
اگر حمله یا حمله باج افزاری در سازمان شما رخ دهد، آیا تیم امنیت سایبری شما آماده پاسخگویی خواهد بود؟ CIOها ممکن است احساس کنند که کارکنان آنها همیشه مهارت ها و آموزش های لازم را دارند. به گفته بک مک کیون، مدیر علوم انسانی در شرکتی که یک پلتفرم آموزشی امنیت سایبری ارائه میکند: «کارمندان معمولاً هنگام برخورد با حوادث واقعی گیج و غرق میشوند».
مک کئون که روانشناس نیز هست و تحقیقات گسترده ای در صنایع پرخطر انجام داده است، با نحوه واکنش افراد در شرایط بحرانی آشناست، در این زمینه می گوید: «شاید یک کتابچه راهنمای مدیریت بحران و سیاست های خاص برای چنین شرایطی تهیه کنید و فرض کنید که در هنگام وقوع حادثه، ابتدا باید از این ابزارها استفاده کنید، اما همیشه اینطور نیست، زیرا مغز شما نه تنها بر اساس غریزه طبیعی مبارزه یا فرار کار می کند، بلکه توانایی توقف در این شرایط را نیز دارد. بارها شنیده ام که مردم می گویند با اینکه می دانستیم در مواقع بحران چه عکس العملی از خود نشان دهیم اما زمانی که در چنین شرایطی قرار گرفتیم دست و پایمان را گم کردیم و نمی دانستیم دقیقا باید چه کار کنیم.
مدیران ارشد امنیت اطلاعات بارها شاهد بوده اند که تیم ها از اثربخشی لازم در پاسخگویی به حوادث واقعی برخوردار نیستند. از جمله تیم هایی که مانورهای تدارکاتی برای چنین رویدادهایی را پشت سر گذاشته اند.
با فلج شدن تیم مشکلات دو چندان می شود
تاخیر در پاسخ، حتی برای چند ساعت، به مهاجمان زمان می دهد تا سطح آسیب و زمان لازم برای بازیابی را افزایش دهند. همچنین هزینه های پاسخگویی، جریمه های قانونی و آسیب های تجاری را افزایش می دهد. به دلیل احتمال وقوع چنین واکنش هایی، مک کئون، تحلیلگران و مدیران باسابقه امنیت اطلاعات معتقدند که مدیران امنیت سایبری باید این فلج را در واکنش به حوادث پیش بینی کنند و از روش های مناسب برای به حداقل رساندن احتمال وقوع آن استفاده کنند و راهکارهای لازم را در کامپایل رویدادهای واقعی به کار گیرند. بر شما گذشت.
مک کیون می گوید: «شما باید یاد بگیرید که در این مواقع حساس چگونه واکنش نشان دهید. میتوانید مهارتهایی را در افراد ایجاد کنید تا آنها را انعطافپذیرتر کنید و به آنها کمک کنید در صورت عدم آگاهی از موقعیت، واکنش مناسب نشان دهند. این نوعی آمادگی ذهنی است.»
چرا و چگونه تیم ها فلج می شوند؟
مدیران ارشد فناوری نباید تعجب کنند که حتی آماده ترین تیم ها در لحظات و موقعیت های بحرانی فلج می شوند. به گفته مککئون، «گاهی اوقات ممکن است افراد در واکنش به حادثه محدودیتهای شناختی داشته باشند، یعنی آنقدر روی چیزی که در مقابلشان است متمرکز میشوند که کل موقعیت را در نظر نمیگیرند. این تجربه می تواند حتی تفکر عادی افراد را مختل کند.»
نیل هارپر، افسر ارشد امنیت اطلاعات ISACA، که به عنوان مدیر هیئت اجرایی خدمت می کند، در اولین روز خود به عنوان مشاور در یک شرکت دید که چگونه یک حمله باج افزار می تواند افراد را فلج کند. او گفت: «حتی افراد با تجربه در واکنش به حوادث نمیدانستند چه کنند.
هارپر موقعیت های دیگری را دیده است که در آنها موانعی برای پاسخ ایجاد شده است که منجر به تاخیر در واکنش به حادثه شده است. در برخی مواقع، تیم ها می ترسیدند که اقدامات آنها افراطی به نظر برسد. گاهی ترس از اتهامات مردم، مردم را فلج می کند و اتفاقاتی رخ می دهد که هیچ فرد موثری که تجربه حضور در رویدادهای واقعی در تیم را داشته باشد، وجود نداشته است. در نتیجه مردم اعتماد لازم را برای مقابله با این وضعیت نداشتند. هارپر می گوید: «همه این مسائل، به تنهایی یا در ترکیب، می توانند کسب و کار یک شرکت را فلج کنند.
