دیدگاه‌ خود را بنویسید / ایزو 27032 / از

ارزیابی ریسک امنیت سایبری چیست؟

ارزیابی ریسک امنیت سایبری فرآیند شناسایی، تجزیه و تحلیل، ارزیابی و اولویت‌ بندی ریسک‌ ها و آسیب‌ پذیری‌ های مختلف است که می‌ تواند بر دارایی‌ ها تأثیر بگذارد. ارزیابی و برآورد خطرات به سازمان ها کمک می کند تا از کنترل های مناسب امنیت سایبری برای درمان خطرات شناسایی شده و کاهش نقایص امنیتی استفاده کنند.

ارزیابی ریسک امنیت سایبری

در این مقاله به ارزیابی ریسک امنیت سایبری خواهیم پرداخت. پیشرفت فناوری و افزایش استفاده از آن توسط تقریباً هر فرد و سازمانی مزایا و خطرات خاص خود را به همراه داشته است. با پیشرفت تحول دیجیتال و گسترش استفاده از فناوری، انواع مختلفی از خطرات فناوری بالقوه ظاهر می شود که امروزه به یکی از بزرگترین مشکلات امنیتی برای سازمان ها و افراد مختلف در سراسر جهان تبدیل شده است.

به منظور محافظت از تمام دارایی ها و داده های ارزشمند در برابر تهدیدات سایبری بالقوه، سازمان ها باید اقدامات پیشگیرانه از جمله ارزیابی ریسک امنیت سایبری را انجام دهند. استفاده از فناوری‌ ها، فرآیندها، سیاست‌ ها و افراد برای حفاظت از سیستم‌ ها، شبکه‌ ها و کاربران متصل به اینترنت، چیزی است که ما به عنوان امنیت سایبری می‌شناسیم. از آنجایی که امنیت سایبری در برابر انواع خطرات آسیب پذیر است، ارزیابی ریسک امنیت سایبری مورد نیاز است.

فهرست محتوا
  1. ارزیابی ریسک امنیت سایبری چیست؟
  2. انواع اصلی تهدیدات امنیت سایبری چیست؟
  3. بخش های برتر تحت تأثیر تهدیدات امنیت سایبری
  4. چگونه یک ارزیابی ریسک امنیت سایبری انجام دهیم؟
  5. بهترین شیوه های ارزیابی ریسک امنیت سایبری چیست؟
  6. چارچوب ارزیابی ریسک امنیت سایبری چیست؟

ارزیابی ریسک امنیت سایبری چیست؟

ارزیابی ریسک امنیت سایبری فرآیند شناسایی، تجزیه و تحلیل، ارزیابی و اولویت‌ بندی ریسک‌ ها و آسیب‌ پذیری‌ های مختلف است که می‌تواند بر دارایی‌ ها تأثیر بگذارد. ارزیابی و برآورد خطرات به سازمان ها کمک می کند تا از کنترل های مناسب امنیت سایبری برای درمان خطرات شناسایی شده و کاهش نقایص امنیتی استفاده کنند.

فرآیند ارزیابی ریسک امنیت سایبری شامل شناسایی دارایی های مستعد تحت تأثیر حملات سایبری (مانند سخت افزار یا داده های مصرف کننده)، خطرات بالقوه و انتخاب کنترل های امنیتی مناسب است.

انواع اصلی تهدیدات امنیت سایبری چیست؟

هر گونه تلاش مخرب برای نقض سیستم های یک سازمان یا فرد یک تهدید امنیت سایبری یا یک حمله امنیت سایبری در نظر گرفته می شود.

هوش مصنوعی و امنیت سایبری

سیسکو برخی از انواع اصلی تهدیدات امنیت سایبری را فهرست کرده است که شامل فیشینگ، باج افزار، بدافزار و مهندسی اجتماعی می شود.

