بیمۀ امنیت سایبری از هزینههای موردانتظار تجارت است
امروزه زندگی شخصی ما هرچه بیشتر به سمت فضای آنلاین کشیده شده و دنیای کسبوکار هم از آن پیروی کرده است. صرفنظر از اینکه در چه صنعتی فعال باشیم، اکنون فناوری از یک دارایی ارزشمند که به کارایی بیشتر در شرکتها کمک میکرد، به سیستمی ضروری تبدیل شده است که سازمانها را اداره میکند.
حفاظت از اطلاعات حساس شرکت در سیستمهای فناوری بسیار حیاتی است. تیمهای مدیریتی در سراسر جهان نیروهای ویژهای تشکیل دادهاند که بر امور زیر تمرکز دارند:
• مدیریت ریسک سازمان (ERM)
• برنامهریزی منابع سازمان (ERP)
• مدیریت بحران/ بازیابی پس از حادثه
• خدمات IT (دیوارهای آتش، کدگذاری، دسترسی از راه دور، تأیید، پشتیبانگیری از سیستم و غیره)
• ارزیابی تهدیدها و میزان آسیبپذیری نسبت به آنها
• برنامهریزی واکنش نسبت به حادثۀ امنیت سایبری
دیگر بحث «اگر» نیست، فقط «زمان» مطرح است
چه جزء 500 شرکت برتر فورچون باشید یا یک مؤسسۀ دولتی، اکنون باید به هکرها، بدافزارها و دیگر عوامل نفوذ به زیرساختهای تجارت توجه کنید. این حملات مخرب به دنبال اطلاعات حساسی هستند که از پرداختهای آنلاین مشتریان، دادههای شخصی کارکنان/ مشتریان، اطلاعات مربوط به سلامت فردی و یا مالکیت معنوی دادههای شرکتی به دست میآیند.
هکرها صبورند و شما را میپایند
سال گذشته، وقتی منتظر بودیم تا از یک جلسۀ کاری به خانه برگردیم، مدیر مالی آن شرکت تولیدکنندۀ بزرگ بینالمللی، گوشی تلفنش را به دستم داد تا عنوان یک ایمیل را بخوانم: «موضوع: فوری.» او تابستان آن سال بازنشسته شده بود و هنوز یک هفته نبود که مدیر مالی جدید به شرکت پیوسته بود. ایمیل «فوری» را مدیر مالی جدید برایش فرستاده بود و در آن درخواست شده بود که فوراً 64,500 دلار به صورت آنلاین بابت مواد لازم برای تکمیل یک سفارش فوری به حساب فروشندۀ بسیار معتبری انتقال یابد. مدیر مالی خندهاش گرفته بود زیرا این از همان موضوعاتی بود که ما در طول سال گذشته طی جلسات استراتژی ریسک داخلی خود راجع به آن بحث میکردیم.
معلوم بود که این رویداد یک کلاهبرداری است و بخش مالی این انتقال وجه را انجام نداد. این مسئولیت بر عهدۀ مدیر مالی بود و ما در ابتدای آن سال پروتکلهایی را برقرار کردیم که برای انتقال وجه بیشتر از 25,000 دلار، وجود دو امضا و نسخۀ اصلی تأییدیۀ فرستنده را ضروری میکرد.
افراد مزاحم نهتنها میتوانند وارد شبکهها و سیستمهای حفاظتشدۀ سازمان شوند، بلکه نگاه میکنند و سبک نوشتن و دستور زبان شرکت را یاد میگیرند و صبر میکنند تا ضربۀ خود را در یک فرصت مناسب وارد کنند. خوشبختانه، در این موقعیت، این اقدام مخرب شکست خورد و کسی چیزی به دست نیاورد. اما این موقعیتها در حال افزایش است و خصوصاً در مواردی که مهاجمان میدانند مدیر در حال سفر با هواپیما است، جلسهای دارد، در تعطیلات است یا درگیر رویدادی است که حواسش را پرت میکند، بیشتر هم میشود.
