امنیت فن آوری اطلاعات در کشور واقعا یکی از موارد راهبردی است که باید مورد توجه قرار گیرد. در این موضوع شکی نیست. با این وجود ما در حال حاضر شاهد نهاد های تصمیم گیر در این زمینه هستیم. این نهادها عبارتند از:

۱. افتا: مرکز افتا که در واقع مرکز مدیریت راهبردی افتای ریاست جمهوری نامیده می‌شود و نهادیه که مسئول سیاست‌گذاری، نظارت و ارزیابی امنیت فضای تولید و تبادل اطلاعات در ایران هست.

۲. سازمان فناوری اطلاعات ایران به نوعی در کنار افتا در حال فعالیت هست.

۳. سازمان پدافند غیرعامل کشور که زیر نظر ستاد کل نیروهای مسلح فعالیت می‌کند و مسئول برنامه‌ریزی، سیاست‌گذاری و نظارت بر اقدامات حفاظتی در بخش‌های حیاتی مانند فضای سایبری است.

۴. خود استاندارد ISO/IEC 27002 که یکی از مهم‌ترین استانداردهای بین‌المللی در حوزه امنیت اطلاعات است و در واقع شاکله امنیت سایبری در دنیا رو شکل می ده.

وجود این نهاد ها و الزامات آنها در شرایط فعلی سازمانها، بخصوص دولتی ها نیازمند بررسی دقیق تر موضوع و کاهش بار روی مراکز IT کشور هست.

به نظرم شورای عالی فضای مجازی به عنوان نهاد تصمیم گیر و هماهنگ کننده می تواند در همراستایی و تقویت امنیت سایبری این نهاد ها نقش بیشتری ایفا کند.

#ُISMS

#Cyber_Security

#IT_Governance

ایران از دهه ۲۰۱۰ تا  ۲۰۲۵بیش از ۱۰۰ حمله سایبری عمده را تجربه کرده است که برخی از آن‌ها تأثیرات عمیقی بر زیرساخت‌های ملی و اقتصاد کشور داشته‌اند. در ادامه، تعدادی از مهم‌ترین حملات سایبری صورت گرفته مورد اشاره قرار می گیرد:

