خدمات شبکه و پشتیبانی شبکه

انگلیس نگرانی ها درباره هواوی را رد می کند

دی ۲۳, ۱۳۹۸/در england, Huawei, informaition security, تجارت الکترونیک, فناوری اطلاعات /توسط ادمین

مدیر سازمان اطلاعات داخلی انگلیس معتقد است همکاری با شرکت هواوی چینی به رابطه اشتراک گذاری اطلاعات میان انگلیس و آمریکا خسارتی نمی زند.

به نقل از پرس اسوسیشن، مدیر MI ۵ (سازمان اطلاعات داخلی انگلیس) اعلام کرده در صورت همکاری با شرکت چینی هواوی، دلیلی برای اختلال در رابطه اشتراک گذاری اطلاعات بین انگلیس و آمریکا به وجود ندارد.

این درحالی است که دولت آمریکا، انگلیس را تحت فشار قرار داده تادر ساخت زیربنای ۵G با هواوی همکاری نکند. آمریکا ادعا می‌کند این شرکت چینی از کشورها جاسوسی می‌کند.

با این وجود سر اندروپارکر مدیر کل MI ۵ در مصاحبه‌ای با فایننشال تایمز اطمینان داد در صورت همکاری با هواوی، در فرایند جمع آوری اطلاعات در انگلیس اختلالی وارد نمی‌شود.

او در خصوص از بین رفتن رابطه اشتراک گذاری اطلاعات با آمریکا نیز گفت: به نظرم دلیلی ندارد این رابطه از بین برود.

اظهارات پارکر در حالی بیان می‌شود که یک نماینده از سازمان امنیت ملی آمریکا و هیأت اقتصاد ملی این کشور قرار است مقامات انگلیس را متقاعد به عدم همکاری با هواوی کند.

از سوی دیگر پیش از این نیز اخباری منتشر شده بود که بوریس جانسون تصمیم دارد از برخی تجهیزات هواوی در اینترنت ۵G این کشور استفاده کند.

افزونه مرورگر اطلاعات مشتریان آمازون را جمع آوری کرد

دی ۲۲, ۱۳۹۸/در Amazon, Hackers, informaition security, امنیت, تجارت الکترونیک, فناوری اطلاعات /توسط ادمین

شرکت آمازون اعلام کرده یک افزونه مرورگر که در فرایند خرید آنلاین به مشتریان کمک می کند، اطلاعات شخصی آنان از جمله نام و آدرس پستی را جمع آوری کرده است.

به نقل ازدیلی میل، به نظر می رسد افزونه مرورگری به نام Honey اطلاعات کاربران را فاش می کند. شرکت آمازون از کاربرانش خواسته تا این افزونه را حذف کنند. افزونه مذکور در فرایند خرید به مشتری کمک می کند و رایگان است.

هنگامیکه مشتری مشغول خرید آنلاین است، این افزونه به طور اتوماتیک کدهای کوپن تخفیف را می یابد و ثبت می کند. اما اکنون آمازون اعلام کرده افزونه مذکور یک ریسک امنیتی است.

این شرکت اعلام کرده هنگامیکه در فصل تعطیلات مشتریان مشغول بررسی و خرید از وب سایت آمازون بوده اند، سرویسHoney اطلاعات کاربران را جمع آوری کرده است.

اتهامات در حالی اعلام می شود که یک هفته قبل شرکت پرداخت آنلاین «پی پال» این سرویس را به قیمت ۴ میلیارد دلار خرید. برخی از کارشناسان معتقدند دلیل این ادعای آمازون نگرانی درباره رقابت در بازار است.

با این وجود سخنگوی آمازون در ایمیلی به دیلی میل نوشت: آمازون حفظ حریم شخصی مشتریان را به طور جدی دنبال می کند. هدف ما هشدار به مشتریان درباره افزونه هایی در مرورگرها است که اطلاعات شخصی افراد مانند نام، آدرس پستی، اطلاعات خرید و روش پرداخت را بدون اجازه جمع آوری می کنند.

البته Honey هنوز نسبت به این اتهامات هیچ گونه اظهار نظری نکرده است. این سرویس در حقیقت به مشتریان کمک می کند هنگام خرید قیمت اجناس را مقایسه و از کوپن های تخفیف استفاده کنند.

