مدیران سطح بالا، از جمله اعضای هیئت مدیره و مدیران ارشد، معمولاً به اطلاعات حساس دسترسی دارند. به همین دلیل، آنها معمولاً جزو اهداف اصلی مهاجمانی هستند که به دنبال شکستن سد امنیتی سازمان ها هستند. ابزار شخصی آن افراد و سایر نقاط ورود [آنها به شبکه سازمان] به طور کلی، آنها یکی از مهمترین مسیرهای حمله برای مجرمان سایبری هستند که سعی در رسیدن به سطوح بالایی دارند.
بر اساس گزارش نقض دادههای 2022 Verizon، انسانها مسئول حدود 80 درصد از رخنهها و حوادث سایبری هستند. همچنین، بسیاری از آنها شامل فیشینگ، هک کردن ایمیل های کاری و استفاده از اعتبارنامه های سرقت شده است.
سطح جدید حمله
عوامل مختلفی باعث شکلگیری ریسکهای جدیدی شده است که مدیران ارشد سازمانها را به شیوههای کاملا شخصی هدف قرار میدهند. نکته مهم برای CIOها، زندگی دیجیتالی مدیران اغلب ضعیفترین حلقه در یک سازمان است و نه تنها حسابها و دستگاههای شخصی آنها، بلکه سرورهای خانگی، تجهیزات امنیتی خانه، دستگاههای خانواده و حتی تعاملات آنها در رسانههای اجتماعی میتواند منجر به آسیبپذیری شود. و خطرات امنیتی جدید در محل کار. کریس پیرسون، مدیرعامل BlackCloak میگوید: «امروزه حتی محل سکونت نیز یک سطح حمله به حساب میآید».
پریسون می گوید: «زندگی دیجیتالی تیم مدیریت مانند یک بمب ساعتی است. اگرچه باید از نیروها و سیستم های داخلی برای حفاظت از سازمان استفاده شود، مدیریت ریسک ناشی از محیط غیرقابل کنترل خارجی بسیار دشوارتر است.
با توجه به تجربه پیرسون در مدیریت اجرایی، جنبه هایی از زندگی شخصی دیجیتال درصد قابل توجهی از این افراد در معرض دید قرار گرفته است. هنگامی که زندگی شخصی و شرکتی با هم تماس پیدا می کند، مشکلات جدیدی برای مدیران ارشد اطلاعاتی که در یک محیط کنترل نشده فعالیت می کنند، ممکن است ایجاد شود.
پس از شیوع ویروس کرونا و شکلگیری فضای کاری ترکیبی، خطرات مدیران اجرایی تشدید شده و مرز بین زندگی شخصی و حرفهای آنها کمتر شده است. تنشهای پیچیده ژئوپلیتیکی، فرصتهایی برای فعالیت دیجیتالی علیه شرکتها، بهویژه در صنایع مهمتر، و سود بالا از هدف قرار دادن مدیران ثروتمند، همگی خطرات زندگی دیجیتال شخصی مدیران عامل را افزایش دادهاند.
یک سازمان بزرگ، به ویژه یک شرکت عمومی با تیم مدیریت ارشد با حضور در رسانه های اجتماعی، هدف جذابی برای مهاجمان است. گرگانا وینزر، شریک خدمات سایبری در KPMG استرالیا میگوید: «برخی از این مجرمان دریافتهاند که میتوانند با خرید آسان باجافزار و بدافزار از طریق اینترنت و استفاده از آنها علیه این اهداف سودآور، درآمد قابل توجهی به دست آورند.
وقتی یک تخلف شخصی منجر به حمله سازمانی می شود
پیرسون معتقد است که ریسک های مربوط به مالکیت معنوی، سرقت اسناد سازمانی از دستگاه ها یا حساب های شخصی مدیران که کنترل چندانی بر آن ها وجود ندارد، از مهم ترین خطرات در این زمینه است. این دسته از خطرات شخصی در اشکال و اشکال مختلفی وجود دارد. او میگوید: «مدیران شرکتها معمولاً سیستمهای پیچیده خانه هوشمند با دوربینهای امنیتی و سرورهایی دارند که شامل سرویسها و دستگاههای مختلفی هستند که میتوانند به عنوان نقطه نفوذ عمل کنند.
