ارزیابی ریسک امنیت سایبری
در این مقاله به ارزیابی ریسک امنیت سایبری خواهیم پرداخت. پیشرفت فناوری و افزایش استفاده از آن توسط تقریباً هر فرد و سازمانی مزایا و خطرات خاص خود را به همراه داشته است. با پیشرفت تحول دیجیتال و گسترش استفاده از فناوری، انواع مختلفی از خطرات فناوری بالقوه ظاهر می شود که امروزه به یکی از بزرگترین مشکلات امنیتی برای سازمان ها و افراد مختلف در سراسر جهان تبدیل شده است.
به منظور محافظت از تمام دارایی ها و داده های ارزشمند در برابر تهدیدات سایبری بالقوه، سازمان ها باید اقدامات پیشگیرانه از جمله ارزیابی ریسک امنیت سایبری را انجام دهند. استفاده از فناوریها، فرآیندها، سیاستها و افراد برای حفاظت از سیستمها، شبکهها و کاربران متصل به اینترنت، چیزی است که ما به عنوان امنیت سایبری میشناسیم. از آنجایی که امنیت سایبری در برابر انواع خطرات آسیب پذیر است، ارزیابی ریسک امنیت سایبری مورد نیاز است.
ارزیابی ریسک امنیت سایبری چیست؟
ارزیابی ریسک امنیت سایبری فرآیند شناسایی، تجزیه و تحلیل، ارزیابی و اولویتبندی ریسکها و آسیبپذیریهای مختلف است که میتواند بر داراییها تأثیر بگذارد. ارزیابی و برآورد خطرات به سازمان ها کمک می کند تا از کنترل های مناسب امنیت سایبری برای درمان خطرات شناسایی شده و کاهش نقایص امنیتی استفاده کنند.
فرآیند ارزیابی ریسک امنیت سایبری شامل شناسایی دارایی های مستعد تحت تأثیر حملات سایبری (مانند سخت افزار یا داده های مصرف کننده)، خطرات بالقوه و انتخاب کنترل های امنیتی مناسب است.
انواع اصلی تهدیدات امنیت سایبری چیست؟
هر گونه تلاش مخرب برای نقض سیستم های یک سازمان یا فرد یک تهدید امنیت سایبری یا یک حمله امنیت سایبری در نظر گرفته می شود.
سیسکو برخی از انواع اصلی تهدیدات امنیت سایبری را فهرست کرده است که شامل فیشینگ، باج افزار، بدافزار و مهندسی اجتماعی می شود.
- فیشینگ نوعی حمله امنیت سایبری است که زمانی اتفاق میافتد که مهاجم یک پیام یا ایمیل جعلی ارسال میکند تا فردی را فریب دهد تا اطلاعات حساس را به اشتراک بگذارد. فیشینگ معمولاً برای سرقت داده ها استفاده می شود، مانند؛ اعتبار ورود، شماره کارت اعتباری، یا سایر اطلاعات ارزشمند. مهاجم سعی میکند با ارسال ایمیلی شبیه به ایمیلهای منابع معتبر یا قانونی، گیرنده قربانی احتمالی را گیج کند.
- باج افزار نوعی بدافزار است که برای رمزگذاری و قفل کردن یک سیستم یا فایل طراحی شده و تا زمانی که باج پرداخت نشود غیرقابل استفاده و غیرقابل دسترسی است. مهاجم به فایلها یا سیستمها آسیب نمیزند، اما تهدید میکند که اطلاعات شخصی منتشر میشود مگر اینکه پرداخت باج انجام شود.
- بدافزار یا نرمافزار مخرب به نرمافزارهای نفوذی مانند ویروسها، جاسوسافزارها و باجافزارها اشاره دارد که برای آسیب رساندن و آسیب رساندن به نرمافزار یا سختافزار دیگری برای دسترسی غیرمجاز طراحی شدهاند.
- مهندسی اجتماعی شکلی از حمله است که از دستکاری روانی برای وادار کردن افراد به افشای اطلاعات محرمانه استفاده می کند.
