شرکت های سراسر جهان سالانه صدها میلیارد دلار از سرمایه های خود را در سرقت دارایی های معنوی، معاملات الگوریتمی، تخریب یا تغییر داده های مالی و اطلاعات مصرف کنندگان و همچنین قرارگیری در معرض خطر افشاگری های حقوقی و قانونی از دست می دهند.
در ۲۰ سال گذشته، ماهیت ارزش دارایی شرکت به طور چشمگیری تغییر کرده است. ۸۰ درصد از ارزش دارایی ۵۰۰ شرکت، در حال حاضر متشکل از مالکیت فکری
(IP) و اموال غیرعینی می شود. در حالیکه دارایی های شرکت ها به سرعت در حال دیجیتالی شدن می باشند و همین مسئله برای شرکت ها خطرات مربوط را به همراه دارد، بنابراین امنیت سایبری در حال حاضر یکی از موضوعات اصلی به حساب می آید که هیأت مدیره یک شرکت با آن مواجه است.
تحقیقات اخیر نشان می دهد که شرکت های سراسر جهان سالانه صدها میلیارد دلار از سرمایه های خود را در سرقت دارایی های معنوی، معاملات الگوریتمی، تخریب یا تغییر داده های مالی و اطلاعات مصرف کنندگان و همچنین قرارگیری در معرض خطر افشاگری های حقوقی و قانونی از دست می دهند و وضعیت برای آنها بسیار بدتر می شود.
سامانه های سایبری بدون در نظر داشتن امنیت طراحی شده اند و امروزه نیز با رشد ناگهانی گوشی های موبایل و اتصال به شبکه اینترنتی تمامی دارایی های فیزیکی از دوربین های امنیتی گرفته تا تلفن های همراه که همان «اینترنت اشیاء» است، سامانه های سایبری بسیار ناامن تر از قبل شده است. بعلاوه اینکه جامعه حملات سایبری، به طور گسترده، تکنیک های حملات خود را تقویت کرده است. حملات سایبری پیشرفته ای که ما تا چند سال پیش فقط در بین چند کشور شاهد آن بودیم، امروزه بین مجرمان به صورت عادی رواج پیدا کرده است یا در خصوص پرونده «سونی» می توان گفت که حملات سایبری علیه نهادهای تجاری، با اهداف سیاسی و اقتصادی صورت گرفت.
در نهایت می توان گفت که جنبه مالی امنیت سایبری به یاری عاملان حملات سایبری می آید. حملات سایبری تقریباً ارزان و سهل الوصول است. طرح های تجاری عاملان سایبری با حاشیه سود بسیار زیاد قابل تعمیم است و بعلاوه اینکه پشت عاملان حملات سایبری گرم است زیرا تقریباً هیچ گونه اجرای قانون برای عاملان حملات سایبری وجود ندارد و ما تنها کمتر از دو درصد از جرایم سایبری را تحت پیگرد قانونی قرار می دهیم.
این عدم توازن مشوق های اقتصادی با این واقعیت تشدید می شود که بسیاری از فناوری هایی که اخیراً به رشد، نوآوری و سودآوری شرکتها منجر شده است به تضعیف امنیت سایبری منجر شده است.
فناوری هایی چون صدا بر روی پروتکل اینترنت (VOIP) یا حساب های مجازی(cloud computing)، کارایی هزینه ای زیادی با خود به همراه می آورد اما در عین حال به طرز چشمگیری امنیت فضای سایبر را با مشکل دچار می سازد. بازدهی هراندازه هم که لازم باشد، شیوه های کسب و کار همچون استفاده از زنجیره طولانی تأمین و استفاده از دستگاه شخصی خود (BYOD) از نظر اقتصادی بسیار جذاب است اما از نقطه نظر امنیتی مشکل ساز است.
هیأت مدیره شرکت ها با این معما روبرو هستند که از یک طرف به منظور رشد و توسعه به فناوری نیاز دارند اما از طرف دیگر فناوری موجب بروز خطراتی برای شرکتها می شود.
در کتاب امنیت سایبری انجمن ملی مدیران شرکت ها، پنج اصل اساسی برای هیأت مدیره شرکتها آمده است تا بتوانند مدیریت خطرات سایبری خود را تقویت کنند.