کریس هیوز، استادیار دانشکده فناوری اطلاعات و امنیت سایبری نیز تجربه حضور در موقعیتهای مشابه را داشته است. او همچنین با یک تیم امنیت سایبری در یک سازمان دولتی کار کرد که ترافیک مشکوک را شناسایی کرد، مخرب بودن آن را تایید کرد و سپس به یک سد راه برخورد کرد که آنها را متوقف کرد.
اثر تماشاگر
هیوز می گوید: «در چنین شرایطی ما شاهد نوعی پدیده اثر تماشاگر هستیم. مردم تصور میکنند یا امیدوارند که یکی از اعضای تیم جلو بیاید و کنترل را در دست بگیرد، اما هیچکس واکنشی نشان نمیدهد. در این شرایط، یک مدیر ارشد باید وارد عمل شود و آنها را از شوک خارج کند.”
از سوی دیگر گاهی مدیران باتجربه امنیت سایبری شاهد فلج شدن مدیران ارشد سازمان هستند که واقعیت را انکار می کنند و باور نمی کنند چنین اتفاقی برایشان افتاده است. اد اسکودیس، رئیس موسسه فناوری SANS، میگوید: «این لحظات فلج زمانی اتفاق میافتد که ترس از این که چقدر ممکن است بد شود و چقدر به سازمان آسیب وارد شود و عدم اطمینان زیادی وجود دارد، رخ میدهد. در این شرایط همیشه اطلاعات جدیدی دریافت می شود، اما تیم ها نمی توانند قضاوت کنند که کدام درست است یا غلط و کدام بهترین انتخاب است. در آن زمان که ترس، شک، عدم اطمینان یا هر سه با هم وجود دارد، مردم فلج می شوند. چنین موقعیت هایی اغلب اتفاق می افتد و افراد را در انتخاب راه درست دچار تردید می کند.
نورمن کرومبرگ، مدیر عامل شرکت خدمات امنیت سایبری NetSPI، تیمی را دیده است که به نقطهای رسیده است که همه چیز متوقف میشود. او یکی از مدیران ارشد شرکتی بود که پس از شناسایی فعالیت های مخرب داخلی، این حادثه را اعلام کرد. تیم وی در واکنش به این حادثه حدود دو هفته با تمام سرعت کار می کرد، در حالی که تیم های انتظامی، پزشکی قانونی، حسابداران و شرکت بیمه درگیر بودند. سپس تیم او به مانعی برخورد کرد و کاملا متوقف شد.
او میگوید: «در تماسهای وضعیت، ما میشنویم که مردم به شدت با یکدیگر صحبت میکنند. کرومبرگ معتقد است که خستگی و فشار ناشی از این شرایط باعث توقف تیم شد تا امکان پیشبرد روند ریکاوری وجود نداشته باشد.
چگونه از خود در برابر فلج محافظت کنیم؟
وقتی تیم کرومبرگ متوقف شد، او پس از بررسی دلایل از همه خواست به خانه بروند. کرومبرگ میگوید: «ما به نقطهای رسیدیم که تصمیم گرفتیم تعطیلات آخر هفته را داشته باشیم، و این شامل تیم خودمان، تأمینکنندگان، تیم حقوقی و گروه اجرایی بود». بعد از این تعطیلات، هفته را با انرژی جدید شروع کردیم.» او می گوید: «این خاموشی باعث شد مردم به سرعت به سمت حرکت بروند.» کرومبرگ می گوید: «این تجربه به من آموخت که برای چنین لحظاتی در آینده برنامه ریزی کنم. ما معتقدیم که اطلاعات ارشد مدیران امنیتی باید این روش را اتخاذ کنند و از مانورهای مختلف برای به حداقل رساندن احتمال فلج کردن تیم استفاده کنند.”