• حمله استاکس‌نت (Stuxnet) در سال ۱۳۹۴: این حمله، که به عنوان یکی از پیچیده‌ترین عملیات سایبری تاریخ شناخته می‌شود، توسط آمریکا و اسرائیل علیه تأسیسات هسته‌ای نطنز طراحی شد. کرم استاکس‌نت با هدف قرار دادن سیستم‌های کنترل صنعتی (SCADA) سانتریفیوژهای غنی‌سازی اورانیوم را مختل کرد و خسارات فیزیکی قابل‌توجهی به تجهیزات وارد آورد. این حمله نه تنها برنامه هسته‌ای ایران را به تأخیر انداخت، بلکه به نقطه عطفی در درک تهدید تهدیدات سایبری در سطح جهان تبدیل شد. استاکس‌نت نشان داد که حملات سایبری می‌توانند آسیب‌های فیزیکی ایجاد کنند د رحالیکه تا قبل از آن این گونه تهدیدات در سطح جهان مطرح نبود، و این امر ایران را وادار کرد تا سازمان‌هایی مانند سازمان فناوری اطلاعات (افتا) را برای تقویت دفاع سایبری تأسیس کند.
• حملات DDoS به سیستم‌های بانکی  در سال ۱۳۹۶:  در واکنش به استاکس‌نت، ایران حملات توزیع‌شده انکار سرویس (DDoS) علیه بانک‌های آمریکایی انجام داد، اما همزمان خود هدف حملات مشابهی بود. این حملات، که به گروه‌هایی مانند “ITEAM” نسبت داده شد، دسترسی به خدمات بانکی آنلاین در ایران را مختل کرد و اعتماد عمومی را تحت تأثیر قرار داد.
• حمله به جایگاه‌های سوخت در سالهای ۱۴۰۰ و۱۴۰۲:  هکرهای مرتبط با اسرائیل سیستم توزیع سوخت ایران را هدف قرار دادند. این حمله باعث اختلال در بیش از ۴,۳۰۰ جایگاه سوخت شد، صف‌های طولانی ایجاد کرد و خسارات اقتصادی قابل‌توجهی به همراه داشت. این حمله نشان‌دهنده آسیب‌پذیری زیرساخت‌های حیاتی ایران در برابر حملات سایبری بود. کنترل‌های سازمانی ISO 27002، مانند مدیریت روابط با تأمین‌کنندگان (۵.۱۹) و برنامه‌ریزی برای تداوم کسب‌وکار (۵.۲۹)، که در ادامه این کتاب به آنها پرداخته می شود، می‌توانستند به کاهش تأثیرات این حمله کمک کنند.
• حمله به شرکت فولاد مبارکه  در سال۱۴۰۱: گروه Predatory Sparrow (مرتبط با اسرائیل) مسئولیت حمله‌ای را بر عهده گرفت که سیستم‌های شرکت فولاد مبارکه اصفهان، فولاد هرمزگان و فولاد خوزستان را هدف قرار داد. این حمله منجر به توقف تولید در کارخانه مبارکه شد و حتی باعث آتش‌سوزی در تجهیزات شد. گروه ادعا کرد این حمله پاسخی به اقدامات ایران بود و از کنترل‌های صنعتی برای ایجاد آسیب فیزیکی استفاده کرد. این رویداد یکی از معدود حملات سایبری بود که آسیب فیزیکی (مانند ذوب فلزات) ایجاد کرد و تولید فولاد ایران را مختل کرد.
• حملات به پتروشیمی‌ها طی سالهای ۱۳۹۵ تاکنون: صنعت پتروشیمی ایران، که بخشی از اقتصاد مبتنی بر نفت است، همواره هدف حملات سایبری برای اختلال در تولید و صادرات بوده است. در ۱۳۹۵، ایران اعلام کرد بدافزارهایی را در دو مجتمع پتروشیمی کشف و حذف کرده است. این بدافزارها به آتش‌سوزی‌های مشکوک در پتروشیمی‌ها مرتبط نبودند، اما بخشی از حملات گسترده‌تر بودند. در ۱۳۹۸، یک حمله سایبری به پالایشگاه آبادان (که بخشی از زنجیره پتروشیمی است) گزارش شد، که ممکن است مرتبط با بدافزار TRISIS (استفاده‌شده در حمله به پتروشیمی عربستان در ۱۳۹۷) باشد. این حمله سیستم‌های ایمنی را هدف قرار داد و می‌توانست منجر به انفجار شود. در ۱۴۰۰، آتش‌سوزی‌های مشکوک در پتروشیمی‌ها (مانند پتروشیمی بوشهر) به حملات سایبری نسبت داده شد، و شورای عالی فضای مجازی ایران بررسی کرد که آیا این‌ها نتیجه حملات سایبری هستند. در سال ۱۴۰۳، گزارش‌ها نشان‌دهنده حملات به شرکت‌های پتروشیمی، آب، و ساختمانی ایران بودند.
• حملات مرتبط با درگیری‌های منطقه‌ای ۱۴۰۲ تا ۱۴۰۴: با تشدید درگیری‌های منطقه‌ای، به‌ویژه پس از جنگ اسرائیل-حماس، حملات سایبری به ایران شدت گرفت. در طی این سالها گزارش‌ها حکایت از رشد ۷۰۰درصدی حملات به شبکه برق، بیمارستان‌ها، و سیستم‌های دولتی افزایش یافت. این حملات نشان‌دهنده نیاز به کنترل‌های امنیتی قوی‌تر، مانند هوش تهدید (۵.۷) و پاسخ به حوادث (۵.۲۶) در ISO 27002برای پیش‌بینی و مدیریت چنین تهدیداتی است.