اخراج کارمندان آمازون به دلیل افشای اطلاعات

دی ۲۱, ۱۳۹۸/در Amazon, cyberseurity, informaition security, تجارت الکترونیک, فناوری اطلاعات /توسط ادمین

آمازون تعدادی از کارمندانش را به دلیل فاش کردن اطلاعات مشتریان برای شرکت های پیمانکار اخراج کرده است.

به نقل از گیزمودو، شرکت آمازون در هفته گذشته چند نفر از کارمندان خود را به جرم فاش کردن اطلاعات مشتریان به شرکت های پیمانکار (طرف سوم) اخراج کرد. این در حالی است که کمتر از ۶ ماه قبل نیز آمازون به همین دلیل تعدادی از کارمندانش را اخراج کرد.

سخنگوی این شرکت اخبار در این باره را تایید کرده است. از سوی دیگر نشریات خبری مختلف نیز گزارش کرده اند برخی مشتریان آمازون پیام هشداری از شرکت دریافت کرده اند. در این پیام به کاربران هشدار داده شده بود آدرس ایمیل و شماره تماس آنها برخلاف سیاست های آمازون به یک شرکت طرف سوم فاش شده است. در ادامه ایمیل هشدار، آمازون به مشتریانش اطلاع داده کارمند مسئول این امر را شناسایی و اخراج کرده است. بااین وجود بیانیه ای که این شرکت بعدا منتشر کرد، نشان می دهد چند کارمند این شرکت در فرایند افشای اطلاعات مشتریان نقش داشته اند.

آمازون در پاسخ به گیزمودو در بیانیه ای نوشته است:افراد مسئول این امر شناسایی و اخراج شده اند. ما از نیروهای مجری قانون در فرایند پیگرد قانونی افراد خاطی پشتیبانی می کنیم.

اما مانند گذشته، هنوز به طور دقیق شمار کارمندان متخلف یا مشتریانی که اطلاعاتشان فاش شده، هنوز اعلام نشده است.

این تنها مورد افشای اطلاعات کاربران آمازون توسط کارمندان این شرکت نیست. در یک مورد روزنامه وال استریت ژورنال افشا کرد شواهدی در اختیار دارد که نشان می دهد چند کارمند آمازون اطلاعات مشتریان را در قبال رشوه در اختیار فروشندگان قرار می دهند.

آیا ایران انتقام شهادت سردار سلیمانی را از طریق جنگ سایبری هم می‌گیرد؟

دی ۲۰, ۱۳۹۸/در informaition security, qasem soleimani, امنیت, اینترنت و شبکه, فناوری اطلاعات /توسط ادمین

بلومبرگ طی گزارشی نوشت: جنگ دیجیتالی، ممکن است یکی از گزینه های ایران برای انتقام از آمریکا به دلیل شهادت سردار سلیمانی باشد.

به نقل از بلومبرگ، در حالی که ایران وعده داده که انتقام حمله هوایی آمریکا به سردار سلیمانی را خواهد گرفت، به گفته ناظران، جنگ دیجیتالی ممکن است یکی از گزینه های حمله مستقیم ایران به منافع آمریکا باشد.

جیمی لوئیز، معاون مرکز مطالعات استراتژیک و بین المللی در واشنگتن که در زمینه امنیت سایبری فعالیت می کند گفت: «من اطمینان دارم که هکرهای ایرانی فهرستی از عملیات های سایبری را (علیه منافع آمریکا) آماده کرده اند. اگر آنها بتوانند اهداف درست امریکایی را شناسایی کنند، حملات سایبری می تواند وسوسه انگیز باشد.»

میلان پاتل، افسر ارشد فن آوری بخش سایبری اف بی آی نیز می گوید نگران است که در گام بعدی چه رخ خواهد داد، زیرا ایران در گذشته نشان داده که به هدف قراردادن زیرساخت های حیاتی علاقمند است. «حمله به نیروگاه های برق می تواند موجب بیشترین خسارت در دنیای واقعی شود.»

حملات سایبری همچنین می تواند برای ایجاد تاثیرات مختل کننده شود که بر زندگی میلیون ها آمریکایی تاثیر بگذارد. در دنیای متکی به رایانه، هکرها می توانند به راحتی موجب بسته شدن بنادر، ایجاد اختلال در شبکه های حمل و نقل و باز شدن سدها شوند.

