بررسی حکمرانی امنیت سایبری و مدیریت ریسک
گزارش گارتنر در سال 2025 بر اهمیت ادغام حکمرانی امنیت سایبری و مدیریت ریسک در استراتژیهای کلی سازمان تأکید دارد و روشن میسازد که دیگر نمیتوان امنیت سایبری را یک وظیفه صرفاً فنی دانست.
به گزارش «نبض فناوری» به نقل از سیتنا، به نقل از افتانا، سال 2025 نقطه عطفی در تحول امنیت سایبری سازمانهاست. پیشرفتهای فناورانه مانند هوش مصنوعی مولد (GenAI)، گسترش سریع زیرساختهای ابری، افزایش تعامل با تأمینکنندگان ثالث، و رشد روزافزون مقررات جهانی، همگی سازمانها را وادار میکنند تا استراتژیهای حکمرانی امنیتی خود را بازتعریف کنند.
گزارش جدید گارتنر با عنوان «چشمانداز رهبری برای امنیت و مدیریت ریسک 2025» یک نقشه راه جامع برای سازمانهایی است که در پی ارتقای تابآوری دیجیتال و همسویی بهتر امنیت با اهداف کسبوکار هستند. این گزارش ضمن تحلیل روندهای آینده، تأکید ویژهای بر استفاده از هوش مصنوعی، تقویت فرهنگ امنیتی، و اصلاح ساختارهای حکمرانی دارد.
همسویی GRC سایبری با مدیریت ریسک سازمانی
گارتنر در این گزارش هشدار میدهد که نبود یکپارچگی بین ساختارهای حکمرانی، ریسک و انطباق (GRC) با مدیریت ریسک کلان سازمانی، میتواند توان پاسخگویی سازمان به تهدیدات نوظهور را مختل کند. بهویژه با اجراییشدن دستورالعملهایی مانند NIS2 در اروپا، شرکتها باید چارچوبهای خود را بازنگری و بهروز کنند.
چهار ستون کلیدی این یکپارچهسازی عبارتاند از:
- چارچوب حکمرانی پیشگیرانه: بهرهگیری از استانداردهایی نظیر NIST CSF 2.0 برای تعریف روشن نقشها، فرآیندها و کنترلها. این چارچوبها ریسکها را در لحظه شناسایی میکنند و امکان مداخله سریع را فراهم میآورند.
- هوش مصنوعی و اتوماسیون:استفاده از AI برای تحلیلهای پیشگویانه، مانیتورینگ 24/7، و ارزیابی خودکار ریسکها، بهویژه در سازمانهایی که با کمبود نیروی انسانی متخصص مواجهاند.
- همسویی با اهداف تجاری: GRC نباید یک فعالیت منفک از کسبوکار باشد. ارزش تجاری ابتکارات امنیتی باید بهوضوح قابل سنجش باشد.
- نقشه راه 18 تا 36 ماهه: گارتنر توصیه میکند سازمانها طی سه سال آینده به سوی کمیسازی ریسک مبتنی بر AI، شفافیت در حکمرانی، و نظارت مستمر بر کنترلها حرکت کنند.
روندهای برتر امنیت سایبری در سال 2025
گارتنر چندین روند کلیدی را شناسایی کرده است که بر حکمرانی امنیت سایبری و مدیریت ریسک تأثیر میگذارند. این روندها نشاندهنده نیاز به رویکردهای نوآورانه و انعطافپذیر در برابر تهدیدات سایبری هستند.
مدیریت هویتهای ماشینی (Machine Identity Management): با گسترش استفاده از سرویسهای ابری و هوش مصنوعی، مدیریت هویتهای ماشینی (مانند حسابهای خدماتی، مدلهای هوش مصنوعی و بارهای کاری ابری) به یک اولویت تبدیل شده است. طبق گزارش گارتنر، 54 درصد سازمانها شاهد افزایش نفوذهای مرتبط با هویت بودهاند و 85 درصد این نفوذها به هک هویتهای ماشینی نسبت داده شده است. سازمانها باید استراتژیهای مدیریت هویت و دسترسی (IAM) را گسترش دهند تا شامل هویتهای غیرانسانی شوند.
تمرکز بر تابآوری سایبری (Cyber Resilience): تمرکز از پیشگیری صرف به تابآوری سایبری تغییر کرده است. این رویکرد شامل کاهش تأثیر نفوذها و بهبود توانایی سازمان برای بازیابی سریع است. گارتنر پیشبینی میکند که تا سال 2027، مدیرانی که در برنامههای تابآوری سرمایهگذاری کنند، 50 درصد کاهش در فرسودگی شغلی مرتبط با امنیت سایبری را تجربه خواهند کرد. این امر نیازمند تغییر فرهنگی، مشارکت رهبری و توزیع بار کاری است.
مدیریت ریسک سایبری غیرمتمرکز: مدیریت ریسک سایبری غیرمتمرکز به صاحبان منابع امکان میدهد تا تصمیمگیریهای چابک انجام دهند، اما نیاز به تأیید مرکزی برای اطمینان از انطباق و کنترل دارد. این رویکرد به سازمانها کمک میکند تا با سرعت بیشتری به تهدیدات پاسخ دهند.
برنامههای توسعه آگاهیرسانی امنیتی و بهبود فرهنگ: گسترش برنامههای بهبود فرهنگ و رفتار امنیتی فراتر از آموزشهای سنتی فیشینگ، به حوزههایی مانند کدنویسی امن و پیشگیری از پیکربندی نادرست گسترش یافته است. استفاده از روانشناسی رفتاری و اقتصاد رفتاری میتواند رفتارهای امنیتی را بهبود بخشد. گارتنر پیشبینی میکند که تا سال 2026، ترکیب هوش مصنوعی مولد با این برنامهها، حوادث ناشی از خطای انسانی را تا 40 درصد کاهش خواهد داد.
تقویت پاسخ و بازیابی برای ریسکهای هوش مصنوعی: با افزایش استفاده از هوش مصنوعی مولد، سازمانها باید سیاستهایی برای مدیریت ریسکهای مرتبط با روابط شخص ثالث و برنامههای وب غیرمجاز تدوین کنند. گزارش گارتنر نشان میدهد که 45% از برنامههای وب شخص ثالث بدون مجوز به اطلاعات کاربران دسترسی دارند، که خطرات قانونی و امنیتی را افزایش میدهد.
نتیجهگیری
گزارش گارتنر در سال 2025 بر اهمیت ادغام حکمرانی امنیت سایبری و مدیریت ریسک در استراتژیهای کلی سازمان تأکید دارد. این گزارش گارتنر روشن میسازد که دیگر نمیتوان امنیت سایبری را یک وظیفه صرفاً فنی دانست. حکمرانی یکپارچه، اتکا به فناوریهای نوین مانند GenAI، و توسعه فرهنگ امنیتی در همه سطوح سازمان، پیششرط موفقیت در اقتصاد دیجیتال و تحول دیجیتال است.