اما پیرسون معتقد است که مدیران عامل نسبت به مؤسسات مالی و بانک ها که کنترل بیشتری در آنها وجود دارد، اهداف جذاب تری برای مهاجمان هستند. او می گوید: «ما دیده ایم که در حملات هک به ایمیل های کاری، ایمیل های شخصی این افراد به دست مهاجمان می رسد. هکرها همچنین با استفاده از بدافزار و سایر کلاهبرداری های مهندسی اجتماعی به دستگاه های شخصی آنها نفوذ می کنند. در نتیجه، پول انگیزه مهمی برای بسیاری از این حملات است.”
سپس نوبت به بسیاری از حملات شخصی با اهداف مخرب می رسد. Doxxing شخصی، از جمله افشای نام، آدرس، شماره تلفن، و حتی تصاویر و ویدیوهای شخصی، نقض حریم خصوصی است و مدیران را در معرض سوء استفاده قرار می دهد. پیرسون میگوید: «این اطلاعات بهعنوان ابزاری برای اخاذی استفاده میشود، اما برای تخریب شهرت و ارعاب نیز استفاده میشود».
به گفته کارشناسان: پرداختن به این ملاحظات پیچیده امنیتی نباید باعث ایجاد اصطکاک اضافی بین رهبران، خانواده ها و تعامل آنها با فناوری شود. بلکه باید سطح حمله به این گونه حساب ها، خدمات و دستگاه ها کاهش یابد و از امکان کاهش ریسک اطمینان حاصل شود.
CIOها چگونه می توانند سطح ریسک را برای مدیران کاهش دهند؟
وقتی CIOها قادر به مداخله مستقیم در زندگی دیجیتال شخصی خود نباشند، محافظت از آنها در خارج از محیط اداری و سخت افزار آسان نیست. پیرسون میگوید: «البته، CIOها هنوز هم این شکاف حریم خصوصی را میخواهند و فقط میخواهند خطرات پوشش داده شود و میدانند چه کاری باید در سطح بالایی انجام شود.
پیرسون می گوید: «مدیران اطلاعاتی باید تقاطع دقیق چشم انداز ریسک شخصی و سازمانی را درک کنند. برای مثال، نگاهی به صفحه «درباره ما» بیندازید. سوالات زیادی از این قسمت شروع می شود. سپس لایههای بعدی و عمق آنها را بررسی کنید و بزرگترین خطراتی که اعضای لایههای مختلف ممکن است در زندگی شخصیشان با آن مواجه شوند چیست و CIOها چگونه میتوانند این خطرات را کاهش دهند.”
وینزر میگوید: «حملات سایبری پیچیده و سازمانیافته ممکن است با سیستمهای یک سازمان شروع نشوند، بلکه زمانی که حساب یک مدیر در معرض خطر قرار میگیرد و از آنجا پخش میشود». به عنوان یک اقدام احتیاطی، CIOها باید تغییرات در وضعیت ریسک تیم مدیریت و رهبری را نظارت کنند. این بدان معناست که آنها باید همیشه هوشیار و کنجکاو باشند و سعی کنند نقاط کور را پیدا کنند. این نقاط کور می تواند بسیار بزرگ باشد. مانند مدیر عاملی که دائماً در رسانه ها است، اطلاعات مربوط به معاملات او در بازار سهام در دسترس عموم است یا به اندازه کافی شناخته شده است که حضور او در رسانه های اجتماعی توجه مهاجمان را به خود جلب می کند. او می گوید: «به عنوان مدیر ارشد امنیت اطلاعات، باید از تهدیدات احتمالی این افراد و توانایی آنها برای کار در سازمان آگاه باشم.
حفاظت از دارایی های ارزشمند سازمان
وینزر توصیه میکند که برای رفع این آسیبپذیریهای بالقوه، که میتوانند از محیط شخصی به محیط شرکت منتقل شوند، مدیران ارشد فناوری باید ابتدا یک ارزیابی ریسک انجام دهند که شامل شناسایی ارزشمندترین داراییهای سازمان برای محافظت و شناسایی خطرات بالقوه از طریق حمله شخصی و توسعه است. استراتژی های کاهش
وینزر میگوید: «شما باید مطمئن شوید که تا حد ممکن آسیبپذیریها یا تهدیدها مستند شده و در نظر گرفته شدهاند. این به ارزیابی احتمال و تأثیر هرگونه نقض شخصی کمک می کند. او می گوید: «ابتدا متوجه شوید که تهدید اعضای هیئت مدیره و مدیران ارشد چیست و سپس اقدام کنید. اما این باید بر اساس سطح ریسک پذیری و آنچه که باید از دیدگاه سازمان محافظت شود، انجام شود.