در سال 2020، نرم افزار Specops دریافت که در 11 حوزه مختلف کسب و کار، از زمانی که کار از راه دور به دلیل COVID-19 به “عادی جدید” تبدیل شده است، 54 درصد از صاحبان کسب و کار شاهد افزایش تهدیدات جرایم سایبری بوده اند. 96 درصد از صاحبان مشاغل، حملات باجافزاری را بزرگترین تهدید امنیت سایبری گزارش کردند، پس از آن جک کریپتو دومین تهدید بزرگ و فیشینگ بهعنوان سومین تهدید در فهرست قرار گرفتند.
برای آمادگی در صورت بروز هر گونه موقعیت تهدیدآمیز، بسیار مهم است که کل سازمان، از جمله همه کارکنان، در مورد نحوه محافظت از خود در برابر انواع مختلف تهدیدات آگاه و آموزش دیده باشند.
افراد می توانند با یادگیری بیشتر در مورد امنیت سایبری و کسب صلاحیت و تخصص در مورد امنیت سایبری ISO/IEC 27032 که از طریق آموزش قابل دستیابی است، به سازمان خود کمک کنند.
ISO/IEC 27032 افراد را قادر می سازد:
- از داده ها و حریم خصوصی سازمان محافظت کنید
- مهارتهای ایجاد و حفظ یک برنامه امنیت سایبری را افزایش دهید
- اجرای بهترین شیوه ها در مورد امنیت سایبری
- بهبود سیستم امنیتی و تداوم کسب و کار برای سازمان های خود
- آسیب پذیری های امنیتی را شناسایی و شناسایی کنید
- به سازمان کمک کنید از نقض و از دست دادن داده ها جلوگیری کند
- کاهش هزینه های بلند مدت
علاوه بر ISO/IEC 27032، سه استاندارد اصلی دیگر در مورد امنیت و حریم خصوصی باید در نظر گرفته شود:
- آموزش امنیت اطلاعات ISO/IEC 27001
- آموزش امنیت اطلاعات ISO/IEC 27002
- آموزش حفظ حریم خصوصی اطلاعات ISO/IEC 27701
بخش های برتر تحت تأثیر تهدیدات امنیت سایبری
اگرچه هر سازمانی در معرض خطر حمله قرار دارد، بخشهایی وجود دارند که آسیبپذیرتر هستند و بیشتر مورد هدف تهدیدات امنیت سایبری قرار میگیرند.
نتایج تحقیقات گوناگونی که در سالهای اخیر انجام شده است، نشان میدهد که آسیبپذیرترین صنایع در برابر تهدیدات سایبری، مشاغل کوچک، مؤسسات بهداشتی، سازمانهای دولتی، شرکتهای انرژی و مراکز آموزش عالی هستند. این بیشتر به دلیل میزان داده های حساس و شخصی است که توسط این صنایع نگهداری می شود.
نتایج مشابهی نیز توسط آژانس امنیت سایبری اتحادیه اروپا (ENISA) منتشر شده است که نشان میدهد در اتحادیه اروپا طی آوریل 2020 و ژوئیه 2021، بخشهایی که بیشترین آسیب را متضرر کردهاند، مدیریت دولتی، ارائهدهندگان خدمات دیجیتال، عموم مردم، مراقبتهای بهداشتی، و موسسات مالی.
با توجه به اینکه امنیت سایبری ارتباط تنگاتنگی با حریم خصوصی و امنیت اطلاعات دارد، سازمان ها باید از قبل از خطرات احتمالی آگاه باشند.
چگونه یک ارزیابی ریسک امنیت سایبری انجام دهیم؟
برای اینکه بفهمیم یک ریسک چقدر می تواند تاثیرگذار و تهدیدکننده باشد و سپس بتوان آن را کنترل کرد، به ارزیابی ریسک امنیت سایبری نیاز است. با این حال، انجام یک ارزیابی ریسک امنیت سایبری می تواند یک فرآیند بسیار دشوار و پیچیده باشد.