  • فیشینگ نوعی حمله امنیت سایبری است که زمانی اتفاق می‌افتد که مهاجم یک پیام یا ایمیل جعلی ارسال می‌کند تا فردی را فریب دهد تا اطلاعات حساس را به اشتراک بگذارد. فیشینگ معمولاً برای سرقت داده ها استفاده می شود، مانند؛ اعتبار ورود، شماره کارت اعتباری، یا سایر اطلاعات ارزشمند. مهاجم سعی می‌کند با ارسال ایمیلی شبیه به ایمیل‌ های منابع معتبر یا قانونی، گیرنده قربانی احتمالی را گیج کند.
  • باج افزار نوعی بدافزار است که برای رمزگذاری و قفل کردن یک سیستم یا فایل طراحی شده و تا زمانی که باج پرداخت نشود غیرقابل استفاده و غیرقابل دسترسی است. مهاجم به فایل‌ ها یا سیستم‌ ها آسیب نمی‌زند، اما تهدید می‌کند که اطلاعات شخصی منتشر می‌شود مگر اینکه پرداخت باج انجام شود.
  • بدافزار یا نرم‌افزار مخرب به نرم‌افزارهای نفوذی مانند ویروس‌ ها، جاسوس‌ افزارها و باج‌ افزارها اشاره دارد که برای آسیب رساندن و صدمه زدن به نرم‌ افزار یا سخت‌ افزار دیگری برای دسترسی غیرمجاز طراحی شده‌ اند.
  • مهندسی اجتماعی شکلی از حمله است که از دستکاری روانی برای وادار کردن افراد به افشای اطلاعات محرمانه استفاده می کند.

در سال 2020، نرم افزار Specops دریافت که در 11 حوزه مختلف کسب و کار، از زمانی که کار از راه دور به دلیل COVID-19 به “عادی جدید” تبدیل شده است، 54 درصد از صاحبان کسب و کار شاهد افزایش تهدیدات جرایم سایبری بوده اند. 96 درصد از صاحبان مشاغل، حملات باج‌ افزاری را بزرگ‌ ترین تهدید امنیت سایبری گزارش کردند، پس از آن جک کریپتو دومین تهدید بزرگ و فیشینگ به‌ عنوان سومین تهدید در فهرست قرار گرفتند.

برای آمادگی در صورت بروز هر گونه موقعیت تهدیدآمیز، بسیار مهم است که کل سازمان، از جمله همه کارکنان، در مورد نحوه محافظت از خود در برابر انواع مختلف تهدیدات آگاه و آموزش دیده باشند.

افراد می توانند با یادگیری بیشتر در مورد امنیت سایبری و کسب صلاحیت و تخصص در مورد امنیت سایبری ISO/IEC 27032 که از طریق آموزش قابل دستیابی است، به سازمان خود کمک کنند.

ISO/IEC 27032 افراد را قادر می سازد:

  • از داده ها و حریم خصوصی سازمان محافظت کنید
  • مهارت‌ های ایجاد و حفظ یک برنامه امنیت سایبری را افزایش دهید
  • اجرای بهترین شیوه ها در مورد امنیت سایبری
  • بهبود سیستم امنیتی و تداوم کسب و کار برای سازمان های خود
  • آسیب پذیری های امنیتی را شناسایی و شناسایی کنید
  • به سازمان کمک کنید از نقض و از دست دادن داده ها جلوگیری کند
  • کاهش هزینه های بلند مدت

علاوه بر ISO/IEC 27032، سه استاندارد اصلی دیگر در مورد امنیت و حریم خصوصی باید در نظر گرفته شود:

  • آموزش امنیت اطلاعات ISO/IEC 27001
  • آموزش امنیت اطلاعات ISO/IEC 27002
  • آموزش حفظ حریم خصوصی اطلاعات ISO/IEC 27701

بخش های برتر تحت تأثیر تهدیدات امنیت سایبری

اگرچه هر سازمانی در معرض خطر حمله قرار دارد، بخش‌هایی وجود دارند که آسیب‌ پذیرتر هستند و بیشتر مورد هدف تهدیدات امنیت سایبری قرار می‌گیرند.