بر اساس این گزارش ایران قبلا نشان داده که تمایل به استفاده از این نوع حملات دیجیتالی برای هدف قرار دادن برخی از بزرگترین بانک های جهان، بزرگترین تولید کننده نفت جهان و امپراطوری کازینویی سندز دارد.

شواهد حاکی از اقدامات تلافی جویانه سایبری ایران روز 4 ژانویه و زمانی آشکار شد که سایت اینترنتی برنامه کتابخانه فدرال آمریکا توسط هکرهای ایرانی هک شد و پیام هایی ضد آمریکایی بر روی آن قرار گرفت. این سایت از آن روز از دسترس خارج شده است.

در سال 2013 میلادی، هکرهای ایرانی به سیستم کنترل یک سد کوچک در نیویورک نفوذ کرده بودند، هرچند نتوانستند کنترل دروازه ورودی را که میزان آزادسازی آب را تنظیم می کند در اختیار بگیرند. مشخص نیست که هکرهای ایرانی قصد داشتند آب سد را آزاد کنند یا خیر.

به گفته نورمن رول، مامور سابق سازمان اطلاعات مرکزی آمریکا (سیا) قطعا حملات سایبری در ماه های آینده افزایش خواهد یافت. استراتژی سایبری ایران به دنبال تحقق 3 هدف خواهد بود: تنبیه آمریکا، بازدارندگی جهت جلوگیری از حملات آینده آمریکا و تقویت وجهه ایران.

لوئیز افزود، اگر ایرانیان تصمیم به تلافی از طریق حمله سایبری بگیرند، احتمالا هدفی چشمگیری و پرسر و صدا را انتخاب خواهند کرد. «سوال اصلی اینجاست: آیا آنها یک هدف نمادین بانک ها را انتخاب می کنند؟ یا تلاش خواهند کرد هدفی نمادین و در عین حال مختل کننده را بر گزینند.» باید منتظر ماند و دید.

با CES2020/ شیوه های اپل و فیس بوک برای حفظ حریم شخصی غیرقابل دفاع است

دی ۱۸, ۱۳۹۸/در apple, Facebook, informaition security, امنیت, تجارت الکترونیک, فناوری اطلاعات /توسط ادمین

یکی از اعضای کمیسیون فدرال تجارت آمریکا در پنلی در CES۲۰۲۰ به مدیران ارشد اپل و فیس بوک گفتند شیوه های فعلی برای حفظ حریم شخصی افراد غیر قابل دفاع و ناکافی است.

به نقل از پرس اسوسیشنز، در یک مناظره که در نمایشگاه CES۲۰۲۰برگزار شده بود، یکی از اعضای کمیسیون فدرال تجارت آمریکا(FTC) خطاب به اپل و فیس بوک گفت شیوه های فعلی برای حفظ حریم شخصی افراد غیرقابل دفاع و ناکافی هستند.

اعضای کمیسیون FTC در پنلی که با حضور مدیران ارشد از هر دو شرکت برگزاری شده بود، از صنعت فناوری خواستند تا مسئولیت بیشتری درباره این مشکل بپذیرد.

ربکا اسلاتر یکی از اعضای کمیسیونFTC اعلام کرد تعداد موارد افشای اطلاعات امنیتی در سال های گذشته به شدت افزایش یافته و نشان می دهد باید اقدامات بیشتری برای حفاظت از اطلاعات کاربران انجام داد.

او در این باره گفت: این واقعیت که هر روز در روزنامه ها اخبار مختلفی درباره نشت اطلاعات منتشر شده می شود، بدان معنا است که اقدامات کافی برای حفظ امنیت اطلاعات انجام نشده است.

همچنین پس از سال های متمادی، برای نخستین بار یکی از مدیران اپل در نمایشگاهCES شرکت کرد. جین هوروات مدیر ارشد امنیت جهانی اپل همراه همتای خود از فیس بوک(ارین ایگان) در این پنل حضور داشند.

ایگان در پاسخ به اسلاتر عنوان کرد ارائه ابزارهای کنترل امنیت سایبری برای کاربران، نمونه ای از اقدامات شرکت برای محافظت از مشتریان خود است.

با این وجود اسلاتر معتقد بود اینکه از مشتریان خواسته شود تا بر نحوه جمع آوری اطلاعات خود نظارت کنند، کاری غیر عادلانه است. او در این باره گفت: تصور می کنم حتی اگر کاربران بتوانند از کنترل های تعیین شده برای حفظ حریم شخصی گذر کنند، مقدار اطلاعاتی که آنها باید پردازش کنند، برای بیشتر افراد قابل توجیه نیست.

