فرهنگ تاب آوری سایبری چیست و چرا اهمیت دارد؟
Building a Cyber Resilient Culture — How to Embed a Culture of Cyber Resilience in your Organization
فهرست عناوین
- ۱ فرهنگ تاب آوری سایبری چیست و چرا اهمیت دارد؟
- ۲ مفهوم فرهنگ تابآور سایبری
- ۳ چالش های ایجاد فرهنگ تاب آوری سایبری
- ۴ چگونه تاب آوری سایبری را در فرهنگ سازمانی خود بسازیم
- ۵ سه حوزه کلیدی در رویکرد مردم محور کاهش ریسک سایبری و فرهنگ تاب آوری
- ۵.۱ سیستمی را طراحی کنید که افراد شما در آن برای ارتقای امنیت فعالیت می کنند
- ۵.۲ با ساختن فضای مجازی چیزی که مردم در سطح فردی به آن اهمیت می دهند، با قلب ها و ذهن ها درگیر شوید
- ۵.۳ عادات درست را با آسان کردنِ شیوه های سایبری برای افراد جهت پیروی از آنها، تقویت کنید
- ۵.۴ Building a cyber resilient culture — how to embed a culture of cyber resilience in your organization
فرهنگ تاب آوری سایبری چیست و چرا اهمیت دارد؟
Building a Cyber Resilient Cultureامنیت سایبری و تاب آوری سایبری یکسان نیستند. البته آنها به هم مرتبط هستند، اما در جایی که امنیت سایبری به توانایی سازمان برای محافظت از خود و اطلاعاتش با بهکارگیریِ اصول اولیه امروز اشاره دارد، تاب آوری سایبری چشماندازی متمرکز بر آینده دارد.
آن دسته از سازمانهایی که بر تاب آوری سایبری تمرکز میکنند، فعالانه به دنبال پیشبینی این موضوع هستند که تهدیدها از کجا میآیند، تأثیر حملات را در زمان وقوع به حداقل میرسانند، و به سرعت یاد میگیرند که سازگار شوند، بنابراین از خود در برابر تهدیدات آینده محافظت میکنند. اما شاید مهمتر از همه، آنها نقش حیاتیِ افراد و ایجاد یک ذهنیت تاب آور سایبری را در سراسر سازمان تشخیص میدهند.
این موضوع تضمین میکند که تاب آوری نه تنها برای سیستمهای حیاتی کسبوکار، بلکه برای رهبران، تیمها و عملیات روزانه یکپارچه است. در اصل آنها تاب آوری سایبری را در فرهنگ سازمانی گنجانده اند.
مفهوم فرهنگ تابآور سایبری
مفهوم فرهنگ تابآوری سایبری به حالت بلوغ اشاره دارد که در آن همکاران در همه سطوح نقش شخصیِ خود را در حفظ امنیت سازمان درک میکنند و تلاشی آگاهانه برای رفتار فعالانه به روشهایی انجام میدهند که از سازمان در برابر حمله سایبری محافظت میکنند. این موضوع در مورد نگرش ها، دانش، مفروضات، هنجارها و ارزش های نیروی کار یک سازمان با توجه به امنیت سایبری است، و اینها تحت تأثیر شبکه پیچیده ای از عوامل هستند که ترکیب می شوند تا فرهنگ و رفتارهایی را که می خواهید ببینید، تشویق می کنند.
چالش های ایجاد فرهنگ تاب آوری سایبری
چالش هایی که ما اغلب در حمایت از مخاطبین خود برای ایجاد فرهنگ تاب آوری سایبری مشاهده می کنیم عبارتند از:
اولویتزدایی از فرهنگ برای چیزی ملموستر
تغییر فرهنگ دشوار است و میتواند دشوار و زمانبر باشد. بنابراین، برای رهبران میتواند بسیار وسوسهانگیز باشد که این کار را برای چیزی که به نظر میرسد بردهای بسیار سریعتری ارائه میدهد، از اولویت خارج کنند. این موضوع معمولاً معادل راهحلهای فنی یا بهبود فرآیند است، اما، حتی در این صورت، اگر انسانها را در سمت دریافتکننده در نظر نگیرید، بعید است که این «بهبودها» بهطور کامل جاسازی شوند.
این تصور که حملات خارجی بزرگترین تهدید هستند
تهدید داخلی برای انتقام گرفتن فقط شامل حال کارمند مخرب نمی شود. تحقیقات در مورد نقض جدی داده ها در سال ۲۰۲۱ نشان داد که حتی اگر خطای انسانی در ۸۴٪ علت اصلی بوده است، رهبران فناوری اطلاعات بزرگترین نگرانی خود را رفتارهای بدخواهانه عمدی گزارش کردند.