۱. به یاد داشته باشید که امنیت سایبری یک مسئله مدیریت ریسک جامع در سازمانها به حساب می آید. اینگونه تفکر که امنیت سایبری، یک موضوع فناوری اطلاعات (IT) است پس بنابراین رسیدگی به آن از طریق راه حل های فنی به سادگی قابل بررسی است، یک راهبرد کاملاً ناقص است. تنها بزرگترین آسیب پذیری در سامانه سایبری، خود افراد هستند. هزینه های امنیت سایبری زمانی با کارایی زیاد قابل مدیریت است که با تصمیمات کاری چون معرفی محصول یا همان راهبردهای ترکیب و ادغام ( M&A) و بازاریابی ادغام شود. بعلاوه در یک جهان یکپارچه، سازمانها می بایست خطراتی که فروشندگان، مسوول تدارکات و مشتریان به وجود می آورند، را در نظر بگیرند زیرا نقاط ضعف آنها می تواند به ضرر سیستم خانگی مورد استفاده قرار گیرد.
۲.مدیران می بایست به پیامدهای قانونی خطرات سایبری واقف باشند. وضعیت حقوقی مربوط به امنیت سایبر، آشفته و به سرعت در حال توسعه است. هیچ استانداردی وجود ندارد که بتوان آن را به ویژه برای سازمانهایی که با چندین اختیارات قانونی فعالیت دارند، به کار برد. حائز اهمیت است که سازمانها به طور سیستماتیک، قوانین و مقررات بازارهای خود را دنبال کنند.
۳.هیأت مدیره سازمان می بایست به مهارت هایی در زمینه امنیت سایبر دسترسی مناسبی داشته باشد. گرچه موضوع امنیت سایبر در تصمیمات کاری بعنوان ملاحظات قانونی و مالی به یک مسئله مهم تبدیل شده است اما اکثر هیأت مدیره سازمانها فاقد مهارت کافی برای ارزیابی خطرات سایبری هستند. بسیاری از اعضای هیأت مدیره سازمانها در حال حاضر متخصصان سایبری را به استخدام درآورده اند تا عضوی از هیأت مدیره باشند و بتوانند در تحلیل و بررسی گزارشات کارکنان در زمینه امنیت سایبر کمک کنند. هیأت مدیره می بایست به صورت مداوم در جلساتی که برگزار می کند، بعنوان بخشی از حسابرسی یا گزارشات مشابه کمیته، زمان کافی را برای امنیت سایبری تخصیص دهد.
۴.مدیران سازمانها می بایست در سازمان خود یک چارچوب مدیریت خطرات سایبری را به کارگیرند و هر سازمان می بایست در سطح سازمان، یک تیم مقابله با خطرات سایبری داشته باشد که توسط یک فرد با اختیارات فراسازمانی اداره شود و این فرد می بایست به طور مداوم در شرکت و جلسات حضور پیدا کند و بودجه جداگانه ای به وی تخصیص داده شود و یک طرح سازمانی داشته باشد و آن را اجرا کند.
۵.مدیریت بر اساس این طرح می بایست یک روش ارزیابی خسارت ناشی از یک حمله سایبری را به وجود آورد. آنها می بایست مشخص کنند که چه حملات سایبری قابل جلوگیری است یا چه حملاتی را می توان کاهش داد یا آنکه خسارات ناشی از آن را از طریق بیمه پذیرفت یا منتقل کرد. این بدان مفهوم است که آنها می بایست تعیین کنند که در نتیجه یک حمله سایبری، سازمان تمایل دارد چه داده هایی را از دست بدهد و این میزان خسارات تا چه اندازه است. سپس می بایست بودجه ای را برای کاهش خطرات سایبری و دفاع مقابل خطرات جزئی و خطرات جدی تخصیص دهد.
اگر سازمانی این اصول گفته شده را رعایت کند، می تواند به خوبی در مسیر ایجاد یک سیستم امن مدیریت خطرات سایبری بادوام قدم بردارد.
منبع: مجمع جهانی اقتصاد