شبیه‌سازی سناریوهای بحران دارای مزایای متعددی است که به بهبود آمادگی سازمان کمک می‌کند که مهمترین آنها عبارتند از:
تقویت توانایی تصمیم‌گیری: کارکنان در شرایط واقعی‌تر قرار می‌گیرند و توانایی تصمیم‌گیری تحت فشار را تقویت می‌کنند.
افزایش همکاری: شبیه‌سازی‌ها باعث تقویت روحیه همکاری و کار تیمی بین اعضای سازمان می‌شود.
شناسایی نقاط ضعف: شبیه‌سازی‌ها به شناسایی نقاط ضعف در برنامه‌های احتیاطی و فرآیندها کمک می‌کنند و امکان بهبود آن‌ها را فراهم می‌سازند.
آمادگی بالا: سازمان‌ها با برگزاری مرتب این شبیه‌سازی‌ها می‌توانند به سطح بالاتری از آمادگی برای بحران‌ها دست یابند.

برنامه احتیاطی یا برنامه تداوم کسب‌وکار، یک راهکار جامع است که به سازمان‌ها کمک می‌کند تا در شرایط بحرانی به حفظ عملکرد خود ادامه دهند. این برنامه شامل مراحل مختلفی است که به شناسایی تهدیدات، تدوین استراتژی‌های پاسخ و آموزش کارکنان می‌پردازد. اولین قسمت از این برنامه تحلیل ریسک هست. تحلیل ریسک یکی از مراحل کلیدی در تدوین برنامه احتیاطی است که شامل شناسایی تهدیدات و ارزیابی تأثیرات آن‌ها بر روی عملیات سازمان می‌باشد. این اقدام شامل موارد ذیل است:

• شناسایی تهدیدات: باید شناسایی انواع تهدیداتی که ممکن است به سازمان آسیب برسانند، از جمله بلایای طبیعی (مانند زلزله یا سیل)، حملات سایبری، نقص‌های فنی و بحران‌های انسانی صورت گیرد. با استفاده از تکنیک‌های مختلف مانند تحلیل SWOT (نقاط قوت، ضعف، فرصت‌ها و تهدیدات) برای شناسایی نقاط ضعف و تهدیدات بالقوه این امر امکان پذیر است.
• ارزیابی تأثیرات: ارزیابی تأثیرات هر یک از تهدیدات شناسایی شده بر روی عملیات و خدمات سازمان باید صورت گیرد. این ارزیابی شامل بررسی هزینه‌های مالی، آسیب به اعتبار سازمان و اثرات بر روی مشتریان و ذینفعان است. در این فازتعیین اولویت‌ها بر اساس شدت و احتمال وقوع هر تهدید، به طوری که سازمان بتواند بر روی تهدیدات با بالاترین اولویت تمرکز کند، از اهمیت زیادی برخوردار می باشد.
• تهیه گزارش ریسک: تهیه گزارشی جامع از نتایج تحلیل ریسک که شامل جزئیات تهدیدات شناسایی شده، تأثیرات آن‌ها و توصیه‌هایی برای کاهش ریسک‌ها باشد. این گزارش می‌تواند به عنوان یک ابزار مفید برای تصمیم‌گیری‌های مدیریتی و تخصیص منابع استفاده شود.

یکی از مهمترین اقدامات تیم واکنش سریع، تدوین و اجرای نقشه راه اضطراری (Emergency Response Plan) هست. این نقشه یک ابزار کلیدی است که مراحل مختلف واکنش به بحران را تعیین می‌کند. این نقشه باید به‌طور دقیق و جامع تدوین شود و شامل مراحل ذیل باشد:

۱)مراحل پیشگیری و آمادگی: در این مرحله، سازمان باید اقداماتی را برای پیشگیری از وقوع بحران‌ها انجام دهد. این اقدامات شامل شناسایی نقاط ضعف و تهدیدات بالقوه و توسعه برنامه‌هایی برای کاهش ریسک‌ها می‌باشد. همچنین، آموزش کارکنان و برگزاری کارگاه‌های آموزشی به منظور افزایش آمادگی آن‌ها برای مواجهه با بحران‌ها بسیار مهم است.

