فرهنگ تاب آوری سایبری چیست و چرا اهمیت دارد؟
Building a Cyber Resilient Culture
امنیت سایبری و تاب آوری سایبری یکسان نیستند. البته آنها به هم مرتبط هستند، اما در جایی که امنیت سایبری به توانایی سازمان برای محافظت از خود و اطلاعاتش با به کارگیری اصول اولیه امروز اشاره دارد، تاب آوری سایبری چشم اندازی متمرکز بر آینده دارد.
آن دسته از سازمان هایی که بر تاب آوری سایبری تمرکز می کنند، فعالانه به دنبال پیش بینی این موضوع هستند که تهدیدها از کجا می آیند، تاثیر حملات را در زمان وقوع به حداقل می رسانند، و به سرعت یاد می گیرند که سازگار شوند، بنابراین از خود در برابر تهدیدات آینده محافظت می کنند. اما شاید مهم تر از همه، آنها نقش حیاتی افراد و ایجاد یک ذهنیت تاب آور سایبری را در سراسر سازمان تشخیص می دهند.
این موضوع تضمین می کند که تاب آوری نه تنها برای سیستم های حیاتی کسب وکار، بلکه برای رهبران، تیم ها و عملیات روزانه یکپارچه است. در اصل آنها تاب آوری سایبری را در فرهنگ سازمانی گنجانده اند.
مفهوم فرهنگ تاب آور سایبری
مفهوم فرهنگ تاب آوری سایبری به حالت بلوغ اشاره دارد که در آن همکاران در همه سطوح نقش شخصی خود را در حفظ امنیت سازمان درک می کنند و تلاشی آگاهانه برای رفتار فعالانه به روش هایی انجام می دهند که از سازمان در برابر حمله سایبری محافظت می کنند. این موضوع در مورد نگرش ها، دانش، مفروضات، هنجارها و ارزش های نیروی کار یک سازمان با توجه به امنیت سایبری است، و اینها تحت تاثیر شبکه پیچیده ای از عوامل هستند که ترکیب می شوند تا فرهنگ و رفتارهایی را که می خواهید ببینید، تشویق می کنند.
چالش های ایجاد فرهنگ تاب آوری سایبری
چالش هایی که ما اغلب در حمایت از مخاطبین خود برای ایجاد فرهنگ تاب آوری سایبری مشاهده می کنیم عبارتند از:
اولویت زدایی از فرهنگ برای چیزی ملموس تر
تغییر فرهنگ دشوار است و می تواند دشوار و زمان بر باشد. بنابراین، برای رهبران می تواند بسیار وسوسه انگیز باشد که این کار را برای چیزی که به نظر می رسد بردهای بسیار سریع تری ارائه می دهد، از اولویت خارج کنند. این موضوع معمولا معادل راه حل های فنی یا بهبود فرآیند است، اما، حتی در این صورت، اگر انسان ها را در سمت دریافت کننده در نظر نگیرید، بعید است که این «بهبودها» به طور کامل جاسازی شوند.
این تصور که حملات خارجی بزرگترین تهدید هستند
تهدید داخلی برای انتقام گرفتن فقط شامل حال کارمند مخرب نمی شود. تحقیقات در مورد نقض جدی داده ها در سال ۲۰۲۱ نشان داد که حتی اگر خطای انسانی در ۸۴٪ علت اصلی بوده است، رهبران فناوری اطلاعات بزرگترین نگرانی خود را رفتارهای بدخواهانه عمدی گزارش کردند.
این فرضیه: حملات سایبری موفقیت آمیز شامل رویکردهای فنی پیچیده است
همانطور که قبلا اشاره شد، بسیاری از مقالات و گزارش های تحقیقاتی نشان می دهند که در واقع خطا یا نظارت انسانی بالاترین عامل کمک کننده در فعال کردن حملات موفقیت آمیز و نقض داده ها است. همه اینها فقط بی گناهی و اشتباهات واقعی نیست – طبق گزارشی در سال ۲۰۲۰، ۵۸ درصد از سازمان های مورد بررسی گزارش دادند که کارکنان به طور فعال دستورالعمل های امنیت سایبری را نادیده می گیرند.
