تستثمر المنظمات في أنظمة إدارة أمن المعلومات (ISMS). تتضمن هذه الاستثمارات تكلفة الأعمال إضافة لنفقات الإيفاء بمتطلبات التنظيم والامتثال والاعتماد. ومع ذلك ، تقوم معظم المؤسسات بتطبيق ISMS استناداً إلى إطار عمل ISO مثلاً مما يراكم سياسات ووثائق قياسية قد تبدو غير عملية في بعض الأحيان.
كما قد تحمل تلك الوثائق قراءات و تأويلات مختلفة مما يقلل من فائدتها ضمن إطار عمل الـ ISO و يجعل عملية المراجعة بأكملها مستهلكة للوقت ومكلفة ومرهقة. كما نرى، فإن تحول الأمن السيبراني من موضوع تشغيلي بسيط إلى أحد المتطلبات الأساسية لعمل أي مؤسسة قد فرض ضرورة تحويل تكاليف شهادة الـ ISO إلى استثمار حقيقي أكثر توافقاًَ مع احتياجات العمل. لذلك يشارك معكم روبودين هذه المقالة التي تتضمن أفكاراً و رؤية لمرحلة ما بعد حصول المؤسسات على شهادة الـ ISMS.
تهديدات أمن المعلومات
تسعى المؤسسات عبر أنظمة إدارة أمن المعلومات لحوكمة إجراءاتها لمعالجة مخاطر أمن المعلومات المؤثرة على أعمالها. وبالتالي فإن الخطوة الأولى لذلك هي إدراك هذه المخاطر و يشمل ذلك فهمها للتأثيرات و التهديدات المحيطة بها. و نستعرض فيما يلي بعض أهم تهديدات أمن المعلومات:
- التهديدات المرتبطة بصلاحيات الوصول التي يمكن فيها لمستخدم غير جدير بالثقة يتمتع بامتيازات معينة الوصول إلى مزيد من الامتيازات للوصول إلى الموارد والتحكم بها.
- استغلال الثغرات في البرامج حيث يمكن أن يسمح ذلك للمهاجم بتنفيذ تعليمات برمجية للحصول على استخدام آني للامتيازات.
- تأثير الحوادث والأخطاء غير المقصودة التي يقع بها المستخدمونو التي يمكن أن تسبب مشاكل دون تدخل من مهاجم خارجي.
- الهجمات من الداخل – التي يقوم فيها مستخدم شرعي بتنفيذ إجراءات ضارة بشكل مقصود.
- سرقة الأجهزة الخاصة بالمؤسسة مما يمكن المهاجم من استغلال سماحيات الوصول الممنوحة لها.
- الغرامات و العقوبات الناتجة عن فشل المؤسسة في الامتثال للوائح ، والإرشادات وأفضل الممارسات ، وما إلى ذلك.
أنظمة إدارة أمن المعلومات – أكثر من مجرد شهادة
يعد عرض شهادات الأمان التي حزت عليها على موقع الويب الخاص بك مدعاة للفخر. لكن هذه الشهادات تصبح بلا معنى إذا لم ينعكس أثرها فعلاً على واقع شركتك. تحتاج الشركات إلى تقييم ما إذا كانت تحصل على قيمة حقيقية من الشهادات الأمنية بصدق أو ما إذا كانت هذه الشهادات تُستخدم فقط لطمأنة العملاء وزيادة المبيعات.
يفترض بشهادات الأمان أن تساعد المؤسسات على التخفيف من التهديدات الحقيقية ، وإلا فلن يكون لها قيمة على أرض الواقع. لذلك ، يعد التحقق من تنفيذ شهادة مثل ISO27000 أمراً حيوياً.
لا تنحصر مسؤولية أمن الشركة بفريق تكنولوجيا المعلومات أو الأمن السيبراني. من المفترض أن هذه الفرق لديها وعي و مسؤولية تجاه البنية التحتية للمؤسسة. كما أنها تؤدي وظائفها بشكل جيد ، لكن أيضاً على الفرق الأخرى القيام بوظائفها.
نلاحظ أن أكثر من 80٪ من انتهاكات الأمن السيبراني سببها أشخاص . يجعل ذلك المنظمات عرضة للهجوم. في الحقيقية، يجب أن يكون كل فرد في المنظمة مسؤولاً عن الأمن. قد يعني ذلك تغيير الثقافة الرائجة ، نعم يجب إجراء ذلك التغيير.
أهمية التدريب الأمني
تحتاج المنظمات أيضاً إلى اتباع نهج أكثر دقة في التدريب الأمني. نعرض فيما يلي حددنا أربعة أنواع من الموظفين وفق تفاعلهم مع المخاطر:
- المنفتحون على المخاطرة ولكنهم عادةً ما يقيّمون هذا الخطر أولاً.