نتایج تحقیقات گوناگونی که در سال‌های اخیر انجام شده است، نشان می‌دهد که آسیب‌ پذیرترین صنایع در برابر تهدیدات سایبری، مشاغل کوچک، مؤسسات بهداشتی، سازمان‌ های دولتی، شرکت‌ های انرژی و مراکز آموزش عالی هستند. این بیشتر به دلیل میزان داده های حساس و شخصی است که توسط این صنایع نگهداری می شود.

نتایج مشابهی نیز توسط آژانس امنیت سایبری اتحادیه اروپا (ENISA) منتشر شده است که نشان می‌دهد در اتحادیه اروپا طی آوریل 2020 و ژوئیه 2021، بخش‌ هایی که بیشترین آسیب را متضرر کرده‌ اند، مدیریت دولتی، ارائه‌ دهندگان خدمات دیجیتال، عموم مردم، مراقبت‌ های بهداشتی، و موسسات مالی.

با توجه به اینکه امنیت سایبری ارتباط تنگاتنگی با حریم خصوصی و امنیت اطلاعات دارد، سازمان ها باید از قبل از خطرات احتمالی آگاه باشند.

چگونه یک ارزیابی ریسک امنیت سایبری انجام دهیم؟

برای اینکه بفهمیم یک ریسک چقدر می تواند تاثیرگذار و تهدیدکننده باشد و سپس بتوان آن را کنترل کرد، به ارزیابی ریسک امنیت سایبری نیاز است. با این حال، انجام یک ارزیابی ریسک امنیت سایبری می تواند یک فرآیند بسیار دشوار و پیچیده باشد.

سرمایه گذاری در آگاهی از امنیت اطلاعات

درک، دنبال کردن یا ایجاد ساختاری که به کاهش فرآیند ارزیابی ریسک امنیت سایبری کمک می کند، از اهمیت بالایی برخوردار است:

  • تصمیم‌گیری و تعیین دامنه ارزیابی ریسک برای شناسایی دارایی‌ ها و فرآیندها، شناسایی ریسک‌ ها، ارزیابی تأثیر آنها و تعریف سطوح تحمل ریسک ضروری است.
  • شناسایی دارایی ها، تهدیدات بالقوه و چالش های احتمالی.
  • تعیین احتمال خطرات و اثرات آنها. در ارزیابی ریسک امنیت سایبری، احتمال نشان دهنده این شانس است که یک تهدید از آسیب پذیری موجود سوء استفاده کند. از سوی دیگر، تأثیر یا پیامدها به آسیبی که انتظار می رود در نتیجه یک حمله رخ دهد، اشاره دارد.

پس از ارزیابی احتمال و تأثیر، تعیین و اولویت بندی ریسک ها ضروری است. این را می توان با استفاده از یک ماتریس ریسک که در آن سطح ریسک با در نظر گرفتن سطح احتمال در مقابل سطح تأثیر انجام می شود.

پنج سطح وجود دارد که هم احتمال و هم تأثیر طبقه بندی می شوند.

سطوح احتمال را می توان به صورت زیر طبقه بندی کرد:

  • نادر
  • بعید
  • ممکن است
  • احتمال دارد
  • به احتمال زیاد

سطوح تأثیر در پنج دسته مقیاس بندی می شوند:

  • ناچیز
  • جزئی
  • در حد متوسط
  • عمده
  • جداسازی

ماتریس ریسک ریسک ها را در نمودار به تصویر می کشد و آنها را از “کم” تا “بسیار زیاد” طبقه بندی می کند. این به سازمان ها کمک می کند تصمیم بگیرند که کدام ریسک ها باید اولویت بندی شوند و کدام یک در سطح ریسک قابل تحمل قرار دارند.