استراتژیهای کاهش ریسک میتوانند تعیین کنند که مدیران ارشد چه اطلاعاتی مجاز به انتشار هستند. به گفته وینزر، «به دست آوردن هرچه بیشتر اطلاعات برای ارزیابی تهدید، جمعآوری آن در مخزن ریسک و اقدام، مهم است نه نادیده گرفتن آن». زیرا این نکته مهم در دنیای سایبری است. هرگاه چیزی را نادیده بگیریم، در نهایت برمیگردد و ما را آزار میدهد.”
ارائه آموزش امنیت سایبری برای مدیران
علاوه بر ارزیابی ریسک و استراتژیهای کاهش، آموزش داخلی میتواند به اطمینان از ردپای دیجیتالی مدیران دیجیتال کمک کند. استیون سیم، یکی از اعضای گروه ویژه تهدیدات نوظهور ISACA، گفت: «مدیران ارشد، مانند همه کارمندان، باید آموزشهای متناسب با آنها را دریافت کنند. این آموزش ها شامل تمرین های شبیه سازی فیشینگ و تمرین های مکالمه و میز گرد می باشد. وی می گوید: در صورت امکان مدیران رده بالا در این رزمایش ها حضور داشته باشند و اعضای هیئت مدیره در تصمیماتی که در مواقع بحرانی ناشی از حملات سایبری اتخاذ می شود، مشارکت داشته باشند.
سیم می گوید: «این ابتکارات باید بخشی از یک برنامه چند ساله بهبود امنیت سایبری باشد که افراد، فرآیندها و فناوری را در بر می گیرد. علیرغم انواع جریمه ها و آسیب های اعتباری به سازمان ها، این آموزش ها باید به سطح زنجیره تامین تجاری و دیجیتال و اکوسیستم مالکیت معنوی جامعه امنیتی گسترش یابد.
سیم معتقد است که منبع اطلاعات ریسک برای مدیران ارشد و سازمان های آنها باید به طور منظم به روز شود، زیرا چشم انداز تهدید سایبری به سرعت در حال تحول است و تکنیک ها یا تاکتیک های جدیدی اضافه می شود. معیارهای امنیتی، شاخصهای ریسک کلیدی، و شاخصهای کلیدی عملکرد مرتبط با پروژهها و ابتکارات امنیت سایبری باید به طور مستمر ارزیابی شوند تا طرح بهبود امنیت سایبری با موفقیت اجرا شود. او میگوید: «این به سازمانها کمک میکند تا سطوح تحمل ریسک فعلی را برآورده کنند و راه را برای مدیران ارشد و سازمان برای محافظت در برابر تهدیدات احتمالی آینده هموار میکند».
توجه به فرهنگ سازمانی
فرهنگ عنصر مهم دیگری است که نباید در مدیریت ریسک اجرایی و اطمینان از پاسخگویی همه در قبال امنیت سایبری نادیده گرفته شود. در عمل، این بدان معنی است که CIOها به جای اتکای صرف به وصلههای امنیتی یا برنامههای آموزشی، رویکردی جامع را در پیش میگیرند. در حالی که بسیاری از مدیران ارشد فناوری اطلاعات سالها این کار را انجام میدهند، وینزر معتقد است که تقویت فرهنگ سایبری به همکاری قوی در سطح مدیریت ارشد نیاز دارد. او می گوید: «مدیر ارشد امنیت اطلاعات، مدیر ارشد مالی و مدیر اجرایی باید همه با هم برای ایجاد فرهنگ امنیت همکاری کنند. [مسئولیت مشترک] در سطح سازمانی اجرا شود.
مهمترین چیزی که باید به آن توجه کرد این است که یک ریسک مشترک وجود دارد. در صورتی که مدیر عاملی تحت تأثیر قرار گیرد و پرونده ها و داده های شخصی وی از جمله اطلاعات حساس در مورد وضعیت یا اطلاعاتی که در مورد سازمان دارد، اسرار تجاری و سایر موارد مشابه افشا شود، این موضوع به مدیر ارشد امنیت اطلاعات مربوط می شود و نخواهد بود. فقط یک مشکل شخصی برای مدیر عامل.
وینزر میگوید: «اگر همه بدانند نقشها و مسئولیتهایشان در رابطه با امنیت سایبری چیست، مدیران ارشد میتوانند کار خود را بسیار راحتتر انجام دهند.
منبع: csoonline