في عالم اليوم الذي يضع التحول الرقمي في المقام الأول، لا يقتصر دور مسؤول أمن المعلومات (CISO) على الأمور التقنية فحسب، بل يشمل أيضاً إدارة المخاطر، التوعية الأمنية والمرونة. يشارك معكم روبودين هذه المقالة التي تلخص بودكاست من CISO Series حول مواءمة استراتيجية الأمن مع الأعمال.
بناء برنامج أمن المعلومات
في بعض الأحيان، تكون أفضل طريقة للحصول على القبول هي التحدث بلغة الأعمال. لفرض عملية التحقق من صحة الكود، استحضر مثالاً عن فحوصات الجودة على خط تجميع السيارات. لا أحد يريد تسليم منتجات معيبة. ولتبرير DevOps و CI/CD يمكننا القول أنها تساعدنا على إصلاح الأخطاء بشكل أسرع. في الوقت الذي يبحث فيه الجميع عن المرونة، فالأمن يصبح ضرورة.
اكتشف ما يهم الأعمال. اجعل ذلك أولويتك. حدد منهج لذلك. إن قادة أمن المعلومات الذين يعملون على مواءمة استراتيجية الأمن مع الأعمال، سواء كان ذلك تحسين نتائج المرضى في الرعاية الصحية أو ضمان تسليم المنتجات في التجارة الإلكترونية — هم أكثر عرضة لكسب دعم الإدارة التنفيذية وإحداث تغيير ملموس. فالأمن هو وظيفة تجارية، وليس قسماً منعزلاً. ولنأخذ مثالاً على ذلك. مؤسسة طبية تستخدم Windows Defender وتسجيل دخول مشترك للوصول إلى البيانات الصحية الحساسة للمرضى. إذن، كيف تبدأ في بناء برنامج أمن معلومات ناجح، من الصفر؟
مواءمة استراتيجية الأمن مع الأعمال – كيف تبدأ؟
- تجنب أساليب التخويف. الحديث عن غرامات HIPAA، ذلك قد يبدو كتهديد.
- استخدم سيناريوهات واقعية. افصل نظاماً مهماً عن الشبكة، واسأل، ”هل يمكنك العمل الأن؟“
- أشرك المديرين التنفيذيين . اطلب نصيحتهم حول كيفية منح زخم مناسب لتوصيات أمن المعلومات.
- استعن بـ MSP مختص بمنتجات Microsoft لإجراء تقييم لتخفيف لمخاطر أو وضع خطة استعداد لمواجهة الحوادث الأمنية.
بالمحصلة، أظهر كيف يؤدي الضعف في إجراءات أمن المعلومات إلى تعطيل العمليات، وليس فقط إلى مشاكل في الامتثال.
إدارة الأزمات في الأمن السيبراني
لا تبدأ إدارة الأزمات الناجحة أثناء الأزمة. إنها تبدأ قبل ذلك بكثير. وبالتالي فإن قائمة التحقق للاستجابة للأزمات يجب أن تتضمن:
- ما الذي نعرفه مقابل ما لا نعرفه؟
- هل يعمل الأشخاص المناسبون على القضايا المناسبة؟
- هل يتواصل هؤلاء الأشخاص بشكل فعال؟
أعرف “تكلفة الحدث الأمني“. يمكنك تحمل مشاكل أصغر (مثل التأخير في التحديثات) إذا كان ذلك يساعد في احتواء خرق أكبر. فقط لا تخلق أزمة ثانية أثناء حل الأزمة الأولى. ومن المهم في هذا السياق التدريب على محاكاة خروقات البيانات للمستوى التنفيذي سنوياً بالتوازي مع إجراء محاكاة للفرق الفنية بشكل ربع سنوي.
الثقة الصفرية – أهمية المصادقة
نتيجة تحليل الكثير من الحوادث الأمنية تعلمنا أن الـأثير السلبي للمصادقة الضعيفة على الثقة الصفرية أسوأ من تأثير ضعف تجزئة الشبكة. فإذا لم تكن لديك إدارة للهوية (ID) فلن تكون لديك ثقة صفرية. نعم، التجزئةالدقيقة للشبكة تساعد، خاصة بالنسبة للأنظمة القديمة. لكن الهوية هي الأساس. بدون ضوابط وصول قوية وتحقق من المستخدم، لن تنقذك التجزئة.
تقييم الأصول
تركز النماذج التقليدية على تقييم الأنظمة والبيانات كأصول ثابتة. لكنها تغفل أن تقييم الأصول هو ناتج لنمذجة المخاطر — وليس مدخلاً لها. لذلك، لنبين أهمية تقييم الأصول على الأعمال. لنبدأ بالنتائج غير المقبولة.
- في الرعاية الصحية: وفاة مريض بسبب انقطاع الخدمة.
- في المعامل: توقف خط إنتاج.
ثم اعمل بشكل عكسي لاكتشاف الأصول التي تسمح بهذه الخسائر أو تمنعها. تظهر هذه الطريقة العكسية التبعيات الخفية وتمنح نماذج المخاطر أهمية في العالم الواقعي. ستجد أن تحسين الأمن يؤدي إلى تحسين الأعمال بأكملها. فلا يقتصر الأمن السيبراني على الدفاع فحسب. غالباً ما يكشف عن أوجه القصور ويحقق وفورات في التكاليف. حيث تؤدي الرؤى المستندة إلى الأمن إلى تحسين الضوابط الداخلية والعمليات والعلاقة مع الموردينكما نرى في الأمثلة التالية:
- في Akamai: أدى إيقاف تشغيل شبكة غير مستخدمة إلى تقليل مساحة الهجوم وتكاليف التشغيل.
- في مجال الرعاية الصحية: كشف محاولات التصيد الاحتيالي عن عيوب في إدارة الفواتير وعمليات الدفع للموردين.
كلمة أخيرة
احصل على الإجماع لدعم خططك الأمنية عبر تسويقها كجزء من خطة العمل وليست بديلاً لها، وأبدأ إدارة المخاطر انطلاقاً من تلك النقطة. ولتحقيق مواءمة استراتيجية الأمن مع الأعمال فإن رئيس أمن المعلومات (CISO) يقود بالتأثير التشغيلي للأمن ، وليس بالخوف والسيطرة. من صياغة الأمن من منظور الأعمال إلى اتخاذ قرارات جريئة في الأزمات، فإن أكثر CISOs فعالية هم الذين يتعاونون ويتواصلون ويتوافقون استراتيجياً مع مهمة المؤسسة.