این فرضیه: حملات سایبری موفقیت آمیز شامل رویکردهای فنی پیچیده است
همانطور که قبلاً اشاره شد، بسیاری از مقالات و گزارش های تحقیقاتی نشان می دهند که در واقع خطا یا نظارت انسانی بالاترین عامل کمک کننده در فعال کردن حملات موفقیت آمیز و نقض داده ها است. همه اینها فقط بی گناهی و اشتباهات واقعی نیست – طبق گزارشی در سال ۲۰۲۰، ۵۸ درصد از سازمان های مورد بررسی گزارش دادند که کارکنان به طور فعال دستورالعمل های امنیت سایبری را نادیده می گیرند.
چگونه تاب آوری سایبری را در فرهنگ سازمانی خود بسازیم
فرهنگ سایبری قوی، فرهنگی است که در آن هم عوامل تعیینکننده عملکردی، مانند سیاست، حکومت، رهبری، و مشوقها، و هم عوامل عاطفی، مانند اعتماد، انصاف، سهولت و هنجارهای اجتماعی همسو باشند و در رفتارهای آگاهانه سایبری مثبت ظاهر شوند.
اهداف فرهنگ تاب آوری سایبری باید استراتژیک، کاملاً سازمانی و در راستای ریسک باشد. رویکرد PA Consulting به شکلدهی فرهنگ نشان میدهد که هنگام شروع یک سفر شکلدهی فرهنگ، «نگاه کردن به زیر سطح» و کشف واقعیت و تجربهای که افراد شما در آن فعالیت میکنند ضروری است.
درک فرهنگ، هدف و ارزشهای زیسته به شما کمک میکند تا این موضوع را که مردم چگونه در حال حاضر با خطرات سایبری درگیر میشوند را شناسایی کنید و همچنین، نقاط قوت فرهنگیِ موجود را که باید در تلاش برای افزایش اهمیت فرهنگ تاب آوری سایبری استفاده کرده و روی آن بسترسازی و ایجاد نمایید.
درجه ای که احتمالاً اهمیت تاب آوری سایبری اتخاذ می شود، تحت تأثیر نگرش های گسترده تر سازمانِ شما به نسبتِ به قوانین (به طور کلی) است.
دیگر جنبههای کلیدی این کار شامل: مشارکت رهبری در الگوسازی و تقویت رفتارهای سایبری کلیدی، و همچنین جمعآوری بازخورد مستمر برای «گوش دادن و برنامه ریزی» هنگام شروع تغییر است.
همچنین مهم است که با درک طرز فکر و رفتار، این واقعیت را بدانید که از کجا شروع می کنید، این موضوع به شما کمک می کند تا تعیین کنید که شکاف های مهم کجا هستند و یک نقشه راه برای تغییر ترسیم نمایید.
سه حوزه کلیدی در رویکرد مردم محور کاهش ریسک سایبری و فرهنگ تاب آوری
هنگام اتخاذ یک رویکرد مردم محور برای کاهش ریسک سایبری و تعبیه فرهنگ تاب آوری، توصیه می کنیم بر روی سه حوزه کلیدی تمرکز کنید که در بالا می توانید در مرکز مُدل ما ببینید:
سیستمی را طراحی کنید که افراد شما در آن برای ارتقای امنیت فعالیت می کنند
آیا سیاستها، ساختارهای سازمانی و حاکمیت شما به وضوح الزامات امنیت سایبری را ارتقا میدهند؟ آیا فرآیندهای شما به راحتی قابل پیگیری هستند یا مانع از موثر بودنِ همکاران در نقش اصلی خود می شوند؟ سیستم ها، فرآیندها و ساختارها برخی از اساسی ترین محرک های رفتارها در یک سازمان هستند. حصول اطمینان از طراحی هدفمند آنها برای ارائه پیامی ثابت، این نکته را تقویت میکند که تاب آوری سایبری چیزی است که به درستی به آن اهمیت میدهید و به انجام رفتارهای مورد نظر کمک میکند.
برای ترویج رفتارهای سایبری مثبت، به تیمهای خود بهعنوان افراد منفرد نگاه کنید – به دقت شناسایی کنید که به چه مهارتها و ابزارهایی برای عملکرد مؤثر نیاز دارند، و درک کنید که چرا و چگونه ممکن است اشتباه کنند. خطمشیها و فرآیندهای خود را مرور کنید و مُدل عملیاتی خود را مجدداً مشاهده کنید تا مطمئن شوید که نقشها و مسئولیتها مشخص هستند. رفتارهای مورد انتظار را برای هر نقش تعیین کنید و انجام تعهدات امنیتی خود را تا حد امکان برای تیم ها آسان کنید.
