وقتی شرکت‌ها به تدریج بزرگ می‌شوند، استقرار فرایندها و ساز و کارهای رسمی در آن‌ها ضروری می‌شود و به‌کارگیری سیستم‌ها و تنظیم منظم گزارش‌ها، به فعالیتی ضروری تبدیل می‌شود.

هم‌چنین سهامداران و سایر ذی نفعان هم انتظار دارند تا حد امکان از این فرایندها و صحت عملکرد آن‌ها مطمئن شوند.

امنیت سایبری یکی از حوزه‌های مهم,  دغدغه‌ی همه‌ی ذی‌نفعان یک کسب و کار است و انتظار می‌رود شرکت‌ها در دوره‌های زمانی مشخص، گزارش‌هایی حاوی اقدامات خود در این زمینه منتشر کنند.

اما سوال این‌جاست که در چنین گزارش‌هایی معمولاً چه نکاتی مطرح می‌شوند؟

فهرست زیر چارچوب یک نمونه گزارش امنیت سایبری را نشان می‌دهد. البته واضح است که چنین گزارشی در نهایت در چند نسخه تنظیم می‌شود و هر گروه از ذی‌نفعان، بخش‌هایی از گزارش و نه الزاماً همه‌ی آن را دریافت می‌کنند:

• درگیر شدن مدیران ارشد اجرایی و آگاهی آن‌ها از فرایندهای امنیت سایبری
• تهدید‌های مرتبط به فضای کاری سازمان / کسب و کار
• ریسک‌های سایبری و تأثیر آن‌ها بر فعالیت سازمان
• تدوین برنامه‌ها و اکشن پلن مربوط به ریسک‌های سایبری
• پروتکل‌ها و چارچوب رعایت حریم خصوصی
• شفافیت و اطلاع‌رسانی در زمینه‌ی بحران‌های جدی و حمله‌های تأثیرگذار
• استفاده از خدمات پوشش ریسک سایبری
• رعایت قوانین مرتبط با امنیت سایبری (قواعدی مثل NIS و PCI-DSS و NYDFS و …)
• توجه به ملاحظات مطرح شده در استانداردها و گواهینامه‌های امنیت سایبری مانند ISO 27001 (معرفی / پیاده سازی) و NIST
• آموزش و آگاهی‌بخشی به کارکنان در زمینه امنیت اطلاعات
• لحاظ کردن امنیت سایبری در فعالیت‌های مرتبط با تحول دیجیتالی سازمان (مثلاً توسعه‌ی اینترنت اشیا، یادگیری ماشینی، بلاکچین و سیستم‌های هوش مصنوعی)
• طراحی و پیاده‌سازی سیستم Governance برای امنیت اطلاعات در سازمان
• امنیت فرایندها و سیستم‌های ویژه‌ی هر کسب و کار (کنترل صنعتی، سیستم‌های تشخیص فساد و معاملات مشکل‌دار، سیستم‌های پرداخت، ارتباط با مشتریان و …)
• استقرار مکانیزم Audit برای بررسی پیوسته وضعیت ریسک‌های سایبری

منبع: Wavestone Report