۲)مراحل پاسخ به بحران: در صورت وقوع بحران، نقشه راه باید مراحل دقیقی را برای پاسخ به بحران مشخص کند. این نقشه راه شامل تعیین مسئولیت‌ها، نحوه ارتباط با ذی نفعان و رسانه‌ها و همچنین نحوه مدیریت منابع است. تیم واکنش سریع باید به سرعت و با دقت به این مراحل عمل کند تا از بروز خسارات بیشتر جلوگیری شود.

۳)مراحل بهبود و بازسازی: پس از پایان بحران، سازمان باید به ارزیابی عملکرد خود بپردازد و نقاط قوت و ضعف را شناسایی کند. این ارزیابی به سازمان کمک می‌کند تا در آینده بهتر عمل کند. همچنین، برنامه‌های بازسازی باید تدوین شوند تا سازمان بتواند به حالت عادی بازگردد و از بحران‌ها درس‌های لازم را بگیرد.

#Emergency_Response_Plan

#Crisis_Response_Team
#Crisis
#Crisis_Management

تیم واکنش سریع معمولاً شامل اعضای کلیدی از بخش‌های مختلف سازمان هست که توانایی تصمیم‌گیری سریع و مؤثر را دارند.در انتخاب اعضای تیم باید خیلی دقت کرد چرا که در شرایط بحران تاثیر زیادی بر موفقیت فایق آمدن بر وضعیت بحرانی دارد. اهم وظایف این تیم معمولا شامل موارد ذیل هستش:
·     شناسایی و ارزیابی بحران‌ها: اعضای تیم باید توانایی شناسایی بحران‌های بالقوه را داشته باشد و بتواند تأثیرات آن‌ها بر روی سازمان را ارزیابی کند. این توانایی شامل تجزیه و تحلیل داده‌ها، نظارت بر وضعیت و استفاده از تکنیک‌های پیش‌بینی است. واقعیت این است که شناسایی زودهنگام بحران‌ها به تیم اجازه می‌دهد تا اقدامات پیشگیرانه انجام دهد و از شدت بحران بکاهد.
·      تدوین استراتژی‌های پاسخ به بحران: تیم باید استراتژی‌های مختلفی برای پاسخ به بحران‌ها تدوین کند. این استراتژی‌ها شامل روش‌های ارتباطی، تخصیص منابع و تعیین اولویت‌ها می‌باشد. این استراتژی‌ها باید به‌گونه‌ای طراحی شوند که بتوانند به سرعت به وضعیت بحرانی پاسخ دهند و از آسیب‌های بیشتر جلوگیری کنند.
·      هماهنگی با سایر بخش‌ها و نهادهای مرتبط: تیم واکنش سریع باید با دیگر بخش‌های سازمان، از جمله منابع انسانی، مالی، ارتباطات و IT، هماهنگی لازم را داشته باشد. این هماهنگی به تیم کمک می‌کند تا در زمان بحران به‌طور مؤثرتری عمل کند. همچنین، برقراری ارتباط با نهادهای دولتی و سازمان‌های غیر دولتی می‌تواند در مدیریت بحران مؤثر باشد.
·      آموزش و تمرین: اعضای تیم باید به‌طور منظم آموزش ببینند و در تمرین‌های شبیه‌سازی بحران شرکت کنند. این تمرین‌ها به آن‌ها کمک می‌کند تا در شرایط واقعی بهتر عمل کنند. بعلاوه، آموزش‌های مستمر و به‌روز به اعضای تیم کمک می‌کند تا با جدیدترین روش‌ها و تکنیک‌ها آشنا شوند.
هر سازمان و شرکت بزرگ و بخصوص هلدینگ ها باید تیم واکنش سریع داشته باشند.

