NIST (انستیتوی ملی استاندارد و چارچوب امنیت سایبری فناوری) مدیریت ریسک امنیت سایبری را به پنج کارکرد سطح بالا سازماندهی می‌کند: شناسایی، محافظت، کشف، پاسخ و بازیابی.

موردی که در بخش شناسایی قرار گرفته‌ است، دسته‌ای با عنوان “محیط کسب و کار” است که به توانایی سازمان در اطلاع‌رسانی در مورد نقش‌ها، مسئولیت‌ها و تصمیمات مربوط به مدیریت ریسک با درک و اولویت‌بندی دقیق در خصوص ماموریت، اهداف، ذینفعان و فعالیت‌های تجاری خود اشاره دارد. به طور خلاصه، نیازهای خاص مشاغل باید گرداننده برنامه امنیتی شبکه باشد.

اگر برنامه امنیتی شما متناسب با ماهیت شرکت شما و آنچه شرکت شما انجام می‌دهد، نباشد، سازمان شما موظف است در بعضی حوزه‌ها کارهای بسیا اندکی انجام دهد و شاید حتی در سایر موارد، مجبور به انجام کارهای بسیار زیادی باشد. ما به این مشکل تحت عنوان امنیت صاف (flat security) اشاره می‌کنیم. در مقابل، برنامه‌های امنیتی کامل، شامل بخش فیزیکی و سایبری است، سطوح مختلف کنترل (و سطوح مختلف هزینه) را بر اساس بررسی مستمر در محیط کسب و کارشان در نظر گرفته و به کار می‌گیرند.

متأسفانه، بسیاری از شرکت‌ها (حتی اکثر آنها) نتوانسته‌اند به این نتیجه در چارچوب NIST برسند. یافته‌های یک بررسی مدیریت عملکردی را که توسط نویسنده ویلیام شایمان، انجام شده است، در نظر بگیرید که در آن تنها 14 درصد از کارمندان به درستی از استراتژی و جهت کلی شرکت خود استفاده کرده‌اند.

اگر این مشخصه‌ها در درون سازمان شما وارد شود، خوب است بپرسید که پرسنل امنیتی فناوری‌اطلاعات شما، گروه کوچکی از کارکنان آشنا و مطلع هستند یا درعوض، حدود 9 نفر از 10 کارمندی هستند که به طور کامل از اهداف کلان شرکت شما – و جبران خسارت آنها – به طور کامل آگاهی ندارند. رهبری ارشد و هیئت مدیره نیز در این مساله چندان اطلاعاتی ندارند. هر سطح یک سازمان باید تحصیل کرده باشد و بر روی رابطه بین تجارت و امنیت متمرکز شود. آیا کسی در شرکت شما از طریق توسعه مشاغل، ممیزی یا نقش ریسک، استراتژی امنیتی شما را بررسی کرده است تا اطمینان حاصل کند که برای تأمین خواسته‌های مختلف تجاری (شامل الزامات قانونی) به منظور محافظت از محرمانه بودن، یکپارچگی و در دسترس بودن در مواردی که حائز اهمیت است، سفارشی‌سازی شده است؟

چارچوب NIST راهنمایی در مورد چگونگی دستیابی به این همترازی و تنظیم ارائه می‌دهد و از بالاترین سطح آغاز می‌کند. یک شرکت نه تنها باید اولویت‌ها و اهداف ماموریت خود را در رابطه با کنترل‌های امنیتی که از اهمیت بیشتری برخوردار است، در نظر برقرار نماید و سپس ارتباط برقرار کند، بلکه همچنین باید این اولویت‌ها و اهداف را در مواردی که با زیرساخت‌های حیاتی یا بخش‌های صنعت نیز متناسب است، برقرار نماید و وابستگی‌های آن، عملکردهای مهم و الزامات تاب‌آوری برای محافظت و ارائه خدمات اصلی آن؛ و نقش آن در زنجیره تأمین را نیز لحاظ کند.

همه ما می‌دانیم که امنیت کامل در کل شرکت شما هرگز نمی‌تواند به دست آید و میزان پولی که در این حوزه هزینه می‌شود، انتها ندارد. خوشبختانه مدیریت ریسک خوب در عوض بر امنیت هوشمندانه متمرکز است که در صورت اجرای صحیح، توسط محیط تجاری شما هدایت و گرداننده می‌شود.