ابتدا به اصول اولیه بپردازید. به گفته فیلیپ چان، استادیار دانشکده فناوری اطلاعات و امنیت سایبری: «مدیران ارشد امنیت اطلاعات میتوانند با توسعه طرحهای واکنش به حادثه، آموزش تیمهای واکنش به حادثه، شبیهسازی منظم حوادث، تشویق گفتوگوی باز، استقرار با زنجیرهای از فرماندهی روشن کمک کنند. یک استراتژی مدیریت دقیق خطرات و حوادث مانع از فلج شدن افراد می شود.» کارشناسان امنیت سایبری می گویند: «پس از این مرحله، مدیران ارشد امنیت اطلاعات باید مانورها را بررسی و به طور مرتب اجرا کنند.» سپس عناصر لازم را به آن مانورها اضافه کنند تا مردم را برای حوادث واقعی آماده کنند. “
برای موقعیت های غیر منتظره آماده شوید
مک کیون میگوید: «عناصر جدیدی را اضافه کنید که در طرح اولیهتان نبود. به عنوان مثال، از یک کارمند بخواهید که عمداً یک حرکت اشتباه در طول یک مانور انجام دهد، مانند خاموش کردن یک سیستم بحرانی، تا تیم بتواند تجربه کار در شرایط غیرمنتظره را به دست آورد. او می گوید چنین اقداماتی باعث ارتقای چابکی و کار گروهی می شود و به رسیدگی به اتهامات و اختلافاتی که در مواقع بحران به وجود می آید و مانع پیشرفت گروه می شود، کمک می کند. یک بار، پس از یک جشن کوتاه ظهر، کرومبرگ یک مانور اعلام نشده آغاز کرد. او میدانست که هکرها حملات خود را در مواقعی که سازمانها آسیبپذیرترین هستند، انجام میدهند. در نتیجه سعی کرد تیمش را برای چنین شرایطی آماده کند. افراد او باید یاد می گرفتند که چگونه به سرعت رویکرد خود را تغییر دهند و کارها را بدون حضور افراد کلیدی پیش ببرند.
McKeown، Kromberg و دیگران معتقدند که در چنین مانورهای نزدیک به زندگی، حافظه مدیران ارشد امنیت اطلاعات و تیم های آنها تیزتر می شود، زیرا آنها باید از اول شروع کنند (مانند هشدارهای اولیه) و سناریوهای لازم را با شبیه سازی انجام دهند. تمرینات ، عملکرد (نه با تمرینات آموزشی و نظری). هیوز، بنیانگذار و مدیر ارشد امنیت اطلاعات Aquia، که در ارائه خدمات حرفه ای امنیت سایبری و خدمات ابری تخصص دارد، می گوید: “وقتی واقعاً دست به کار شوید و مجبور به انجام کاری شوید، وضعیت بسیار متفاوت و ملموس تر می شود.”
برای مانورها از شمارش معکوس استفاده کنید
اسکودیس می گوید: «از شمارش معکوس برای مانورها استفاده می کند. این به تیم او اجازه می دهد تا تحت فشار شدیدی که در رویدادهای واقعی احساس می شود، عادت کنند. به گفته وی: فعالیت در چنین شرایطی ناخوشایند است اما به تقویت حافظه کمک می کند. CIOها تشویق می شوند تا حد امکان مدیران اجرایی، سایر بخش ها و افرادی را که با تیم های امنیتی، فناوری اطلاعات و واکنش به حوادث کار می کنند در این تمرین ها بگنجانند تا تعیین کنند که آیا احتمال دارد فلج شوند یا خیر. کرومبرگ می گوید: «ممکن است در مناطق دیگر نیز فلج وجود داشته باشد. برای مثال، ممکن است مجری نتواند تصمیم درستی در مورد انتخاب اطلاعات مالی مورد نیاز خود در زمان وقوع حادثه بگیرد.
به گفته توماس راندال، مشاور ارشد در Info-Tech Research و بخش بررسی نرم افزار آن: “مدیران فناوری اطلاعات باید در نظر بگیرند که چه کانال های ارتباطی را می توان در شرایط بحرانی ایجاد کرد تا به پیشبرد راه حل ها کمک کند.” “پاسخ های انسانی به بحران ها فقط شامل نمی شود.” رندل میگوید جنگ یا فرار، اما چاپلوسی (زمانی که مردم بیش از حد مفید هستند). این چاپلوسی می تواند باعث افزایش آرامش و ایجاد راه حل های خلاقانه شود. راندال توصیه میکند مطمئن شوید که همکارانتان خونسردی برای ارائه راهحل مناسب حتی در موقعیتهای پرفشار دارند.
ایجاد فرصت برای ارائه راه حل های خلاقانه
در شرایط بحرانی واقعی، مردم ممکن است زمان زیادی برای ایده نداشته باشند، اما همچنان لازم است کانال هایی برای ارائه و ارزیابی وضعیت وجود داشته باشد، زیرا این راه حل ها می توانند به غلبه بر موانع کمک کنند.
راه دیگر برای مقابله با کند کردن پیشرفت تیم واکنش به حوادث، استخدام کارمندانی است که تجربه برخورد با هکها و هکهای واقعی را دارند، یا با تیمهای واکنش خارجی خارجی که این کار را به طور منظم انجام میدهند، شریک شوید.
هارپر معتقد است که مدیران امنیتی نباید ارزش چنین تجربیاتی را دست کم بگیرند. او میگوید: «افراد با تجربه در موقعیتهای بحرانی ذهن آمادهتری دارند که به آنها کمک میکند خونسردی خود را حفظ کنند و دیگران را در موقعیتهای سخت راهنمایی کنند.
منبع: csoonline