چالشهای امنیت سایبری در سازمانها
چالشهای امنیت سایبری در سازمانها
سوی تاریک ماجرا این است که رسانهها از سرقت اطلاعات میلیونها کاربر/ مشتری و فروش این دادهها در دارکوب خبر دادند و البته ماجرا گاهی با پرداخت مبالغ هنگفت باج از سوی شرکتهای قربانی، بهظاهر ختم به خیر شده است. این حوادث نه تنها به اعتبار این شرکتها لطمه زد، بلکه اعتماد عمومی به امنیت اطلاعات شخصی را نیز کاهش داد.
با توجه به افزایش این حملات و اثرات مخرب آنها، جلوگیری از تکرار چنین مواردی به یک اولویت اساسی تبدیل شده است. در این شرایط، ضروری است که سازمانها و شرکتها رویکردی چندلایه و هوشمندانه به امنیت سایبری داشته باشند تا بتوانند با تهدیدات نوظهور مقابله کنند و از اطلاعات حساس کاربران خود محافظت نمایند.
بودجه محدود در مقابل تهدیدات گسترده
امنیت سایبری، نه فقط در کشور ما که در سراسر جهان، به یکی از مهمترین نگرانیهای سازمانها و نهادهای دولتی تبدیل شده است. حتی گاهی دامنه منازعات سیاسی و جنگها تا این عرصه نیز کشیده میشود. با رشد سریع تهدیدات سایبری و پیچیدگی حملات، سازمانها باید زیرساختهای امنیتی خود را تقویت کنند؛ اما با وجود افزایش تهدیدات و البته در سایه اثرات مستقیم و غیرمستقیم تحریمها، بودجههای اختصاصیافته به امنیت سایبری ناکافی و ناچیز به نظر میرسد. ماجرا وقتی پیچیدهتر میشود که با پیشرفتهتر شدن روشهای نفوذ، هر سال فشار بودجهای بیشتری به سازمانها وارد میشود و در نتیجه، سهم امنیت سایبری در بودجه هم آب میرود. در حالی که اهمیت محافظت از دادهها و زیرساختهای حیاتی دوچندان شده است، باید مهاجرت نیروهای متخصص در این عرصه را نیز به سیاهه عوامل تشدیدکننده تهدیدات افزود.
نقش سیاستگذاریهای دور از واقعیت در امنیت سایبری
یکی از چالشهای عمده در حوزه امنیت سایبری، سیاستهای محدودکننده و بخشنامههای نهادهای نظارتی مانند سازمانهای معتبر از جمله افتاست. این سازمانها هر چند وقت یک بار برخی محصولات امنیتی را ممنوع اعلام میکنند، با این امید که امنیت کلی سازمانها افزایش یابد. اما مشکل اینجاست که این محدودیتها اغلب تنها به محصول توجه دارند، نه به عوامل انسانی و نحوه استفاده از آن محصول. بسیاری از محصولاتی که در فهرست ابزارهای ممنوعه قرار میگیرند، در واقع بهخاطر سوءاستفاده یا نصب نادرست دچار مشکل میشوند، نه بهخاطر ضعف ذاتی خود محصول. در نتیجه، با بخشنامهای چند خطی از سوی یک سازمان دولتی، بخش بزرگی از زیرساختهای حیاتی ارتباطات کشور از پارهای امکانات و فناوریهای جدید محروم میشوند که گاه عواقبی خسارتبار در پی خواهد داشت.
بهرهبرداری مسئولانه؛ حلقه گمشده در امنیت سایبری
بسیاری از تهدیدات سایبری و آسیبها در سازمانها به دلیل نصب و راهاندازی غیراصولی یا استفاده نادرست از محصولات امنیتی رخ میدهند. گاهی پیمانکاران بدون دانش و تخصص کافی در این حوزه فعالیت میکنند و این امر باعث میشود که حتی بهترین محصولات هم نتوانند کارایی مورد انتظار را داشته باشند. این مشکل به راحتی با انتخاب پیمانکاران مجرب و آموزش کاربران قابل حل است. همانطور که در بخش قبل اشاره شد، تمرکز بخشنامهها به جای بررسی صلاحیت شرکتهای مجری یا کارشناسان، بر غیرمجاز اعلامکردن محصولات است.
نیاز به رویکرد چندلایه در امنیت سایبری
با همه این اوصاف و بهرغم مشکلات پیشگفته، امنیت را نمیشود به آینده موکول و یا بر تحقق شرایطی متوقف کرد. برای ایجاد یک زیرساخت امنیتی مؤثر، لازم است به امنیت سایبری به عنوان یک رویکرد چندلایه و جامع نگاه شود. این رویکرد باید هم انتخاب درست محصول، هم نصب و راهاندازی حرفهای، و هم استفاده آگاهانه از آن را شامل شود. انتخاب پیمانکاران متخصص و آموزش کاربران در کنار محصول مناسب، از اهمیت ویژهای برخوردار است. در واقع، امنیت سایبری یک فرآیند جامع است که با هماهنگی عوامل فنی و انسانی میتواند به نتایج بهتری منجر شود.
تغییر تمرکز از محصولات به انتخابهای هوشمندانه
سخن آخر این که نظارت و رگولاتوری در عرصه امنیت سایبری، به جای محدود کردن محصولات، باید بر استفاده آگاهانه و انتخاب و رتبهبندی پیمانکاران متخصص متمرکز باشد. سیاستها و مقررات نظارتی اگر به جای ممنوعیت محصولمحور، به انتخاب درست کاربران و پیمانکاران تکیه کنند، میتوانند امنیت پایدار و مؤثری برای سازمانها فراهم کنند. با این رویکرد، نهتنها بهرهوری افزایش مییابد، بلکه امکان مقابله مؤثر با تهدیدات سایبری نیز تقویت میشود.
انتخاب شرکتهای متخصص و دارای دانش در این حوزه، هرچند ممکن است هزینه ابتدایی بیشتری به نظر برسد، ولی در بلندمدت با کاهش ریسک و جلوگیری از هزینههای سربار ناشی از مشکلات امنیتی، میتواند بسیار مقرونبهصرفهتر باشد.
* عضو سازمان نظام صنفی رایانهای تهران
مجله خبری یولن