بازتعریف ریسک در عصر دگرگونی دیجیتال
به عقیده بسیاری از کارشناسان و صاحبنظران چنین نگرانیهایی کاملا بجا و درست است و همه شرکتها اعم از کوچک و بزرگ باید نسبت به محکمتر کردن کمربندهای خود در برابر ریسکهای نوین اقدام کنند و به همین دلیل هم لازم است که هم مدیران آیتی و هم سایر مدیران شرکتها و سازمانها نسبت به بازتعریف ماهیت ریسکها و فرآیند مدیریت ریسک در عصر تمام دیجیتال امروز اقدام کنند.
ریسکهای جدیدتر و بزرگتر
این تقریبا غیرممکن است که به طور دقیق و حتمی بدانیم که یک ریسک ناشناخته چگونه و چه وقت به واقعیت تبدیل میشود و شروع به خراب کردن همه چیز میکند. با این همه میتوان فاکتورهایی را پیشبینی و پیش یابی کرد که در نهایت به وقوع ریسکهای جدید منتهی میشوند. معمولا ریسکها و مخاطرات جدید در ابتدا در قالب نقاط کوچک و به ظاهر بیاهمیتی جلوه میکنند که چندان مورد توجه جدی قرار نمیگیرند اما به تدریج و پس از نفوذ در ارکان مختلف سیستمهای دیجیتال به ریسکهای تمام عیار و غیرقابل مهاری تبدیل میشوند که میتوانند صدمات جبرانناپذیری را به هر چیزی وارد کنند.
در واقع دیجیتال شدن فرآیندها و عملیات باعث جذب هر چه بیشتر ریسکها میشوند چرا که پروژههای تمام دیجیتال به گونهای هستند که همه چیزها را به هم پیوند میزنند و در جریان همین پیوند خوردن هاست که حفرههای امنیتی کوچکی پدید میآیند که در صورت بیتوجهی به آنها با هم ترکیب شده و شکافهای امنیتی عمیقی را تشکیل میدهند.این گونه تحولات در نهایت به پیچیدهتر شدن و به هم وابسته شدن سیستمهای سازمانی منجر میشود که به دلیل ابعاد گستردهای که دارند میتوانند به عنوان سوژه و هدف مهاجمان سایبری انتخاب شوند.
در محیط کسب و کار امروز که به شدت بر عامل سرعت و شتاب به عنوان یک مزیت رقابتی تاکید دارد آنچه بیش از هر چیز دیگری مورد غفلت قرار میگیرد جزئیات به ظاهر بیاهمیتی است که البته مورد توجه هکرها و مهاجمان سایبری قرار میگیرند و از همین جاهاست که نفوذ صورت میپذیرد.
چالشی بهنام همگام شدن با دگرگونی دیجیتال
امروزه تمام مدیران عامل و سهامداران شرکتهای کوچک و بزرگ به طور مداوم بر طبل سرعت بخشیدن به کارها و همگام شدن یا تغییر و تحولات جهانی میکوبند تا به این وسیله شرکتهای متبوعشان بتوانند در میدان رقابت پیروز شوند و اتفاقا اغلب حملات سایبری متوجه همین شرکتهای سریع و پیشرویی میشوند که دقت را فدای سرعت میکنند. در واقع پروژهها و عملیاتی که با سرعت بیشتری به مرحله اجرا در میآیند بیشتر مورد توجه و طمع هکرها قرار دارند و در نتیجه بیشتر در جریان حملات سایبری آسیب میبینند.
نکته مهم دیگری که در این میان باید به آن توجه داشت این است که اغلب مدیران فناوری اطلاعات شرکتها و سازمانها که افرادی قابل و باتجربه هستند بیشتر با مدلهای خطی مدیریت ریسک که مبتنی بر نظریههای کلاسیک مدیریت ریسک هستند آشنایی دارند و تنها توانایی مقابله با ریسکهای مرسوم و شناخته شده را دارند در حالی که دنیای پرتکاپوی امروز مملو از ریسکها جدید و نوظهوری است که حتی بسیاری از کارشناسان و مدیران ارشد آی تی نیز از وجودشان مطلع نیستند و تا زمانی که آنها به مرحله خطرناکی از آسیب زا بودن نرسند به آنها توجهی نمیکنند. بنابراین مدیران آی تی باید در کنار توجه به فرآیند مدیریت ریسکهای متداول، برای شناسایی و مقابله با ریسکهای نوظهور و ناشناخته نیز برنامهریزی کنند و استانداردهای جدیدی را برای کنترل و مدیریت این ریسکها تدوین کنند.
شفافیت و چابکی امری حیاتی است
همان طور که پیش از این نیز گفته شده یکی از راههای شناسایی و پیشگیری از وقوع ریسکهای جدید کنترل نقاط و جزئیات به ظاهر بیاهمیتی است که وقتی مانند قطعات پازل در کنار هم قرار میگیرند میتوانند به شدت خطرناک و غیرقابل مهار شوند. به طور کلی عامل اصلی بیتوجهی به این جزئیات کوچک همان افزایش سرعت انجام کارهاست.
حملات سایبری گستردهای که اخیرا به خطوط هوایی Southwest و Delta میلیاردها دلار ضرر زد عمدتا ناشی از بیتوجهی مدیران ریسک این شرکتها به ریسکهای دیجیتال جدیدی بود که در نهایت توانستند به سیستمهای اطلاعاتی این شرکتها نفوذ کنند. اما باید دانست که وقتی نمیتوان از سرعت و شتاب کارها کم کرد به طور حتم میتوان در راستای افزایش شفافیت و چابک سازمانی در زمینه مقابله با ریسکها افزود و از این طریق به مصاف ریسکهای جدید رفت. هنگامی که تمام بخشهای یک شرکت به سرعت و با چابکی تمام نسبت به جزئیات و تغییرات معنی دار در فرآیندها حساسیت نشان دهند و درصدد رفع مشکلات و اختلالات آن برآیند، بهترین کار را برای مدیریت ریسکهای دیجیتال نوین انجام دادهاند چرا که چنین ریسکهایی از طریق به هم پیوستن همین حفرههای کوچک پدید میآیند.
بر همین اساس توصیه میشود از فرصتهایی مانند انعطافپذیری بالای ساختارهای محاسبات ابری برای افزایش توان شرکتها در شناسایی موارد غیرعادی و جلوگیری از تبدیل شدن آنها به ریسکهای جدی بهره برد. علاوه بر این با افزایش نیروی انسانی متخصص در حوزه مدیریت ریسک به ریسکهای دیجیتال میتوان به اهدافی همچون رصد دائمی و دقیق فعل و انفعالات خارج از عرف در سیستمها دست یافت. علاوه بر این همکاری و کمک گرفتن از شرکتهای متخصص در زمینه مشاورههای تکنولوژیک و مدیریت ریسکهای نوین نیز میتواند در پیشگیری از شکلگیری و گسترش ریسکهای دیجیتال در درون سیستمهای شرکتی و سازمانی موثر باشد.
ادامه دارد