بخش دوم – انقلاب دیجیتال «قسمت سوم»

واحد اقتصادی

زنجیره‌های تأمین:

زنجیره‌های تأمین نیز چالشی دیگر برای کسب‌وکارها در زمینه امنیت سایبری ایجاد می‌کنند، چه از طریق دسترسی طرف‌های سوم به سیستم‌ها و چه حملات فیشینگ که از سمت تأمین‌کنندگان آغاز شده و اثر آن به کسب‌وکارها منتقل می‌شود. در حالی که بسیاری از سازمان‌ها می‌دانند که خطرات امنیت سایبری از طریق زنجیره تأمین وجود دارد، برخی سازمان‌ها، به‌ویژه کسب‌وکارهای کوچک، اغلب رویه‌های رسمی محدودی برای مدیریت این ریسک‌ها دارند.

طبق نظرسنجی نقض‌های امنیت سایبری، تنها ۱۱٪ از کسب‌وکارها گفته‌اند که ریسک‌های ناشی از تأمین‌کنندگان مستقیم خود را بررسی می‌کنند و تنها ۶٪ گفته‌اند که به کل زنجیره تأمین خود توجه دارند.

در زمینه ریسک‌های تأمین‌کننده، این نظرسنجی نشان داده که سازمان‌ها به روش‌های مختلف به مدیریت این ریسک‌ها می‌پردازند. این شامل رویکردهای رسمی‌تر مانند قراردادها، دریافت اعتبارنامه‌های خارجی (مانند ISO 27001)، ثبت جریان داده‌ها و ملاقات با تأمین‌کنندگان است. با این حال، رویکردهای غیررسمی نیز وجود دارد، از جمله ایمیل زدن به تأمین‌کنندگان به‌صورت موردی برای پرس‌وجو درباره اقدامات امنیت سایبری آن‌ها.

اعتبارسنجی و بیمه امنیت سایبری:

به‌طور گسترده‌تر، تحقیقات منتشرشده توسط اتاق‌های بازرگانی بریتانیا در سال ۲۰۲۲ نشان داد که بیش از نیمی از کسب‌وکارها معتقد بودند که پس از افزایش دورکاری در دوران پاندمی، سیستم‌های IT آن‌ها بیشتر در معرض حمله قرار گرفته است. علاوه بر این، چهار پنجم شرکت‌ها گفتند که در حال حاضر تدابیر امنیت سایبری معتبر برای محافظت در برابر حملات ندارند. این موضوع و گرایش به دورکاری اهمیت داشتن محافظت‌های مناسب امنیت سایبری برای اطمینان از تاب‌آوری سایبری کسب‌وکارها را نشان می‌دهد.

با وجود این، تنها ۸٪ از کسب‌وکارها و ۵٪ از خیریه‌ها بیمه‌نامه خاص امنیت سایبری داشتند. این رقم برای کسب‌وکارهای بزرگ‌تر بیشتر است، اما همچنان بسیار پایین است و تنها ۲۵٪ از کسب‌وکارهای متوسط و ۲۶٪ از کسب‌وکارهای بزرگ دارای بیمه‌نامه خاص امنیت سایبری هستند.

اعتبارسنجی ISO 27001

با این حال، نگرانی‌هایی نیز در مورد طرح‌های اعتبارسنجی رسمی‌تر وجود دارد. یکی از این موارد ISO 27001 است، یک استاندارد مدیریت امنیت اطلاعات که چارچوبی برای نحوه مدیریت ریسک‌های مرتبط با تهدیدهای امنیت اطلاعات توسط سازمان‌ها ارائه می‌دهد، از جمله سیاست‌ها، رویه‌ها و آموزش کارکنان. دریافت گواهی ISO 27001 در سطح جهانی شناخته شده و نشان می‌دهد که سیستم‌های یک سازمان با بهترین شیوه‌های امنیتی همسو هستند.

ISO 27001 توسط بسیاری از کسب‌وکارها و سازمان‌های بخش عمومی به‌عنوان معیار اصلی امنیت و امنیت سایبری برای پذیرفته شدن به‌عنوان تأمین‌کننده مناسب در قراردادهای خرید استفاده می‌شود. دستیابی به گواهی ISO 27001 می‌تواند به کسب‌وکارهای کوچک و متوسط کمک کند تا از فرصت‌های تجاری بیشتری بهره‌مند شوند و رشد کنند و فرآیند چندان پرهزینه‌ای هم نیست، اما اغلب منابع‌بر است و نیازمند توسعه گسترده سیاست‌ها، آموزش کارکنان و ایجاد ترتیبات حسابرسی داخلی می‌باشد.