اشتباه ۱: باید به امنیت ۱۰۰٪ دست بیابیم
امنیت ۱۰۰٪ نه قابل دسترسی است و نه هدف مناسبی است. یک رویکرد دفاعی مناسب باید بر درک تهدیدهای متناسب با آسیبپذیریهای سازمانی، ایجاد سازوکارهای لازم جهت شناسایی رخنههای قریبالوقوع یا واقع شده و ایجاد تواناییهای لازم جهت مواجههی سریع با رخدادها و به حداقل رساندن خسارات، بنا شده باشد.
اشتباه ۲: اگر بهترین ابزار فنی را داشته باشیم، ایمن خواهیم بود
امنیت سایبری مؤثر کمتر از آنچه شما فکر میکنید به فناوری وابسته است. دنیای امنیت سایبری از تامینکنندگانی اشباع شده است که محصولات فنی را به فروش میرسانند. این ابزارها برای امنیت پایه ضروری هستند و باید در معماری فناوری لحاظ شوند، اما تشکیل دهندهی یک راهبرد و سیاست امنیت سایبریِ پایدار و فراگیر نیستند. امنیت مناسب از ایجاد تواناییهای دفاع سایبریِ پایدار شروع میشود.
اشتباه ۳: تجهیزات ما باید بهتر از تجهیزات نفوذگرها باشد
سیاست امنیتی باید بر اساس اهداف شما تعیین شود، نه اهداف مهاجمان. به دست آوردن اطلاعات در مورد مقاصد نفوذگران و روشهای آنها و به روز نگاه داشتن این اطلاعات، اهمیت دارد. همچنین معقول است که رویکردی فعال و منعطف داشته باشید. مدیران باید از آخرین شیوهها مطلع باشند اما این مسأله نباید آنها را از حفاظت از مهمترین تجهیزاتشان بازدارد. سرمایهگذاری و تخصیص منابع را باید بر اساس یک دیدگاه تجاری انجام داد.
اشتباه ۴: تطابق با امنیت سایبری، تنها یعنی نظارت مؤثر
توانایی یادگیری به اندازهی توانایی نظارت اهمیت دارد. تنها سازمانی موفق خواهد بود که توانایی درک پیشرفتهای خارجی و رخدادها را داشته باشد و بتواند از این آگاهیها برای ایجاد سیاستها و راهبردها استفاده کند. در نظر گرفتن تطابق با تهدیدهای فعلی به عنوان هدف نهایی سیاستهای امنیت سایبری، سازنده نخواهد بود. راهبردها و سیاستهای مؤثر امنیت سایبری باید بر اساس یادگیری و بهبود مداوم بنا شوند.
اشتباه ۵: باید بهترین متخصصان را برای محافظت از خود در برابر جرایم سایبری استخدام کنیم
امنیت سایبری نباید نام یک بخش در سازمان شما، بلکه باید طرز رفتار تک تک کارکنانتان باشد. اغلب به امنیت سایبری به عنوان وظیفهی متخصصان یک بخش از سازمان نگریسته میشود. این طرز فکر منجر به احساس امنیت کاذب شده و باعث میشود باقی کارکنان سازمان وظیفهی خود را جدی نگیرند. چالش واقعیِ پیش رو، آوردن مسئلهی امنیت سایبری به متن سازمان است.
و در نهایت هنگام دست به کار شدن
سازمان شما باید قادر باشد به این سؤالات پاسخ دهد:
خطری که سازمان ما و سازمانهایی را که ما با آنها کار میکنیم مورد تهدید قرار میدهد در چه اندازهای است؟
فناوری به تنهایی پاسخگو نیست: کلید موفقیت در ترکیب ادارهی صحیح، فرهنگ و رفتار نهفته است. چگونه میتوان چنین تغییری ایجاد کرد؟
به عنوان یک سازمان، بودجهی امنیت سایبری ما باید چه میزان بوده و چگونه خرج شود؟
منبع: Hijack.blog.ir
