درک مسیرهای حمله یک مسئله آموزشی است

سازمان‌های مدرن بیشتر و بیشتر بر روی ابزارهایی برای افزایش چابکی، پشتیبانی از تیم‌ها و سرمایه‌گذاری بر روی افزایش انعطاف‌پذیری که فناوری در اختیارشان قرار می‌دهد، سرمایه‌گذاری می‌کنند. با این حال، تعداد آنها کافی نیست سرمایه گذاری در امنیت و آموزش مورد نیاز اگر بخواهند بیشترین بهره را از این فناوری ها ببرند بدون اینکه دارایی های اطلاعاتی سازمانی خود یا شرکای زنجیره تامین خود را به خطر بیندازند – بالا و پایین دست.

همیشه برای من ناامید کننده بوده است که، هر زمان که در مورد خطرات ناشی از فناوری برای تجارت صحبت کرده ام، این فرض ایجاد شده است که من طبق تعریف با فناوری مخالف هستم – هیچ چیز نمی تواند دور از واقعیت باشد. با این حال، من معتقدم که هیچ راهی برای چشم پوشی از مسئولیت سازمان در مورد مسائل مربوط به تضمین امنیت یا حفاظت از داده ها در مورد فناوری وجود ندارد.

تجربه به من آموخته است که وقتی سازمان‌ها برای حل طیف وسیعی از مسائل به سمت فناوری حرکت می‌کنند، آن‌طور که باید، منابع کافی را برای محافظت از خود در برابر پیامدهای ناخواسته یا کاربران ضعیف این فناوری در بسیاری از موارد به کار نمی‌برند. حتی در مورد استفاده اولیه از آن به کاربران آموزش نمی دهد، چه رسد به استفاده ایمن و مطمئن از آن.

اکنون که فناوری‌های بیشتری را ساخته‌ایم تا بتوانیم راحت‌تر و ساده‌تر به هم متصل شویم، تهدیدهایی که در مورد آنها صحبت می‌کنم به سرعت با آن سازگار شده و از آن استفاده کرده‌اند. اغلب اوقات یک پاسخ واکنشی وجود دارد که پس از آن مورد نیاز است، با سازمان‌ها کاهش ریسک مهندسی معکوس پس از آشکار شدن خطرات، و اغلب پس از وقوع نقض داده‌ها.

اگر به آخرین داده های موجود از دفتر کمیسر اطلاعات (ICO)، می‌توانیم ببینیم که تقریباً سه چهارم نقض‌ها در سه ماهه سوم سال 2021 ناشی از حوادث غیرسایبری مانند ارسال ایمیل به شخص اشتباه بوده است. از میان 25 درصد یادآوری، پنج دلیل اصلی شامل فیشینگ (بدون تعجب)، باج افزار (باز هم یک شوک نیست) و پیکربندی نادرست نرم افزار یا سخت افزار است. این نشان دهنده راه اندازی عجولانه، سیاست های کلی و تغییرات در محیط های کاری و ابزار است. به طور خلاصه، فقدان مدیریت ریسک قوی.

ما می دانیم که نقض شخص ثالث در چند سال گذشته سرفصل اخبار را به خود اختصاص داده است. این نه تنها هیچ نشانه‌ای از تغییر را نشان نمی‌دهد، بلکه با ادامه کار در سبک‌های دوردست و ترکیبی، نتایج اجرای ضعیف فناوری و مدیریت ضعیف ریسک امنیتی به طور بالقوه سازمان‌های بیشتری را در معرض خطر یکدیگر قرار می‌دهد. و ما به خوبی می دانیم که این روزها با چه سرعتی پیوندهای بین شرکای زنجیره تامین مورد بهره برداری قرار می گیرند.

به عبارت دیگر، اکنون در مورد امنیت ضعیف به مراتب بیشتر از سازمان خود در خطر است. حدود 51٪ از سازمان ها به دلیل شخص ثالث در 12 ماه گذشته نقض شده اند و 75٪ از آن به دلیل دسترسی بیش از حد امتیاز آن اشخاص ثالث بوده است.

سازمان ها باید خیلی بیشتر به هم بپیوندند و مدیریت ریسک آنها باید به مراتب بهتر مطلع شود. ارزیابی های بسیار کمی از ریسک با جزئیات شروع می شود، ارزیابی تهدید آگاهانه، به این معنی که درمان خطر اغلب ناقص است.

با فرض اینکه یک ارزیابی ریسک موثر و آگاهانه برای هر حوزه تجاری که در آن پلتفرم یا فناوری جدیدی در نظر گرفته شده است، انجام شده است، پس روشی که هر تیم یا منطقه برای استفاده از این ابزار نیاز دارد، باید توسط کسب و کار تعریف شود و یک بار توافق شده و توسط امنیت تسهیل می شود.

“ارزیابی های بسیار کمی از خطر با یک ارزیابی دقیق و آگاهانه تهدید شروع می شود، به این معنی که درمان ریسک اغلب ناقص است.”