با ساختن فضای مجازی چیزی که مردم در سطح فردی به آن اهمیت می دهند، با قلب ها و ذهن ها درگیر شوید
آیا در مورد تاب آوری سایبری به عنوان یک مؤلفه اصلی مدیریت ریسک کسب و کار و ایجاد تاب آوری سازمانی گسترده تر صحبت می کنید؟ آیا ذهنیت تاب آوری سایبری مثبت در سطح هیئت مدیره اتخاذ شده و از آن حمایت می شود؟ آیا رهبران و مدیران نگرش ها و رفتارهای درست را در مورد اقدامات مثبت سایبری الگو می کنند؟
حملات سایبری یک واقعیت است، نه یک تهدید، و سازمانهایی که تاب آوری سایبری قوی دارند این را میپذیرند. بنابراین بسیار مهم است که مردم درک کنند و احساس راحتی کنند که در مورد امنیت سایبری و نحوه ارتباطش با آنها چه در داخل و چه در خارج از محل کار صحبت کنند. کمک به همکاران برای درک اینکه دانش و مهارت های خوبِ امنیت سایبری خود و خانواده هایشان را در خانه ایمن نگه می دارد و همچنین محافظت از سازمان می تواند بسیار قدرتمند باشد. روشن کنید که چرا امنیت دیجیتال برای سازمان شما یک نگرانی است و تأثیر بالقوه حملات سایبری را با استفاده از مثال های واقعی یا مواردی که سازمان شما تجربه کرده است توضیح دهید.
رهبران باید آماده باشند که در مورد امنیت سایبری فروتن باشند. از اعتراف به این که خود شما ممکن است با یک ایمیل کلاهبرداری یا فیشینگ اشتباه کرده باشید یا اینکه همیشه پاسخ های درستی ندارید نترسید. اطمینان حاصل کنید که بهترین عملکرد در همه سطوح، برای ترویج رفتارهایی که می خواهید ببینید، شناخته شده و مورد تجلیل قرار گرفته است.
عادات درست را با آسان کردنِ شیوه های سایبری برای افراد جهت پیروی از آنها، تقویت کنید
آیا پیروی از فرآیندهای امنیت سایبری شما مانع از انجام کارها توسط افراد می شود؟ آیا افراد سازمان شما احساس می کنند که می توانند در حین کار، هم مولد و هم ایمن باشند؟ آیا انجام رفتارهایی که شما سعی در ترویج آن دارید برای آنها آسان است و آیا در فواصل زمانی به موقع برای تشویق این رفتارها اخطار و یادآوری دریافت می کنند؟
همه ما می دانیم که باید به طور منظم ورزش کنیم و میوه و سبزیجات روزانه خود را مصرف نماییم، اما آیا این بدان معناست که همه ما این کار را انجام می دهیم؟ نه، البته که اینطور نیست، زیرا داشتن دانش تنها محرک رفتار انسان نیست.
تلنگرها، مداخلاتی در یک زمینه مشخص هستند که برای هدایت افراد به سمتِ یک رفتارِ دلخواه طراحی شده اند. در اصل، از افرادی که قبلاً قصد مثبتی برای انجام «کار درست» دارند و انتخابهای مثبت برای خود و سازمان دارند، حمایت میکند. با ارائه معماری گزینشی که از افراد برای استفاده از آموزش و پیروی از خط مشیءها پشتیبانی میکند، راههای سنتیتر برای دستیابی به انطباق، مانند آموزش، خط مشیء یا قانونگذاری را تحسین میکند.
معرفی «تحرکهای سایبری» میتواند به کارمندان کمک کند تا با تلاش برای ارائه سریع در محیط های کاری، بر عادتهای بدی که برگزیدهاند غلبه کنند.
اشتباه کردن طبیعت انسان است، اما با ایجاد فرهنگ تاب آوری سایبری، سازمان ها می توانند رویکرد قوی تری برای مدیریت ریسک های سایبری داشته باشند. سرمایه گذاری بر روی افراد و همچنین عملیات تجاری و فناوری، توانایی سازمان را برای پیش بینی، مقاومت، بازیابی و سازگاری در برابر حملات سایبریِ اجتناب ناپذیر بهبود می بخشد و در مجموع، تاب آوری سایبری سازمانی را ایجاد خواهد کرد.
Building a cyber resilient culture — how to embed a culture of cyber resilience in your organization
The UK government considers cyber to be a tier-one national security priority alongside international terrorism. As the cyber risk profile continues to evolve, organizations must increasingly question how well prepared they are to counter this threat. Mature technical controls are, of course, critical to digital protection but this is just one piece of the cyber resilience puzzle Some reports indicate that in 2021 as many as 82% of data breaches involved a human element such as lost credentials, phishing, misuse, or error. As technology gets more sophisticated and businesses are better able to technically protect themselves, cyber criminals are increasingly likely to target the vulnerabilities of our people in order to gain access. Employees, mostly without malicious intent, are likely to expose the organization to threats at some point, whether by accidentally forgetting to do something or by intentionally ignoring policy and process. It is, therefore, imperative that people understand the critical role their behaviours play in contributing to the security of their organization (and indeed their personal lives). To truly protect your organization from cyber-related risk, it is critical to build a culture of cyber resilience