بحران(crisis) در سازمان به وضعیتی اطلاق می‌شود که تهدید فوری و جدی برای ادامه فعالیت‌های سازمان ایجاد می‌کند. این وضعیت معمولاً نیاز به تصمیم‌گیری سریع و اقدام فوری دارد. از ویژگی‌های بحران می توان به ناگهانی بودن ( بحران‌ها معمولاً به صورت غیرمنتظره و ناگهانی رخ می‌دهند)، اختلال در عملیات (می‌توانند منجر به اختلال در عملیات روزمره و کاهش اعتماد ذی نفعان شوند) ونیاز به مدیریت بحران( سازمان‌ها باید یک تیم مدیریت بحران داشته باشند تا بتوانند به سرعت واکنش نشان دهند.)اشاره نمود؛ اما فاجعه (Disaster)یک رویداد بزرگ و غیرقابل پیش‌بینی است که می‌تواند آسیب‌های جدی به سازمان وارد کند و به طور کلی بر جامعه و محیط زیست تأثیر بگذارد. ازویژگی‌های آن می توان به تأثیرات گسترده( فاجعه‌ها معمولاً تأثیرات وسیعی بر روی منابع انسانی و مالی سازمان دارند.)، نیاز به پاسخگویی فوری( سازمان‌ها باید به سرعت به فاجعه پاسخ دهند و برنامه‌های بازیابی را اجرا کنند)وآسیب به شهرت( می‌توانند به شهرت سازمان آسیب جدی وارد کنند و اعتماد عمومی را کاهش دهند.) اشاره نمود؛ اما چالش (Challenge)به موانع یا مشکلاتی اشاره دارند که نیاز به تفکر خلاق و استراتژیک دارند. از ویژگی‌های آن می توان به فرصت برای بهبود(چالش‌ها می‌توانند به سازمان‌ها کمک کنند تا فرآیندها و استراتژی‌های خود را بهبود بخشند)، توسعه مهارت‌ها(حل چالش‌ها می‌تواند منجر به توسعه مهارت‌ها و توانمندی‌های کارکنان شود.) ونیاز به نوآوری(سازمان‌ها باید به دنبال راه‌حل‌های نوآورانه برای غلبه بر چالش‌ها باشند)می توان اشاره نمود.
hashtag#Crisis
hashtag#CrisisManagement
hashtag#Challenge

 بحران چیه؟ شاید بتوان از جمله بهترین تعاریف برای بحران را به “یک رویداد غیرمنتظره که تهدیدی اساسی برای اهداف استراتژیک سازمان ایجاد می‌کند”  و یا “وضعیتی با زمان تصمیم‌گیری محدود، تهدید بالا و ماهیت غافلگیرکننده” اشاره نمود.
یک بحران را معمولا با چهار ویژگی آن می شناسند:
الف) عدم قطعیت:در شرایط بحران، سازمان‌ها با اطلاعات ناقص و عدم قطعیت در مورد وضعیت موجود و پیامدهای احتمالی مواجه می‌شوند. این عدم قطعیت دارای ابعادی دوگانه می باشد که عبارتند از “اطلاعات ناقص” که  فقدان آن می‌تواند منجر به اشتباهات استراتژیک شود و “پیامدهای غیرقابل پیش‌بینی” که می‌تواند به تشدید بحران منجر شود.
ب) فوریت:  بحران‌ها نیاز به اقدام فوری دارند تا خسارات کاهش یابد و وضعیت تحت کنترل درآید. همین موضوع فوریت خود در دو بعد مورد بررسی قرار می کیرد. یکی “اقدام فوری” است که طی آن  سازمان‌ها باید به سرعت تصمیم‌گیری کنند و اقداماتی را برای مدیریت بحران انجام دهند و دیگری “کاهش خسارت”است که هدف اصلی در این مرحله، کاهش خسارات مالی و انسانی و بازگرداندن سازمان به وضعیت عادی است.
ج) تهدید هسته‌ای: بحران‌ها معمولاً به‌عنوان تهدیدهایی برای حیات سازمان تعریف می‌شوند که می‌توانند در ابعاد مختلفی مانند مالی، انسانی و اعتباری تأثیر بگذارند. از بعد مالی این تهدیدات معمولا شامل کاهش درآمدها، افزایش هزینه‌ها و در نهایت آسیب به سودآوری سازمان می باشند. از بعد انسانی نیز شامل خطر برای جان و سلامت کارکنان، که می‌تواند به کاهش روحیه و بهره‌وری منجر شود نهایتا از بعد اعتباری نیز تهدیداتی مانند  آسیب به شهرت و اعتبار سازمان، که می‌تواند منجر به از دست دادن مشتریان و فرصت‌های تجاری شود، را در بر می گیرد.
د) نیاز به تصمیم‌گیری استراتژیک: تصمیم‌گیری استراتژیک در شرایط بحران به معنای انتخاب و اجرای گزینه‌های مؤثر برای مدیریت و پاسخ به بحران است. این فرآیند شامل ارزیابی وضعیت فعلی، تجزیه و تحلیل گزینه‌ها و انتخاب بهترین راه‌حل‌ها برای کاهش آسیب‌ها و بازگرداندن سازمان به وضعیت پایدار از طریق اجرای مناسب اقدامات و نظارت براجرای درست آنها می باشد.