درک، دنبال کردن یا ایجاد ساختاری که به کاهش فرآیند ارزیابی ریسک امنیت سایبری کمک می کند، از اهمیت بالایی برخوردار است:
- تصمیمگیری و تعیین دامنه ارزیابی ریسک برای شناسایی داراییها و فرآیندها، شناسایی ریسکها، ارزیابی تأثیر آنها و تعریف سطوح تحمل ریسک ضروری است.
- شناسایی دارایی ها، تهدیدات بالقوه و چالش های احتمالی.
- تعیین احتمال خطرات و اثرات آنها. در ارزیابی ریسک امنیت سایبری، احتمال نشان دهنده این شانس است که یک تهدید از آسیب پذیری موجود سوء استفاده کند. از سوی دیگر، تأثیر یا پیامدها به آسیبی که انتظار می رود در نتیجه یک حمله رخ دهد، اشاره دارد.
پس از ارزیابی احتمال و تأثیر، تعیین و اولویت بندی ریسک ها ضروری است. این را می توان با استفاده از یک ماتریس ریسک که در آن سطح ریسک با در نظر گرفتن سطح احتمال در مقابل سطح تأثیر انجام می شود.
پنج سطح وجود دارد که هم احتمال و هم تأثیر طبقه بندی می شوند.
سطوح احتمال را می توان به صورت زیر طبقه بندی کرد:
- نادر
- بعید
- ممکن است
- احتمال دارد
- به احتمال زیاد
سطوح تأثیر در پنج دسته مقیاس بندی می شوند:
- ناچیز
- جزئی
- در حد متوسط
- عمده
- جداسازی
ماتریس ریسک ریسک ها را در نمودار به تصویر می کشد و آنها را از “کم” تا “بسیار زیاد” طبقه بندی می کند. این به سازمان ها کمک می کند تصمیم بگیرند که کدام ریسک ها باید اولویت بندی شوند و کدام یک در سطح ریسک قابل تحمل قرار دارند.
پس از شناسایی همه سناریوهای ریسک، باید در یک ثبت ریسک ثبت شوند.
بهترین شیوه های ارزیابی ریسک امنیت سایبری
اگرچه ما اکنون دانش کلی در مورد فرآیند انجام ارزیابی ریسک امنیت سایبری به دست آوردهایم، باید درک کنیم که این فرآیند به همین سادگی نیست. به همین دلیل مهم است که بهترین شیوه های مورد استفاده برای ارزیابی ریسک امنیت سایبری موفق را نیز مطالعه کنید.
بهترین شیوه های ارزیابی ریسک امنیت سایبری، بسته به نیاز یا چارچوب، اغلب شامل موارد زیر است: ایجاد یک تیم مدیریت ریسک، فهرست نویسی دارایی های اطلاعاتی، ارزیابی و تجزیه و تحلیل ریسک ها، تنظیم کنترل های امنیتی و نظارت یا بررسی اثربخشی آنها.
یک رویکرد دقیق تر از اجرای ارزیابی ریسک می تواند توسط چارچوب ارزیابی ریسک امنیت سایبری خاص ارائه شود.
چارچوب ارزیابی ریسک امنیت سایبری
هر سازمان از نظر اندازه، پیچیدگی و بخشها متفاوت است، از این رو، دامنه ارزیابی امنیت سایبری باید با نیازها و اهداف خاص سازمان مطابقت داشته باشد. چارچوب ارزیابی ریسک امنیت سایبری مجموعهای از استانداردها، دستورالعملها و بهترین شیوهها است که ساختار و روششناسی مناسبی را ارائه میکند که با ویژگیهای ذکر شده مطابقت دارد.
یک چارچوب ارزیابی امنیت سایبری شناخته شده ISO/IEC 27032 است، یک استاندارد بین المللی شناخته شده که دستورالعمل های امنیت سایبری را در مورد پایداری و حفاظت از سازمان ها یا افراد ارائه می دهد.
