استحکام زنجیره امنیت یک سازمان به اندازه ضعیف‌ترین حلقه آن است

مهراب پراینده، کارشناس شبکه، درباره‌ی نقش سرمایه‌گذاری در بهبود وضعیت امنیت داده در سازمان‌ها گفت:" بدون شک، وقوع حوادث امنیتی، نقش مهمی در میزان سرمایه‌گذاری سازمان‌ها دارد."

وی افزود:" در این زمینه، سازمان‌ها را می‌توان به دو دسته تقسیم کرد، نخست، سازمان‌هایی که فناوری اطلاعات (IT) بخشی از کسب‌وکار اصلی و به‌عبارتی «هسته‌ی کسب‌وکار» آن‌هاست؛ مانند شرکت‌هایی که در حوزه‌ی خرید و فروش آنلاین فعالیت می‌کنند. دوم، سازمان‌هایی که از IT به‌عنوان پشتیبان کسب‌وکار اصلی خود استفاده می‌کنند؛ برای مثال، شرکت‌های فعال در صنایع نفت و گاز."

این کارشناس ادامه داد: "اگر یک سازمان مبتنی بر فناوری اطلاعات باشد، به‌طوری‌که اغلب مدیران ارشد آن از متخصصان این حوزه باشند، دغدغه‌هایی مانند امنیت اطلاعات و نشت داده‌ها برای آن‌ها بسیار جدی است. این دسته از مدیران، آسیب ناشی از دست رفتن داده‌ها را به‌طور ملموس تجربه کرده‌اند. به همین دلیل، در زمینه‌ی امن‌سازی زیرساخت‌ها حاضر به صرف هزینه هستند و در این حوزه صرفه‌جویی نمی‌کنند؛ چراکه از بین رفتن داده‌ها و سامانه‌های آنلاین، تمام کسب‌وکار آن‌ها را با خطر مواجه می‌سازد."

پراینده گفت: "در سازمان‌هایی که فناوری اطلاعات صرفاً نقش پشتیبانی برای کسب‌وکار اصلی را ایفا می‌کند، معمولاً در زمینه‌ی امنیت، دقت و حساسیت کافی وجود ندارد؛ چراکه نگرش غالب در این سازمان‌ها، صرفاً بر سودآوری از طریق فعالیت اصلی متمرکز است. در چنین فضایی، اگر یک سیستم یا رایانه چند روزی از دسترس خارج شود، تأثیر جدی بر روند کاری احساس نمی‌شود."

این کارشناس شبکه ادامه داد: "در مقابل، سازمان‌هایی که سرویس‌های آنلاین ارائه می‌دهند، باید به‌طور طبیعی نگران حوادث امنیتی روز باشند؛ چراکه امنیت سایبری، یک جنگ مداوم است و هر روز ابعاد پیچیده‌تری پیدا می‌کند. بااین‌حال، شرکت‌هایی که سامانه‌های خود را فقط روی شبکه‌ی اینترانت پیاده‌سازی کرده‌اند، معمولاً دغدغه‌ی کمتری در این زمینه دارند و در نتیجه، سرمایه‌گذاری کمتری نیز انجام می‌دهند."

وی در پاسخ به این پرسش که آیا می‌توان سرمایه‌گذاری در زیرساخت‌های امنیتی را نوعی بیمه‌ی حیاتی برای بقای سازمان‌ها دانست، اظهار داشت: "امنیت، یک نگرش است؛ چیزی نیست که صرفاً با خرید نرم‌افزار و سخت‌افزار بتوان به آن دست یافت. امنیت مانند زنجیره‌ای پیوسته است که استحکام آن به‌اندازه‌ی ضعیف‌ترین حلقه‌اش بستگی دارد. اگر سرمایه‌گذاری به‌درستی انجام شود، همراه با اجرای صحیح و آموزش پرسنل باشد، قطعاً تأثیرگذار خواهد بود. اما اگر این اقدامات انجام نشود، به‌ویژه در سازمان‌هایی که مبتنی بر فناوری اطلاعات هستند، آن‌ها را به‌مرور به‌سمت نابودی خواهد کشاند."

وی در پاسخ به این پرسش که آیا شواهد آماری یا مطالعات موردی درباره‌ی سازمان‌هایی وجود دارد که با سرمایه‌گذاری کافی در امنیت سایبری، آسیب‌پذیری کمتری در برابر حملات داشته‌اند، گفت: "متأسفانه در ایران، مانند بسیاری از حوزه‌های دیگر، آمار شفاف و مشخصی در این زمینه وجود ندارد. دست‌کم من شخصاً با آماری معتبر در این خصوص مواجه نشده‌ام. بااین‌حال، قطعاً هر میزان سرمایه‌گذاری و اقدام—حتی در حد کم—بهتر از بی‌تحرکی کامل است."

وی در پایان گفت: "سرمایه‌گذاری در حوزه‌ی امنیت سایبری زمانی مؤثر است که به‌درستی پیاده‌سازی شود و با آموزش مناسب پرسنل همراه باشد؛ چراکه نیروی انسانی همچنان یکی از مهم‌ترین نقاط ضعف و مسیرهای حمله در شبکه‌ها به‌شمار می‌رود. چنین رویکردی می‌تواند به پایداری کسب‌وکار، کاهش چشمگیر آسیب‌پذیری‌ها و در نهایت، جلب اعتماد مشتریان منجر شود."