هوارت نیز در دفاع از اقدامات شرکت خود گفت: در اپل ما کاربران را مانند رانندگان خودروها تصور می کنیم. آنها باید روی اطلاعات خود دسترسی داشته باشند و بتوانند اطلاعات راگزینش کنند. این یکی از حوزه های تمرکز ما در اپل است. از سوی دیگر مدیر ارشد اجرایی ما (تیم کوک) به شدت به حفظ حریم اطلاعاتی افراد معتقد است.

در ادامه این پنل اسلاتر اظهار امیدواری کرد تا قانون حفظ حریم شخصی تا ۲۰۲۱ در آمریکا ارائه شود.

مشکل امنیتی خطرناک نرم افزار مدیریت مدارس آمریکا

دی ۱۵, ۱۳۹۸/در America, informaition security, madares, امنیت, فناوری اطلاعات /توسط ادمین

یک شرکت تجاری که نرم افزاری فراگیر برای مدیریت مدارس آمریکا تولید کرده، می گوید این نرم افزار تحت وب دارای یک مشکل امنیتی جدی است.

به نقل از زددی نت، شرکت اکتیو نتورک که نرم‌افزار تولیدی آن برای مدیریت دبستان‌های زیادی در آمریکا مورد استفاده قرار می‌گیرد، از ضعف امنیتی مهمی در نرم افزار خود خبر داده است.

این شرکت آمریکایی تایید کرده که هکرها موفق به دسترسی به پلاتفورم نرم افزار بلو بیر شده‌اند. این نرم افزار برای تسهیل مدیریت مدارس به کار می رود و برای بررسی شهریه‌ها، ارائه خدمات حسابداری، فروش آنلاین اقلام و غیره به کار می رود.

والدینی که به نسخه تحت وب این نرم افزار دسترسی دارند از آن برای خرید کتب درسی و برخی اقلام دیگر استفاده می‌کنند. بر اساس اعلام شرکت اکتیو نتورکس افرادی که از اول اکتبر سال 2019 تا 13 نوامبر سال 2019 از نرم افزار یادشده برای خرید استفاده کرده‌اند ممکن است شاهد سرقت داده‌های خصوصی خود توسط هکرها بوده باشند.

از جمله اطلاعاتی که احتمالا هکرها سرقت کرده‌اند می توان به نام، شماره کارت اعتباری، زمان انقضای کارت، کد امنیتی کارت اعتباری و نام کاربری و کلمات عبور ذخیره شده اشاره کرد. تحقیق در مورد این رویداد ادامه دارد و اطلاع رسانی به والدین هک شده نیز آغاز شده است.

گوگل به دوربین های امنیتی شیائومی اجازه دسترسی نمی دهد

دی ۱۳, ۱۳۹۸/در camera, Google, informaition security, xiaomi, امنیت, فناوری اطلاعات /توسط ادمین

پس از افشای یک شکاف امنیتی در دوربین های امنیتی شیائومی، شرکت گوگل اجازه دسترسی شیائومی با دستیار هوشمند خود را لغو کرد.

به نقل از دیلی میل، دوربین های امنیتی ساخت شرکت چینی شیائومی اجازه دسترسی به دستیار هوشمند گوگل را ندارند.

دلیل این امر شواهدی واضح از یک شکاف امنیتی جدی در دوربین ها اعلام شده است. پس از آنکه شواهدی از انتشار ویدئوهای مرموز مربوط به دوربین افراد غریبه رصد شد، گوگل دسترسی شیائومی برای یکپارچه سازی با اپلیکیشن Home خود یا دستیار گوگل را لغو کرد.

روز قبل یکی از کاربران وب سایت Reddit در یک ویدئو شکاف امنیتی نگران کننده ای را نشان داد.

این کاربر متوجه شد هنگامیکه سعی دارد تصاویر دوربین امنیتی را روی NestHub (نمایشگر هوشمند خانگی متعلق به گوگل) تماشا کند، نمایشگر تصاویری از دوربین های امنیتی مختلفی و غریبه را نشان می دهد.

برخی از تصاویر ویدئوهای خانگی از اتاق های خالی هستند یا در یک مورد ویدئو مربوط به کودکی بود که در اتاق خواب بود.