چگونه تاب آوری سایبری را در فرهنگ سازمانی خود بسازیم
فرهنگ سایبری قوی، فرهنگی است که در آن هم عوامل تعیین کننده عملکردی، مانند سیاست، حکومت، رهبری، و مشوق ها، و هم عوامل عاطفی، مانند اعتماد، انصاف، سهولت و هنجارهای اجتماعی همسو باشند و در رفتارهای آگاهانه سایبری مثبت ظاهر شوند.
اهداف فرهنگ تاب آوری سایبری باید استراتژیک، کاملا سازمانی و در راستای ریسک باشد. رویکرد PA Consulting به شکل دهی فرهنگ نشان می دهد که هنگام شروع یک سفر شکل دهی فرهنگ، «نگاه کردن به زیر سطح» و کشف واقعیت و تجربه ای که افراد شما در آن فعالیت می کنند ضروری است.
درک فرهنگ، هدف و ارزش های زیسته به شما کمک می کند تا این موضوع را که مردم چگونه در حال حاضر با خطرات سایبری درگیر می شوند را شناسایی کنید و همچنین، نقاط قوت فرهنگی موجود را که باید در تلاش برای افزایش اهمیت فرهنگ تاب آوری سایبری استفاده کرده و روی آن بسترسازی و ایجاد نمایید.
درجه ای که احتمالا اهمیت تاب آوری سایبری اتخاذ می شود، تحت تاثیر نگرش های گسترده تر سازمان شما به نسبت به قوانین (به طور کلی) است.
دیگر جنبه های کلیدی این کار شامل: مشارکت رهبری در الگوسازی و تقویت رفتارهای سایبری کلیدی، و همچنین جمع آوری بازخورد مستمر برای «گوش دادن و برنامه ریزی» هنگام شروع تغییر است.
همچنین مهم است که با درک طرز فکر و رفتار، این واقعیت را بدانید که از کجا شروع می کنید، این موضوع به شما کمک می کند تا تعیین کنید که شکاف های مهم کجا هستند و یک نقشه راه برای تغییر ترسیم نمایید.
سه حوزه کلیدی در رویکرد مردم محور کاهش ریسک سایبری و فرهنگ تاب آوری
هنگام اتخاذ یک رویکرد مردم محور برای کاهش ریسک سایبری و تعبیه فرهنگ تاب آوری، توصیه می کنیم بر روی سه حوزه کلیدی تمرکز کنید که در بالا می توانید در مرکز مدل ما ببینید:
سیستمی را طراحی کنید که افراد شما در آن برای ارتقای امنیت فعالیت می کنند
آیا سیاست ها، ساختارهای سازمانی و حاکمیت شما به وضوح الزامات امنیت سایبری را ارتقا می دهند؟ آیا فرآیندهای شما به راحتی قابل پیگیری هستند یا مانع از موثر بودن همکاران در نقش اصلی خود می شوند؟ سیستم ها، فرآیندها و ساختارها برخی از اساسی ترین محرک های رفتارها در یک سازمان هستند. حصول اطمینان از طراحی هدفمند آنها برای ارائه پیامی ثابت، این نکته را تقویت می کند که تاب آوری سایبری چیزی است که به درستی به آن اهمیت می دهید و به انجام رفتارهای مورد نظر کمک می کند.
برای ترویج رفتارهای سایبری مثبت، به تیم های خود به عنوان افراد منفرد نگاه کنید – به دقت شناسایی کنید که به چه مهارت ها و ابزارهایی برای عملکرد موثر نیاز دارند، و درک کنید که چرا و چگونه ممکن است اشتباه کنند. خط مشی ها و فرآیندهای خود را مرور کنید و مدل عملیاتی خود را مجددا مشاهده کنید تا مطمئن شوید که نقش ها و مسئولیت ها مشخص هستند. رفتارهای مورد انتظار را برای هر نقش تعیین کنید و انجام تعهدات امنیتی خود را تا حد امکان برای تیم ها آسان کنید.
