محصول خود، نیازمند امنیت هستند و موکول‌کردن این موضوع به زمانی که مشتری گرفته شده و دیتا در سامانه‌ها تجمیع شده، می‌تواند نتایج خطرناکی برای بقای آن استارتاپ داشته باشد.

 بخشی دیگر از نقشه امنیت کشور موضوع مهاجرت نیروی متخصص است که اهمیت بیشتری یافته است. تمرکز شرکت‌ها می‌بایست بر روی آموزش نیروهای مستعد، جنگجو و متعهد باشد تا با انتقال دانش و تجربیات و مواجه‌شدن با چالش‌های فنی، سطح تخصص کارکنان افزایش یابد. ایجاد محیطی یادگیرنده، پویا و کارگروهی، فاکتورهایی مهم برای نیروی انسانی حرفه‌ای است.

دیدگاه مهندسی آشوب در امنیت

 شکست در هر سیستمی اجتناب‌ناپذیر است و به‌تناوب اتفاق می‌افتد. این واقعیت سیستم زنده و پیچیده است و تصمیمات ما، خوب یا بد، بر روی نتایج تأثیر می‌گذارند. اجتناب از شکست به معنای اجتناب از فعالیت سیستم است. در دنیای امنیت نیز، “عدم تجربه هیچ رخداد امنیتی” وجود ندارد. وقتی مدیران عالی سازمان هدف را “به وقوع نپیوستن رخداد امنیتی” می‌گذارند، سازمان در جایگاه جنگ همیشگی برای باخت قرار می‌گیرد. رخداد امنیتی هیچگاه نشانه نبود یک فاکتور مثلاً یک آسیب‌پذیری نیست، نمایشی از وضعیت تعامل عناصر سازمان ما است؛ بنابراین دیدگاه مدیر امنیت می‌بایست به‌جای رویکرد آتش‌نشانی و گذرا، تمرکز بر رویکرد تحلیلی و بلندمدت باشد.

 شکست‌ها، وقایعی هستند که تابه‌حال نوعی سوءبرداشت از آنها در سازمان صورت‌گرفته و می‌توانند از سوی سامانه‌ها و افراد سازمان باشند. مدیران امنیت، وقوع رخداد از سوی سامانه‌ها را طبیعی و از سوی افراد را غیرعادی می‌دانند، درحالی‌که پذیرش هر دو منبع شکست در سازمان، کلید نگه داشت تاب‌آوری امنیتی است. تاب‌آوری امنیتی، توانایی سازمان برای منطبق ساختن و استمرار کسب‌وکار در مواجهه با تغییرات است. امنیت یک سازمان هنگامی بهبود می‌یابد که مدیران تمرکز خود را بر روی ۵ اصل قرار دهند، ۱. تاب‌آوری عملیات اصلی سازمان، ۲. شناسایی آستانه تحمل کسب‌وکار، ۳. تحلیل عملکرد سازمان در زمان، ۴. تقویت فرهنگ یادگیرنده و در نهایت ۵. بهبودپذیرش تغییرات.

 سیستم قابل‌اعتماد، پیش‌نیاز درآمدزایی سازمان است. به‌منظور اجرای یک برنامه دقیق امنیت، می‌بایست از اسکوپ کوچک در سازمان شروع نمود. قدم‌های این برنامه شامل، ۱. تعریف دقیق عملکرد صحیح و شکست سیستم و کارکنان، ۲.تعریف نقاط کلیدی پایش کسب‌وکار، ۳. اجرای مانور و ارزیابی تاب‌آوری امنیت سیستم‌ها و کارکنان، ۴. تحلیل عملکرد آنها و بهبود سازمان است و در نهایت نتایج مثبت عملکرد با سازمان به اشتراک گذاشته شود.

 برای شنیدن پادکست این مصاحبه و یا مشاهده ویدئو آن می‌توانید به یوتیوب باگدشت و castbox مراجعه فرمایید.