او از یک دستگاه دوربین شیائومی Mijia با نسخه۰۰.۶۶_۳.۵.۱ استفاده می کرد. هنوز دلیل این اختلال مشخص نیست اما گوگل با شیائومی تماس گرفته تا آن را برطرف کند.

هرچند این اختلال نگران کننده است. اما از آنجا که به نظر نمی رسد درباره افراد زیادی تکرار شده باشد، احتمالا تعداد اندکی از کاربران با چنین اختلالی روبرو شده اند.

کتاب «تهدیدات سایبری ایالات متحده علیه امنیت ملی ایران» منتشر شد

دی ۱۱, ۱۳۹۸/در America, informaition security, tahdidate cyberi, امنیت, فناوری اطلاعات /توسط ادمین

کتاب «تهدیدات سایبری ایالات متحده علیه امنیت ملی جمهوری اسلامی ایران» توسط مؤسسه مطالعات و تحقیقات بین‌المللی ابرار معاصر تهران منتشر شد.

در این کتاب که توسط دکتر احسان موحدیان نوشته شده است، عملکرد دستگاه سیاست خارجی ایالات متحده آمریکا و به خصوص وزارت امور خارجه این کشور در جهت استفاده از فضای سایبری به منظور تأثیرگذاری بر افکار عمومی کاربران ایرانی اینترنت مورد بررسی قرار گرفته است.

بدین منظور محتوای منتشر شده از طریق صفحه فیس‌بوک فارسی وزارت خارجه آمریکا و همین طور سایت‌های رادیو فردا و رادیو آمریکا مورد تحلیل محتوای کیفی قرار گرفته و از طریق انتشار یک پرسش نامه آنلاین این موضوع بررسی شده که هر یک از این ابزار تا چه حد بر طرز فکر کاربران ایرانی اینترنت در مورد شرایط اقتصادی، اجتماعی، سیاست داخلی و سیاست خارجی ایران و آمریکا تأثیرگذار بوده‌اند.

در انتهای این کتاب توصیه‌هایی خطاب به دولتمردان جمهوری اسلامی به منظور استفاده مؤثر از ظرفیت فضای سایبر به منظور مقابله با تهدیدات سایبری آمریکا ارائه شده است.

هشدار در مورد‌ ضعف‌های سیستم‌های امنیت خانگی دیجیتال

دی ۱۰, ۱۳۹۸/در Home Security System, informaition security, امنیت, فناوری اطلاعات /توسط ادمین

محققان هشدار می‌دهند اکثر سیستم‌های طراحی شده برای حفظ امنیت منازل و به خصوص دوربین‌های قابل اتصال به اینترنت امنیت پایینی دارند و خیلی نمی‌توان به آنها اتکا کرد.

به نقل از دیجیتال ترندز، در یک سال گذشته اخبار متعددی در مورد امنیت پایین دوربین‌های امنیتی قابل اتصال به اینترنت منتشر شد و در تازه‌ترین رویداد از این دست شرکت آمریکایی wyze نقص امنیتی دوربین‌های تولیدی خود را تایید کرد.

این دوربین‌‌ها امنیت 2.4 میلیون مشتری این شرکت را به خطر انداخت و باعث افشای داده‌های خصوصی آنها شد. پژوهشگران امنیتی هشدار می‌دهند رویدادهایی از این دست در سال 2020 هم رخ می‌دهد و کاربران برای حفظ امنیت خود باید تنظیمات امنیتی پیش فرض و کلمات عبور اولیه دوربین‌های امنیتی را تغییر دهند.

محققان امنیتی می‌گویند افراد برای حفظ امنیت منازل و محل کار خود نباید دوربین‌های امنیتی ارزان قیمت و ساده خریداری کنند. چون این محصولات به جای حل مشکلات کاربران،چالش‌های جدیدی ایجاد کرده و داده‌های ضبط شده بر روی آنها به سادگی قابل سرقت است.

همچنین باید توجه داشت که برخی از این محصولات برای حفظ امنیت کودکان و ردگیری آنها مورد استفاده قرار می‌گیرند که ضعف‌های سخت افزاری و نرم افزاری آنها می‌تواند مورد سوءاستفاده هکرها قرار بگیرد.

