امروزه زندگی شخصی ما هرچه بیشتر به سمت فضای آن‌لاین کشیده شده و دنیای کسب‌وکار هم از آن پیروی کرده است. صرف‌نظر از اینکه در چه صنعتی فعال باشیم، اکنون فناوری از یک دارایی ارزشمند که به کارایی بیشتر در شرکت‌ها کمک می‌کرد، به سیستمی ضروری تبدیل شده است که سازمان‌ها را اداره می‌کند.
حفاظت از اطلاعات حساس شرکت در سیستم‌های فناوری بسیار حیاتی است. تیم‌های مدیریتی در سراسر جهان نیروهای ویژه‌ای تشکیل داده‌اند که بر امور زیر تمرکز دارند:
• مدیریت ریسک سازمان (ERM)
• برنامه‌ریزی منابع سازمان (ERP)
• مدیریت بحران/ بازیابی پس از حادثه
• خدمات IT (دیوارهای آتش، کدگذاری، دسترسی از راه دور، تأیید، پشتیبان‌گیری از سیستم و غیره)
• ارزیابی تهدیدها و میزان آسیب‌پذیری نسبت به آنها
• برنامه‌ریزی واکنش نسبت به حادثۀ امنیت سایبری

دیگر بحث «اگر» نیست، فقط «زمان» مطرح است
چه جزء 500 شرکت برتر فورچون باشید یا یک مؤسسۀ دولتی، اکنون باید به هکرها، بدافزارها و دیگر عوامل نفوذ به زیرساخت‌های تجارت توجه کنید. این حملات مخرب به دنبال اطلاعات حساسی هستند که از پرداخت‌های آن‌لاین مشتریان، داده‌های شخصی کارکنان/ مشتریان، اطلاعات مربوط به سلامت فردی و یا مالکیت معنوی داده‌های شرکتی به دست می‌آیند.
هکرها صبورند و شما را می‌پایند
سال گذشته، وقتی منتظر بودیم تا از یک جلسۀ کاری به خانه برگردیم، مدیر مالی آن شرکت تولیدکنندۀ بزرگ بین‌المللی، گوشی تلفنش را به دستم داد تا عنوان یک ایمیل را بخوانم: «موضوع: فوری.» او تابستان آن سال بازنشسته شده بود و هنوز یک هفته نبود که مدیر مالی جدید به شرکت پیوسته بود. ایمیل «فوری» را مدیر مالی جدید برایش فرستاده بود و در آن درخواست شده بود که فوراً 64,500 دلار به صورت آن‌لاین بابت مواد لازم برای تکمیل یک سفارش فوری به حساب فروشندۀ بسیار معتبری انتقال یابد. مدیر مالی خنده‌اش گرفته بود زیرا این از همان موضوعاتی بود که ما در طول سال گذشته طی جلسات استراتژی ریسک داخلی خود راجع به آن بحث می‌کردیم.
معلوم بود که این رویداد یک کلاهبرداری است و بخش مالی این انتقال وجه را انجام نداد. این مسئولیت بر عهدۀ مدیر مالی بود و ما در ابتدای آن سال پروتکل‌هایی را برقرار کردیم که برای انتقال وجه بیشتر از 25,000 دلار، وجود دو امضا و نسخۀ اصلی تأییدیۀ فرستنده را ضروری می‌کرد.
افراد مزاحم نه‌تنها می‌توانند وارد شبکه‌ها و سیستم‌های حفاظت‌شدۀ سازمان شوند، بلکه نگاه می‌کنند و سبک نوشتن و دستور زبان شرکت را یاد می‌گیرند و صبر می‌کنند تا ضربۀ خود را در یک فرصت مناسب وارد کنند. خوشبختانه، در این موقعیت، این اقدام مخرب شکست خورد و کسی چیزی به دست نیاورد. اما این موقعیت‌ها در حال افزایش است و خصوصاً در مواردی که مهاجمان می‌دانند مدیر در حال سفر با هواپیما است، جلسه‌ای دارد، در تعطیلات است یا درگیر رویدادی است که حواسش را پرت می‌کند، بیشتر هم می‌شود.