- الأشخاص الذين يفضلون اتباع الإرشادات التفصيلية المتعلقة بأمن تكنولوجيا المعلومات. هم حذرون بطبعهم لكنهم قد يقعون ضحية لمحاولات التصيد الأكثر إبداعاً، مثل التصيد الاحتيالي.
- صانعو المخاطر – يميل هؤلاء الموظفون إلى أن يكونوا أكثر إبداعاً وابتكاراً ولكنهم لا يتقيدون فعلاً بالقواعد الموضوعة لحمايتهم.
- الناس الذين يميلون إلى التعلم من خلال تجاربهم الخاصة. إنهم فضوليون وموجهون ذاتياً ولكنهم لن يخاطروا إلا إذا كان تقييمهم للمخاطر أنها منخفضة جداً.
من المهم أن يراعي تدريب أمن المعلومات خصوصية كل نموذج من نماذج الموظفين المدرجة أعلاه. وكذلك تفاعلهم تجاه المخاطر عند تدريبهم. على سبيل المثال ، من المرجح أن تؤدي مجموعة القواعد المفصلة بشكل مفرط لنفور الشخص الذي لا يحب التوجيهات. في حين أن نفس قائمة القواعد قد تمنح الموظفين الآخرين إحساساً زائفاً بالأمان.
الاستعداد لمواجهة التهديدات الجديدة والناشئة
من المهم إضفاء الطابع الشخصي على التدريب الأمني. و لكن المنظمات التي ترغب في البقاء على إطلاع على التهديدات الأمنية ستضمن تحديث محتوى برامجها التدريبية بانتظام. تتطور الهجمات الإلكترونية باستمرار ، وكذلك نقاط الضعف – من الأجهزة المتصلة IoT، إلى الثغرات التي نتجت عن زيادة العمل عن بعد.
كما يبحث مجرمو الإنترنت دائماً عن طرق للتلاعب بالموظفين من خلال الهندسة الاجتماعية. يشمل ضحاياهم كل مستويات الموظفين من كبار المديرين التنفيذيين حتى الموظفين المبتدئين. كما تواجه المنظمات أيضاً عدداً متزايداً من الهجمات المنفذة آلياً و العابرة للجغرافيا. تتطلب مواجهة هذه الهجمات التعاطي بذكاء و كفاءة مع نواقل التهديدات الداخلية والخارجية للتخفيف من حدتها. و من سبل التعاطي الذكي تنفيذ تمارين على صد محاولات التصيد الاحتيالي الآلية. وكذلك استخدام خبراء مركز عمليات الأمن SOC لمراجعة معلومات التهديدات الخارجية وربطها بنقاط الضعف التي تعاني منها المنظمة بالفعل. تحتاج الشركات أيضاً إلى تطوير اختبارات وتمارين جديدة للبحث عن التهديدات والعمل على النتائج ضمن عملية مستمرة لا تعرف الملل.
الاستثمار في أنظمة إدارة أمن المعلومات
نظراً لأن المزيد من المؤسسات تستثمر في أنظمة معلومات الأمن وإدارة الأحداث (SIEM) ، فإنها تدرك أن الأدوات المضمنة في هذه الأنظمة الأساسية ليست بالضرورة مصممة وفقاً لاحتياجاتها. غالباً ما تستغرق الفرق الحالية وقتاً طويلاً يصل حتى ستة أشهر في المتوسط لتخصيص تلك المنصات بالشكل و المواصفات التي تناسب المؤسسة.
كما أن أفضل طريقة للمؤسسات لتحقيق النجاح عندما يتعلق الأمر بالحماية من التهديدات هو تحديد الأولويات والتحلي بالمرونة. يضاف لذلك استثمارها في تحسين الأنظمة الأساسية التي تستخدمها. على سبيل المثال ، أثناء تنفيذ نظام SIEM الأساسي ، استثمر في تحديث وأتمتة وتعليم النظام لاكتشاف التهديدات الحقيقية وتقليل الضوضاء false positive . ,واستخدم كذلك نتائج اختبار الاختراق السابقة ، و تقارير مسح الثغرات الأمنية ،لتحديد أولويات تنفيذ حالات الاستخدام use cases.
يمكن أيضاً للمؤسسات تحسين الفعالية والكفاءة والعائد على الاستثمار ROI في الأمن السيبراني من خلال العمل مع شريك ينفذ التعلم الآلي والذكاء الاصطناعي والحلول الرقمية الأخرى التي تساعد على تحسين الأمان العام للأعمال.