مدیریت ریسک، مهارتی لازم برای هر CISO

دی ۸, ۱۳۹۸/در CISO, cyberseurity, informaition security, امنیت, اینترنت و شبکه, فناوری اطلاعات /توسط ادمین

سال گذشته وقتی به بازخوردهای مربوط به مشکلات و محوریتِ صنعت امنیت سایبری نگاه می‌کردیم هم احساس خوبی داشتیم و هم بد. یک سال بعد، مشخص شد که نتایج بررسی‌های جدیدمان حتی از قبلی هم جالب‌تر از آب درآمده. نام گزارش کامل «امنیت سایبری از دریچه‌ی نگاهِ مدیر ارشد امنیت اطلاعات: چشم‌اندازهایی بر این سِمَت» بود که متخصصینِ ما آن را با مشارکت 451 پاسخ‌دهنده انجام دادند. در ادامه با ما همراه باشید تا مبسوط به این گزارش بپردازیم.

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ با اولین نگاه به نتایج این دو تحقیق در طول این دو سال چنین حسی به آدم دست می‌دهد: امنیت اطلاعات و به طور خاص نقش مدیر ارشد امنیت اطلاعات (CISO) دارد روز به روز نزد کسب و کارها اهمیت بیشتری پیدا می‌کند- دست‌کم این را حدود 300 متخصص حوزه‌ی امنیت اطلاعات گروه ما تأیید می‌کنند. خوب این نشانه‌ی خوبیست. همچنین اینکه شرکت‌کنندگان پژوهشی بیش از قبل، سِمَت‌های «مدیریت ریسک» و سایر مهارت‌های کسب و کار را از میان پُست‌های مهم دیگر فهرست می‌کنند را نیز به فال نیک می‌گیریم.

با این حال برخی هنوز هم می‌گویند مهارت‌های فنی و اشراف روی سیستم‌های آی‌تیِ شرکت از جمله مهارت‌های کلیدی هم در حیطه‌ی کاری و هم برای پیشرفتِ آتی به حساب می‌آید. گرچه دانش فنی، برای هر مدیر ارشد امنیت اطلاعات، رکنی اساسی است (و گرچه CISOها باید در مواجهه با فناوری‌های جدید با احتیاط و ملاحظه رفتار کنند) اما این صنعت می‌بایست این را هم در نظر داشته باشد که سیستم‌های مدرن آی‌تی (حتی به طور بالقوه از حیث بخش تکنیکی) برای CISOها بسیار پیچیده‌تر از اینها هستند.

افزون بر این، سیستم‌های اطلاعاتی دارند همینطور پیچیده‌تر نیز می‌شوند (که خیلی از شرکت‌کنندگانِ تحقیقات انتظارش را دارند). بنابراین، مهارت‌های فنی یک CISO در عین حال که مهمند اما باز، مهارت‌های دیگری چون مدیریت ریسک، مدیریت مؤثر تیم و ارتباطات کسب و کار مقدم‌ترند. امروزه پرسنل یک کسب و کار حرف اول را می‌زند.

مردم را درک کنید نه سیستم‌ها را

در حقیقت، هر دو سیستم‌های آی‌تی و فناوری‌های امنیتی اکنون آنقدری پیچیده هستند که دست افراد حرفه‌ایِ بسیار متخصص را برای اتخاذ تصمیماتی که رگ حیاتی شرکت است باز بگذارند. البته، این تغییر باعث می‌شود اعتماد به تیم حتی از قبل هم اهمیت بیشتری پیدا کند. از طرفی، مدیر دپارتمان امنیت اطلاعات باید بتواند به متخصصینِ تیمش اعتماد کند و از طرفی دیگر آن‌ها نیز باید به قضاوت‌ها و تصمیم‌های CISO اعتماد کنند- و کورکورانه یا بدون توانایی بیان نظرات خود آن‌ها را بپذیرند. البته این رابطه باید مبتنی بر دغدغه‌ای مشترک و با احترام متقابل صورت گیرد.