پس از شناسایی همه سناریوهای ریسک، باید در یک ثبت ریسک ثبت شوند.

بهترین شیوه های ارزیابی ریسک امنیت سایبری چیست؟

اگرچه ما اکنون دانش کلی در مورد فرآیند انجام ارزیابی ریسک امنیت سایبری به دست آورده‌ ایم، باید درک کنیم که این فرآیند به همین سادگی نیست. به همین دلیل مهم است که بهترین شیوه های مورد استفاده برای ارزیابی ریسک امنیت سایبری موفق را نیز مطرح می کنیم.

بسته به نیاز یا چارچوب، اغلب شامل موارد زیر است: ایجاد یک تیم مدیریت ریسک، فهرست نویسی دارایی های اطلاعاتی، ارزیابی و تجزیه و تحلیل ریسک ها، تنظیم کنترل های امنیتی و نظارت یا بررسی اثربخشی آنها.

یک رویکرد دقیق تر از اجرای ارزیابی ریسک می تواند توسط چارچوب ارزیابی ریسک امنیت سایبری خاص ارائه شود.

چارچوب ارزیابی ریسک امنیت سایبری چیست؟

هر سازمان از نظر اندازه، پیچیدگی و بخش‌ ها متفاوت است، از این رو، دامنه ارزیابی امنیت سایبری باید با نیازها و اهداف خاص سازمان مطابقت داشته باشد. چارچوب ارزیابی ریسک امنیت سایبری مجموعه‌ ای از استانداردها، دستورالعمل‌ ها و بهترین شیوه‌ ها است که ساختار و روش‌ شناسی مناسبی را ارائه می‌کند که با ویژگی‌ های ذکر شده مطابقت دارد.

یک چارچوب ارزیابی امنیت سایبری شناخته شده ISO/IEC 27032 است، یک استاندارد بین المللی شناخته شده که دستورالعمل های امنیت سایبری را در مورد پایداری و حفاظت از سازمان ها یا افراد ارائه می دهد.

سوالات متداول

چارچوب ارزیابی ریسک امنیت سایبری چیست؟

هر سازمان از نظر اندازه، پیچیدگی و بخش‌ ها متفاوت است، از این رو، دامنه ارزیابی امنیت سایبری باید با نیازها و اهداف خاص سازمان مطابقت داشته باشد. چارچوب ارزیابی ریسک امنیت سایبری مجموعه‌ ای از استانداردها، دستورالعمل‌ ها و بهترین شیوه‌ ها است که ساختار و روش‌ شناسی مناسبی را ارائه می‌کند که با ویژگی‌ های ذکر شده مطابقت دارد. یک چارچوب ارزیابی امنیت سایبری شناخته شده ISO/IEC 27032 است، یک استاندارد بین المللی شناخته شده که دستورالعمل های امنیت سایبری را در مورد پایداری و حفاظت از سازمان ها یا افراد ارائه می دهد.

ارزیابی ریسک امنیت سایبری چیست؟

ارزیابی ریسک امنیت سایبری فرآیند شناسایی، تجزیه و تحلیل، ارزیابی و اولویت‌ بندی ریسک‌ ها و آسیب‌ پذیری‌ های مختلف است که می‌تواند بر دارایی‌ ها تأثیر بگذارد. ارزیابی و برآورد خطرات به سازمان ها کمک می کند تا از کنترل های مناسب امنیت سایبری برای درمان خطرات شناسایی شده و کاهش نقایص امنیتی استفاده کنند.

برای امتیاز به این نوشته کلیک کنید!
[کل: 2 میانگین: 5]

درباره نویسنده

محمد طاهری، فارغ التحصیل مدیریت فناوری اطلاعات گرایش کسب و کار جدید از دانشگاه شهید بهشتی تهران است. وی بیش از سه سال است که با مرکز مشاوره ایران گواه همکاری می نماید.

مقاله های مرتبط

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

021-46134156
021-46134156
پیمایش به بالا