پیشگیری در برابر انفعال
مَثَلِ «کارتان را برنامه‌ریزی کنید و برنامه‌تان را به اجرا درآورید» بسیار مهم است. مدیریت ریسک پیشگیرانه‌ای که به رویدادهای مرتبط با امنیت سایبری بپردازد، برای پایداری مالی و عملیاتی هر سازمانی ضروری است. اگر زیرساخت‌های حیاتی برای هشت ساعت یا بیشتر از دسترس خارج شود چه اتفاقی می‌افتد؟ برای تکمیل سفارش‌ها، تأیید ملاقات‌های مشتریان یا رعایت ضرب‌العجل‌های حیاتی در طول خرابی سیستم‌ها چه رویه‌هایی وجود دارد؟
استراتژی‌های مهم مدیریت ریسک که باید در نظر گرفت به شرح زیر است:
1- آگاهی از این موقعیت‌ها و گردش اطلاعات در داخل سازمان از طریق آموزش کارکنان، ایمیل‌های ارسالی برای همۀ کارکنان، اطلاعیه روی درگاه درون‌سازمانی شرکت و به‌روزرسانی‌های ارتباطی.
2- توانمندسازی کارکنان برای طرح پرسش و دغدغه. این اقدامات مخرب با اعتماد به ماهیت سلسله‌مراتبی سازمان‌ها اتفاق می‌افتد. کارکنان سطوح میانی و پایین که سعی دارند مدیران بالایی را تحت تأثیر قرار دهند، ممکن است یک کار «فوری» را بی‌چون‌وچرا به‌سرعت انجام دهند.
3- آمادگی. بحث‌های میزگرد سایبری که به صورت سالانه توسط مدیریت ارشد اجرا می‌شود، بسیار ضروری است. این میزگردها باید به برنامه‌ها و رویه‌های جاری، تغییرات ایجادشده، موارد بهبودیافته، مسئولیت‌های اعضای تیم و اجرای یک حادثۀ سایبری شبیه‌سازی‌شده بپردازد. رهبران ضمن این اقدامات امنیتی ارزیابی می‌شوند که چطور موقعیت‌های مشابه را اداره کرده‌اند و برای بهبود کار خود بازخورد می‌گیرند.
برای این کار بیمه طراحی شده است
بیمه‌نامه‌های مستقل مسئولیت سایبری به کُندی پذیرفته شدند اما در 10 سال گذشته به شدت رشد کردند. از سال 2010، بیمه‌نامه‌ها مطابق با ویژگی‌های صنایع و ریسک‌های خاص آنها به صورت سفارشی تنظیم می‌شوند. پوشش‌های بیمۀ مسئولیت سایبری عبارت است از:
• پوشش حریم خصوصی
• امنیت شبکه
• رسانه
• پوشش شخص اول
• اخاذی سایبری
• خطا و غفلت.
علاوه بر این، اگر انتقال وجه مشکوک اینترنتی در پروتکل‌های کنونی شما منظور نشده است، از محل بیمه‌نامۀ جرایم بازرگانی برای «کلاهبرداری مخرب» یا «مهندسی اجتماعی» می‌توان آن را بیمه کرد. میزان فرانشیز یا سهم بیمه‌گذار از خسارت بر اساس ریسک فرق می‌کند، اما حدود آن تا 5 میلیون دلار می‌رسد. وقتی حدود پوشش بیمه‌نامه بیشتر از 500,000 دلار باشد، پذیرش بیمه با در نظر گرفتن جزئیات و پرسش‌های مربوط به کنترل‌ها و روش‌های مدیریت ریسک صورت می‌گیرد.
گزارش فرصت‌های جهانی سال 2017 اعلام کرد که بسیاری از شرکت‌ها برای ریسک‌های سایبریِ پیش روی خود آماده نیستند یا آنها را درک نکرده‌اند. در واقع، فقط 37 درصد از سازمان‌ها از برنامه‌ای برای واکنش نسبت به یک رویداد سایبری برخوردارند. اگر نگرانید که یک تهدید چطور می‌تواند بر سازمانتان تأثیر بگذارد، با کارگزار بیمۀ بازرگانی خود دربارۀ بهترین روش‌ها و راهکارهای موجود برای انتقال ریسک (از جمله هزینه‌های حقوقی و دفاعی) صحبت کنید. این روزها جرایم سایبری بسیار شایع شده است؛ باید خود را برای وقتی که سازمانتان مورد هدف قرار می‌گیرد آماده کنید.