به نقل از شرکت‌کنندگان در تحقیق، تقبلِ خرید سیستم‌ها که قیمتشان پیوسته بالا می‌رود برخی‌اوقات آسانتر از استخدام متخصصین امنیت اطلاعات بیشتر است. شاید خریدن سیستم‌های جدید و پرزرق و برق ایده‌ی بسیار هیجان‌انگیزی باشد اما این خیلی مهمتر است که بتوان مهارت‌ها و شایستگی‌های کلیدی را که برای متخصصین درون‌سازمانی (و آن‌هایی که می‌شود برون‌سپاری کرد) از واجبات است، شناسایی کرد. در حقیقت، با توجه به کمبود متخصصین در بازار، به گمان ما خوب است اگر برون‌سپاری را به چشم یک فرصت برای ارتقای قابلیت‌های دپارتمان دیده و به نیازهای کسب و کار واکنش‌های سریعتری نشان دهیم.

از واکنش به رخداد تا مدیریت ریسک

هرچند نقش CISO در نظر سهامداران– بعنوان مثال هیئت مدیره یا مدیر اجرایی-، دیگر پررنگ شده و اهمیت خاصی پیدا کرده است؛ اما مثل سابق هنوز هم وقتی رخدادی صورت می‌گیرد تماس می‌گیرند و درخواست کمک می‌کنند. (خوشبختانه این بیشتر برای رقبا یا همتاهای صنعتی پیش می‌آید. با این وجود، نشان می‌دهد بسیاری از شرکت‌ها امنیت اطلاعات را به عنوان ابزاری برای مدیریت ریسک نمی‌دانند). و وقتی ازشان می‌پرسند مدیریت، کارکردِ امنیت سایبری را با چه شاقُلی می‌سنجد، خیلی از CISOها همچنان تعداد رخدادها یا زمان واکنش به رخداد را شاخص‌های کلیدی می‌دانند. البته که اینها مؤلفه‌های مهمی‌اند اما در مفهوم جامعه‌ی امروزیِ سایبریِ کسپرسکی، یک شرکتِ بخوبی محافظت‌شده آنی نیست که صرفاً تعداد حملات را پایین می‌آورد و یا به سرعت به رخدادهای واکنش نشان می‌دهد؛ بلکه آنیست که کسب و کارش با وجود چنین رخدادهایی به طور موفقیت‌آمیزی پیشرفت کند.

از اینها گذشته، ریسک‌های قابل‌تحمل و خسران‌هایی که پذیرششان آسانتر از سایر خسران‌هاست از شرکتی به شرکت دیگر متفاوت است. برخی‌اوقات ارزشش را دارد که محض رونق بخشیدن به کسب و کار کمی جوانب حفاظتی را شُل‌تر گرفت. در برخی مواقع هم شاید این کار، گزینه‌ی خوبی نباشد. تعداد رخدادها نمی‌تواند سنگ محک دقیقی برای عملکرد امنیت اطلاعات باشد. نحوه‌ی تأثیر اقدامات امنیت اطلاعات بر سرعت پردازش امور و هزینه‌ها هم حائز اهمیت می‌باشد. بنابراین به زعم ما مدیران ارشد امنیت اطلاعات باید اول از همه بتوانند به جای تمرکز بیش از حد روی حفاظتِ رخدادها به حد کافی ریسک‌ها را مدیریت نموده و سیستم‌های امنیت اطلاعات را به طور بی‌نقصی سازگار با شرکت‌ها و پروسه‌های تجاری خود طراحی نمایند.

تعامل بیشتر با مشاورین حقوقی

چیز دیگری که از میان پاسخ‌های شرکت‌کنندگان در تحقیق توجه ما را به خود جلب کرد، اهمیت تعامل با سایر دپارتمان‌های داخل شرکت بود. به مشاورین حقوقی باید خیلی بیشتر از اینها اولویت داده شود. امروزه، پیچیدگی‌های رو به فزونیِ سیستم‌های آی‌تی و ارتطابات بینابینی‌شان با سرویس‌های خارجی از طرفی و قوانین بین‌المللی از طرفی دیگر به این معناست که نمی‌شود پیامدهای قانونی‌ای که تصمیمات متخصصین امنیت اطلاعات می‌تواند داشته باشد نادیده گرفت.

پاسخ‌دهندگانِ پژوهش تماس با مشاورین حقوقی را - بعد از مدیران مالی، هیئت مدیره و همکاران دپارتمان آی‌تی- در رتبه‌ی چهارم قرار دادند. به عقیده‌ی ما تعامل با مشاورین حقوقی می‌بایست دست‌کم بر تماس با مدیران مالی مقدم باشد. تنها زمانی غیر این معقول است که امنیت اطلاعاتی‌ را به چشم ابزاری برای مدیریت کسب و کار ببینید.