با ساختن فضای مجازی چیزی که مردم در سطح فردی به آن اهمیت می دهند، با قلب ها و ذهن ها درگیر شوید
آیا در مورد تاب آوری سایبری به عنوان یک مولفه اصلی مدیریت ریسک کسب و کار و ایجاد تاب آوری سازمانی گسترده تر صحبت می کنید؟ آیا ذهنیت تاب آوری سایبری مثبت در سطح هیئت مدیره اتخاذ شده و از آن حمایت می شود؟ آیا رهبران و مدیران نگرش ها و رفتارهای درست را در مورد اقدامات مثبت سایبری الگو می کنند؟
حملات سایبری یک واقعیت است، نه یک تهدید، و سازمان هایی که تاب آوری سایبری قوی دارند این را می پذیرند. بنابراین بسیار مهم است که مردم درک کنند و احساس راحتی کنند که در مورد امنیت سایبری و نحوه ارتباطش با آنها چه در داخل و چه در خارج از محل کار صحبت کنند. کمک به همکاران برای درک اینکه دانش و مهارت های خوب امنیت سایبری خود و خانواده هایشان را در خانه ایمن نگه می دارد و همچنین محافظت از سازمان می تواند بسیار قدرتمند باشد. روشن کنید که چرا امنیت دیجیتال برای سازمان شما یک نگرانی است و تاثیر بالقوه حملات سایبری را با استفاده از مثال های واقعی یا مواردی که سازمان شما تجربه کرده است توضیح دهید.
رهبران باید آماده باشند که در مورد امنیت سایبری فروتن باشند. از اعتراف به این که خود شما ممکن است با یک ایمیل کلاهبرداری یا فیشینگ اشتباه کرده باشید یا اینکه همیشه پاسخ های درستی ندارید نترسید. اطمینان حاصل کنید که بهترین عملکرد در همه سطوح، برای ترویج رفتارهایی که می خواهید ببینید، شناخته شده و مورد تجلیل قرار گرفته است.
عادات درست را با آسان کردن شیوه های سایبری برای افراد جهت پیروی از آنها، تقویت کنید
آیا پیروی از فرآیندهای امنیت سایبری شما مانع از انجام کارها توسط افراد می شود؟ آیا افراد سازمان شما احساس می کنند که می توانند در حین کار، هم مولد و هم ایمن باشند؟ آیا انجام رفتارهایی که شما سعی در ترویج آن دارید برای آنها آسان است و آیا در فواصل زمانی به موقع برای تشویق این رفتارها اخطار و یادآوری دریافت می کنند؟
همه ما می دانیم که باید به طور منظم ورزش کنیم و میوه و سبزیجات روزانه خود را مصرف نماییم، اما آیا این بدان معناست که همه ما این کار را انجام می دهیم؟ نه، البته که اینطور نیست، زیرا داشتن دانش تنها محرک رفتار انسان نیست.
تلنگرها، مداخلاتی در یک زمینه مشخص هستند که برای هدایت افراد به سمت یک رفتار دلخواه طراحی شده اند. در اصل، از افرادی که قبلا قصد مثبتی برای انجام «کار درست» دارند و انتخاب های مثبت برای خود و سازمان دارند، حمایت می کند. با ارائه معماری گزینشی که از افراد برای استفاده از آموزش و پیروی از خط مشی ءها پشتیبانی می کند، راه های سنتی تر برای دستیابی به انطباق، مانند آموزش، خط مشیء یا قانون گذاری را تحسین می کند.
معرفی «تحرک های سایبری» می تواند به کارمندان کمک کند تا با تلاش برای ارائه سریع در محیط های کاری، بر عادت های بدی که برگزیده اند غلبه کنند.
اشتباه کردن طبیعت انسان است، اما با ایجاد فرهنگ تاب آوری سایبری، سازمان ها می توانند رویکرد قوی تری برای مدیریت ریسک های سایبری داشته باشند. سرمایه گذاری بر روی افراد و همچنین عملیات تجاری و فناوری، توانایی سازمان را برای پیش بینی، مقاومت، بازیابی و سازگاری در برابر حملات سایبری اجتناب ناپذیر بهبود می بخشد و در مجموع، تاب آوری سایبری سازمانی را ایجاد خواهد کرد.