ارزیابی ریسک امنیت سایبری چیست؟
ارزیابی ریسک امنیت سایبری فرآیند شناسایی، تجزیه و تحلیل، ارزیابی و اولویت بندی ریسک ها و آسیب پذیری های مختلف است که می تواند بر دارایی ها تأثیر بگذارد. ارزیابی و برآورد خطرات به سازمان ها کمک می کند تا از کنترل های مناسب امنیت سایبری برای درمان خطرات شناسایی شده و کاهش نقایص امنیتی استفاده کنند.
در این مقاله به ارزیابی ریسک امنیت سایبری خواهیم پرداخت. پیشرفت فناوری و افزایش استفاده از آن توسط تقریباً هر فرد و سازمانی مزایا و خطرات خاص خود را به همراه داشته است. با پیشرفت تحول دیجیتال و گسترش استفاده از فناوری، انواع مختلفی از خطرات فناوری بالقوه ظاهر می شود که امروزه به یکی از بزرگترین مشکلات امنیتی برای سازمان ها و افراد مختلف در سراسر جهان تبدیل شده است.
به منظور محافظت از تمام دارایی ها و داده های ارزشمند در برابر تهدیدات سایبری بالقوه، سازمان ها باید اقدامات پیشگیرانه از جمله ارزیابی ریسک امنیت سایبری را انجام دهند. استفاده از فناوری ها، فرآیندها، سیاست ها و افراد برای حفاظت از سیستم ها، شبکه ها و کاربران متصل به اینترنت، چیزی است که ما به عنوان امنیت سایبری میشناسیم. از آنجایی که امنیت سایبری در برابر انواع خطرات آسیب پذیر است، ارزیابی ریسک امنیت سایبری مورد نیاز است.
ارزیابی ریسک امنیت سایبری چیست؟
ارزیابی ریسک امنیت سایبری فرآیند شناسایی، تجزیه و تحلیل، ارزیابی و اولویت بندی ریسک ها و آسیب پذیری های مختلف است که میتواند بر دارایی ها تأثیر بگذارد. ارزیابی و برآورد خطرات به سازمان ها کمک می کند تا از کنترل های مناسب امنیت سایبری برای درمان خطرات شناسایی شده و کاهش نقایص امنیتی استفاده کنند.
فرآیند ارزیابی ریسک امنیت سایبری شامل شناسایی دارایی های مستعد تحت تأثیر حملات سایبری (مانند سخت افزار یا داده های مصرف کننده)، خطرات بالقوه و انتخاب کنترل های امنیتی مناسب است.
انواع اصلی تهدیدات امنیت سایبری چیست؟
هر گونه تلاش مخرب برای نقض سیستم های یک سازمان یا فرد یک تهدید امنیت سایبری یا یک حمله امنیت سایبری در نظر گرفته می شود.
سیسکو برخی از انواع اصلی تهدیدات امنیت سایبری را فهرست کرده است که شامل فیشینگ، باج افزار، بدافزار و مهندسی اجتماعی می شود.
- فیشینگ نوعی حمله امنیت سایبری است که زمانی اتفاق میافتد که مهاجم یک پیام یا ایمیل جعلی ارسال میکند تا فردی را فریب دهد تا اطلاعات حساس را به اشتراک بگذارد. فیشینگ معمولاً برای سرقت داده ها استفاده می شود، مانند؛ اعتبار ورود، شماره کارت اعتباری، یا سایر اطلاعات ارزشمند. مهاجم سعی میکند با ارسال ایمیلی شبیه به ایمیل های منابع معتبر یا قانونی، گیرنده قربانی احتمالی را گیج کند.
- باج افزار نوعی بدافزار است که برای رمزگذاری و قفل کردن یک سیستم یا فایل طراحی شده و تا زمانی که باج پرداخت نشود غیرقابل استفاده و غیرقابل دسترسی است. مهاجم به فایل ها یا سیستم ها آسیب نمیزند، اما تهدید میکند که اطلاعات شخصی منتشر میشود مگر اینکه پرداخت باج انجام شود.
- بدافزار یا نرمافزار مخرب به نرمافزارهای نفوذی مانند ویروس ها، جاسوس افزارها و باج افزارها اشاره دارد که برای آسیب رساندن و صدمه زدن به نرم افزار یا سخت افزار دیگری برای دسترسی غیرمجاز طراحی شده اند.
- مهندسی اجتماعی شکلی از حمله است که از دستکاری روانی برای وادار کردن افراد به افشای اطلاعات محرمانه استفاده می کند.