پیشگیری در برابر انفعال
مَثَلِ «کارتان را برنامهریزی کنید و برنامهتان را به اجرا درآورید» بسیار مهم است. مدیریت ریسک پیشگیرانهای که به رویدادهای مرتبط با امنیت سایبری بپردازد، برای پایداری مالی و عملیاتی هر سازمانی ضروری است. اگر زیرساختهای حیاتی برای هشت ساعت یا بیشتر از دسترس خارج شود چه اتفاقی میافتد؟ برای تکمیل سفارشها، تأیید ملاقاتهای مشتریان یا رعایت ضربالعجلهای حیاتی در طول خرابی سیستمها چه رویههایی وجود دارد؟
استراتژیهای مهم مدیریت ریسک که باید در نظر گرفت به شرح زیر است:
1- آگاهی از این موقعیتها و گردش اطلاعات در داخل سازمان از طریق آموزش کارکنان، ایمیلهای ارسالی برای همۀ کارکنان، اطلاعیه روی درگاه درونسازمانی شرکت و بهروزرسانیهای ارتباطی.
2- توانمندسازی کارکنان برای طرح پرسش و دغدغه. این اقدامات مخرب با اعتماد به ماهیت سلسلهمراتبی سازمانها اتفاق میافتد. کارکنان سطوح میانی و پایین که سعی دارند مدیران بالایی را تحت تأثیر قرار دهند، ممکن است یک کار «فوری» را بیچونوچرا بهسرعت انجام دهند.
3- آمادگی. بحثهای میزگرد سایبری که به صورت سالانه توسط مدیریت ارشد اجرا میشود، بسیار ضروری است. این میزگردها باید به برنامهها و رویههای جاری، تغییرات ایجادشده، موارد بهبودیافته، مسئولیتهای اعضای تیم و اجرای یک حادثۀ سایبری شبیهسازیشده بپردازد. رهبران ضمن این اقدامات امنیتی ارزیابی میشوند که چطور موقعیتهای مشابه را اداره کردهاند و برای بهبود کار خود بازخورد میگیرند.
برای این کار بیمه طراحی شده است
بیمهنامههای مستقل مسئولیت سایبری به کُندی پذیرفته شدند اما در 10 سال گذشته به شدت رشد کردند. از سال 2010، بیمهنامهها مطابق با ویژگیهای صنایع و ریسکهای خاص آنها به صورت سفارشی تنظیم میشوند. پوششهای بیمۀ مسئولیت سایبری عبارت است از:
• پوشش حریم خصوصی
• امنیت شبکه
• رسانه
• پوشش شخص اول
• اخاذی سایبری
• خطا و غفلت.
علاوه بر این، اگر انتقال وجه مشکوک اینترنتی در پروتکلهای کنونی شما منظور نشده است، از محل بیمهنامۀ جرایم بازرگانی برای «کلاهبرداری مخرب» یا «مهندسی اجتماعی» میتوان آن را بیمه کرد. میزان فرانشیز یا سهم بیمهگذار از خسارت بر اساس ریسک فرق میکند، اما حدود آن تا 5 میلیون دلار میرسد. وقتی حدود پوشش بیمهنامه بیشتر از 500,000 دلار باشد، پذیرش بیمه با در نظر گرفتن جزئیات و پرسشهای مربوط به کنترلها و روشهای مدیریت ریسک صورت میگیرد.
گزارش فرصتهای جهانی سال 2017 اعلام کرد که بسیاری از شرکتها برای ریسکهای سایبریِ پیش روی خود آماده نیستند یا آنها را درک نکردهاند. در واقع، فقط 37 درصد از سازمانها از برنامهای برای واکنش نسبت به یک رویداد سایبری برخوردارند. اگر نگرانید که یک تهدید چطور میتواند بر سازمانتان تأثیر بگذارد، با کارگزار بیمۀ بازرگانی خود دربارۀ بهترین روشها و راهکارهای موجود برای انتقال ریسک (از جمله هزینههای حقوقی و دفاعی) صحبت کنید. این روزها جرایم سایبری بسیار شایع شده است؛ باید خود را برای وقتی که سازمانتان مورد هدف قرار میگیرد آماده کنید.
نویسنده : نیک وارن- معاون مدیر شرکت پارکر، اسمیت اند فیک ترجمۀ سامه نجفی- کارشناس برنامهریزی استراتژیک
تاریخ انتشار : 1398/11/21
فایل های پیوست