به گزارش کارگروه بینالملل سایبربان؛ وزارت امنیت داخلی ایالاتمتحده بهتازگی اهداف اجرایی امنیت سایبری خود موسوم به (CPG) را منتشر کرد. درواقع این اهداف شیوههای داوطلبانهای هستند که بالاترین اولویتهای اولیه را که کسبوکارها و صاحبان زیرساختهای حیاتی در هراندازه میتوانند برای محافظت از خود در برابر تهدیدات سایبری انجام دهند مشخص میکنند.
این اهداف توسط وزارت امنیت داخلی آمریکا و از طریق آژانس امنیت سایبری و امنیت زیرساخت (CISA) این وزارتخانه و به دستور کاخ سفید توسعه یافتهاند. در طول سال گذشته، CISA با صدها شریک بخش دولتی و خصوصی کار کرد و دادههای چندین سال را برای شناسایی چالشهای کلیدی که ایالاتمتحده را در معرض خطر قرار میدهند، تجزیهوتحلیل کرد.
با ترسیم واضح اهداف قابلاندازهگیری بر اساس معیارهای قابلدرک مانند هزینه، پیچیدگی و تأثیر، اهداف اجرایی امنیت سایبریها بهگونهای طراحی شدند که برای سازمانها در هراندازه قابلاجرا باشند.
الخاندرو مایورکاس، وزیر امنیت داخلی آمریکا در خصوص خطرات امنیت سایبری گفت:
سازمانها در سراسر آمریکا بهطور فزایندهای درک میکنند که خطر امنیت سایبری نهتنها یک چالش اساسی برای کسبوکارها است، بلکه تهدیدی برای امنیت ملی و رفاه اقتصادی ما نیز هستند.
آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA) اهداف اجرایی امنیت سایبری را با مشارکت نزدیک با سازمانهای دولتی و بخش خصوصی توسعه داد. اهداف حاصل قرار است در هماهنگی با چارچوب امنیت سایبری موسسهی ملی استانداردها و فناوری آمریکا پیادهسازی شوند. این اهداف زیرمجموعه مختصری از اقدامات را برای کمک به سازمانها در اولویتبندی سرمایهگذاریهای امنیتی خود تجویز میکنند.
اهداف اجرایی امنیت سایبری
1. امنیت حسابها:
- تشخیص تلاشهای ناموفقی که بهصورت خودکار یا غیر خودکار قصد ورود به حساب کاربری را داشتند
- تغییر رمز عبورهای پیشفرض
- احراز هویت چندعاملی (MFA)
- حداقل قدرت رمز عبور
- جداسازی حسابهای کاربری و حسابهای دارای امتیاز
- استفاده از رمز عبور منحصربهفرد
- ابطال اعتبار برای کارکنان در حال خروج
2. امنیت دستگاهها:
- فرآیند تأیید سختافزار و نرمافزار
- غیرفعال کردن ماکروها (Macros) بهصورت پیشفرض
- موجودی داراییها
- منع اتصال دستگاههای غیرمجاز
- تنظیم دستگاهها
3. امنیت دادهها:
- جمعآوری گزارشها
- ایمنسازی گزارشهای ذخیرهشده
- رمزگذاری قوی و چابک
- ایمنسازی دادههای حساس
4. حکمرانی و آموزش:
- رهبری امنیت سایبری سازمانی
- رهبری امنیت سایبری فناوریهای عملیاتی
- آموزش پایه امنیت سایبری
- آموزش امنیت سایبری فناوریهای عملیاتی
- بهبود روابط امنیت سایبری بین بخشهای فناوری اطلاعات IT و فناوری عملیات OT
5. واکنش و بازیابی:
- گزارش حوادث
- طرحهای واکنش به حادثه
- پشتیبان گیری از سیستمها
- مستندسازی توپولوژی شبکه