در سال 2020، نرم افزار Specops دریافت که در 11 حوزه مختلف کسب و کار، از زمانی که کار از راه دور به دلیل COVID-19 به “عادی جدید” تبدیل شده است، 54 درصد از صاحبان کسب و کار شاهد افزایش تهدیدات جرایم سایبری بوده اند. 96 درصد از صاحبان مشاغل، حملات باج افزاری را بزرگ ترین تهدید امنیت سایبری گزارش کردند، پس از آن جک کریپتو دومین تهدید بزرگ و فیشینگ به عنوان سومین تهدید در فهرست قرار گرفتند.
برای آمادگی در صورت بروز هر گونه موقعیت تهدیدآمیز، بسیار مهم است که کل سازمان، از جمله همه کارکنان، در مورد نحوه محافظت از خود در برابر انواع مختلف تهدیدات آگاه و آموزش دیده باشند.
افراد می توانند با یادگیری بیشتر در مورد امنیت سایبری و کسب صلاحیت و تخصص در مورد امنیت سایبری ISO/IEC 27032 که از طریق آموزش قابل دستیابی است، به سازمان خود کمک کنند.
ISO/IEC 27032 افراد را قادر می سازد:
- از داده ها و حریم خصوصی سازمان محافظت کنید
- مهارت های ایجاد و حفظ یک برنامه امنیت سایبری را افزایش دهید
- اجرای بهترین شیوه ها در مورد امنیت سایبری
- بهبود سیستم امنیتی و تداوم کسب و کار برای سازمان های خود
- آسیب پذیری های امنیتی را شناسایی و شناسایی کنید
- به سازمان کمک کنید از نقض و از دست دادن داده ها جلوگیری کند
- کاهش هزینه های بلند مدت
علاوه بر ISO/IEC 27032، سه استاندارد اصلی دیگر در مورد امنیت و حریم خصوصی باید در نظر گرفته شود:
- آموزش امنیت اطلاعات ISO/IEC 27001
- آموزش امنیت اطلاعات ISO/IEC 27002
- آموزش حفظ حریم خصوصی اطلاعات ISO/IEC 27701
بخش های برتر تحت تأثیر تهدیدات امنیت سایبری
اگرچه هر سازمانی در معرض خطر حمله قرار دارد، بخشهایی وجود دارند که آسیب پذیرتر هستند و بیشتر مورد هدف تهدیدات امنیت سایبری قرار میگیرند.
نتایج تحقیقات گوناگونی که در سالهای اخیر انجام شده است، نشان میدهد که آسیب پذیرترین صنایع در برابر تهدیدات سایبری، مشاغل کوچک، مؤسسات بهداشتی، سازمان های دولتی، شرکت های انرژی و مراکز آموزش عالی هستند. این بیشتر به دلیل میزان داده های حساس و شخصی است که توسط این صنایع نگهداری می شود.
نتایج مشابهی نیز توسط آژانس امنیت سایبری اتحادیه اروپا (ENISA) منتشر شده است که نشان میدهد در اتحادیه اروپا طی آوریل 2020 و ژوئیه 2021، بخش هایی که بیشترین آسیب را متضرر کرده اند، مدیریت دولتی، ارائه دهندگان خدمات دیجیتال، عموم مردم، مراقبت های بهداشتی، و موسسات مالی.
با توجه به اینکه امنیت سایبری ارتباط تنگاتنگی با حریم خصوصی و امنیت اطلاعات دارد، سازمان ها باید از قبل از خطرات احتمالی آگاه باشند.
چگونه یک ارزیابی ریسک امنیت سایبری انجام دهیم؟
برای اینکه بفهمیم یک ریسک چقدر می تواند تاثیرگذار و تهدیدکننده باشد و سپس بتوان آن را کنترل کرد، به ارزیابی ریسک امنیت سایبری نیاز است. با این حال، انجام یک ارزیابی ریسک امنیت سایبری می تواند یک فرآیند بسیار دشوار و پیچیده باشد.
درک، دنبال کردن یا ایجاد ساختاری که به کاهش فرآیند ارزیابی ریسک امنیت سایبری کمک می کند، از اهمیت بالایی برخوردار است:
- تصمیمگیری و تعیین دامنه ارزیابی ریسک برای شناسایی دارایی ها و فرآیندها، شناسایی ریسک ها، ارزیابی تأثیر آنها و تعریف سطوح تحمل ریسک ضروری است.
- شناسایی دارایی ها، تهدیدات بالقوه و چالش های احتمالی.