شناخت بحران‌ها یک فرآیند کلیدی است که به سازمان‌ها و نهادها کمک می‌کند تا به طور مؤثری به چالش‌ها و خطرات پیش‌رو پاسخ دهند. اهمیت شناخت بحران از جنبه های ذیل قابل بررسی است:

الف)پیشگیری از بحران بوسیله شناسایی زودهنگام بحران از طریق نشانه‌های اولیه آن و انجام اقدامات پیشگیرانه و همچنین تحلیل ریسک با درک عوامل خطر برای تدوین استراتژی‌ های مناسب برای کاهش ریسک‌های شناسایی شده

ب)مدیریت مؤثر بحران با پاسخ سریع به عوامل ایجاد آن و تخصیص منابع لازم به درستی و با پرهیز از اتلاف منابع

ج) حفظ اعتبار و اعتماد با مدیریت ارتباطات با ذی نفعان و حفظ اعتماد آن‌ها

د) بازسازی اعتبار از دست رفته پس از بحران با شناخت درست از عوامل و پیامدهای آن

ک) یادگیری و بهبود مستمر ناشی از تحلیل تجربیات حاصل شده از بحران روی داده برای عملکرد بهتر در آینده و همچنین توسعه استراتژی‌های جدید برای مدیریت بحران‌های آینده

علاوه بر اهمیت شناخت بحران که به آن پرداخته شد، می توان از منظر هزینه های تحمیلی ناشی از بحران‌ نیز به موضوع پرداخت. یک بحرانهزینه‌های مالی سرسام آوری را که شامل خسارت به دارایی‌ها، کاهش درآمد، هزینه‌های اضافی برای مدیریت بحران و هزینه های پیشگیرانه برای جلوگیری از وقوع بحران‌های آینده را در بر بگیرد. از منظر هزینه‌های انسانی نیز بحران‌ها می‌توانند به کاهش روحیه کارکنان، افزایش استرس و حتی بروز آسیب‌های جسمی و روانی منجر شوند که تاثیر منفی زیادی بر حفظ سرمایه انسانی سازمان می گذارد. از سوی دیگر بحرانها هزینه‌های اعتباری زیادی را به اعتبار سازمان وارد نموده و می تواند به طور کامل اعتماد مشتریان و ذینفعان را کاهش دهد. بنابراین، مدیریت بحران می تواند به بازسازی اعتبار و اعتماد به سازمان کمک کند. همچنین بحرانها  بقای سازمان را هدف قرار می دهند و سازمان‌هایی که به مطالعه بحران‌ها می‌پردازند، می‌توانند استراتژی‌های موثری برای بقا و رشد در شرایط بحرانی تدوین نموده و خود را برای آینده آماده کنند تا برای بحران‌های آینده آماده‌تر باشند و توانایی واکنش سریع‌تر و مؤثرتری را پیدا کنند.

#CrisisManagent

#Crisis

#M.Sharifi