- تعیین احتمال خطرات و اثرات آنها. در ارزیابی ریسک امنیت سایبری، احتمال نشان دهنده این شانس است که یک تهدید از آسیب پذیری موجود سوء استفاده کند. از سوی دیگر، تأثیر یا پیامدها به آسیبی که انتظار می رود در نتیجه یک حمله رخ دهد، اشاره دارد.
پس از ارزیابی احتمال و تأثیر، تعیین و اولویت بندی ریسک ها ضروری است. این را می توان با استفاده از یک ماتریس ریسک که در آن سطح ریسک با در نظر گرفتن سطح احتمال در مقابل سطح تأثیر انجام می شود.
پنج سطح وجود دارد که هم احتمال و هم تأثیر طبقه بندی می شوند.
سطوح احتمال را می توان به صورت زیر طبقه بندی کرد:
- نادر
- بعید
- ممکن است
- احتمال دارد
- به احتمال زیاد
سطوح تأثیر در پنج دسته مقیاس بندی می شوند:
- ناچیز
- جزئی
- در حد متوسط
- عمده
- جداسازی
ماتریس ریسک ریسک ها را در نمودار به تصویر می کشد و آنها را از “کم” تا “بسیار زیاد” طبقه بندی می کند. این به سازمان ها کمک می کند تصمیم بگیرند که کدام ریسک ها باید اولویت بندی شوند و کدام یک در سطح ریسک قابل تحمل قرار دارند.
پس از شناسایی همه سناریوهای ریسک، باید در یک ثبت ریسک ثبت شوند.
بهترین شیوه های ارزیابی ریسک امنیت سایبری چیست؟
اگرچه ما اکنون دانش کلی در مورد فرآیند انجام ارزیابی ریسک امنیت سایبری به دست آورده ایم، باید درک کنیم که این فرآیند به همین سادگی نیست. به همین دلیل مهم است که بهترین شیوه های مورد استفاده برای ارزیابی ریسک امنیت سایبری موفق را نیز مطرح می کنیم.
بسته به نیاز یا چارچوب، اغلب شامل موارد زیر است: ایجاد یک تیم مدیریت ریسک، فهرست نویسی دارایی های اطلاعاتی، ارزیابی و تجزیه و تحلیل ریسک ها، تنظیم کنترل های امنیتی و نظارت یا بررسی اثربخشی آنها.
یک رویکرد دقیق تر از اجرای ارزیابی ریسک می تواند توسط چارچوب ارزیابی ریسک امنیت سایبری خاص ارائه شود.
چارچوب ارزیابی ریسک امنیت سایبری چیست؟
هر سازمان از نظر اندازه، پیچیدگی و بخش ها متفاوت است، از این رو، دامنه ارزیابی امنیت سایبری باید با نیازها و اهداف خاص سازمان مطابقت داشته باشد. چارچوب ارزیابی ریسک امنیت سایبری مجموعه ای از استانداردها، دستورالعمل ها و بهترین شیوه ها است که ساختار و روش شناسی مناسبی را ارائه میکند که با ویژگی های ذکر شده مطابقت دارد.
یک چارچوب ارزیابی امنیت سایبری شناخته شده ISO/IEC 27032 است، یک استاندارد بین المللی شناخته شده که دستورالعمل های امنیت سایبری را در مورد پایداری و حفاظت از سازمان ها یا افراد ارائه می دهد.
سوالات متداول
چارچوب ارزیابی ریسک امنیت سایبری چیست؟
هر سازمان از نظر اندازه، پیچیدگی و بخش ها متفاوت است، از این رو، دامنه ارزیابی امنیت سایبری باید با نیازها و اهداف خاص سازمان مطابقت داشته باشد. چارچوب ارزیابی ریسک امنیت سایبری مجموعه ای از استانداردها، دستورالعمل ها و بهترین شیوه ها است که ساختار و روش شناسی مناسبی را ارائه میکند که با ویژگی های ذکر شده مطابقت دارد. یک چارچوب ارزیابی امنیت سایبری شناخته شده ISO/IEC 27032 است، یک استاندارد بین المللی شناخته شده که دستورالعمل های امنیت سایبری را در مورد پایداری و حفاظت از سازمان ها یا افراد ارائه می دهد.
ارزیابی ریسک امنیت سایبری چیست؟
ارزیابی ریسک امنیت سایبری فرآیند شناسایی، تجزیه و تحلیل، ارزیابی و اولویت بندی ریسک ها و آسیب پذیری های مختلف است که میتواند بر دارایی ها تأثیر بگذارد. ارزیابی و برآورد خطرات به سازمان ها کمک می کند تا از کنترل های مناسب امنیت سایبری برای درمان خطرات شناسایی شده و کاهش نقایص امنیتی استفاده کنند.
