تخيل السيناريو التالي: تتعرض مؤسستك لهجوم سيبراني معقد، الأنظمة تتوقف، البيانات مهددة، الوقت يمر بسرعة، لكن رئيس أمن المعلومات (CISO) لديك غير متاح. لا هاتف. لا بريد إلكتروني. لا وجود فعلي أو افتراضي له. ببساطة، هو خارج الخدمة تماماً. هل سيستمر الفريق الأمني في العمل بسلاسة؟ هل سيتمكن من احتواء التهديد واتخاذ الإجراءات المناسبة؟ أم ستتوقف كل العمليات انتظاراً لتوجيه القائد؟ هذا السيناريو للخبير Steve Prentice، الذي يشاركه معكم روبودين، ، ليس مجرد تمرين ذهني، بل هو اختبار حقيقي لمدى استعدادك، كفريق أو كمنظمة، لمواجهة المجهول. والأساس في هذا الاختبار هو المرونة السيبرانية، وخاصة ما يتعلق بمفهوم متوسط وقت الاسترداد (MTTR).
القدرة على التعافي – ما هو الـ MTTR ؟
يعبر مقياس MTTR أو Mean Time to Recovery عن متوسط الوقت الذي تستغرقه المؤسسة للتعافي من حادث تقني أو اختراق أمني. لكن هذا الرقم وحده لا يكفي. ما يهم فعلاً هو القدرة الفعلية على الاستجابة السريعة والفعالة — حتى عندما لا يكون القائد موجوداً. إن غياب CISO في لحظة حرجة يسلط الضوء على سؤال جوهري: هل النظام مبني على شخص واحد؟ أم على فريق؟
بينما يعتقد الكثير من مسؤولي أمن المعلومات أنهم يجب أن يكونوا دائماً في قلب الحدث. وهذا مفهوم، خاصة لمن نشأوا من خلفية تقنية واعتادوا على “حل المشكلات” بأنفسهم. فإن القيادة الحقيقية لا تعني التدخل في كل صغيرة وكبيرة. بل تعني تمكين الفريق ليعمل بكفاءة، حتى في غيابك. لنتذكر أنه “في الجيش، يتم تدريب الفرق على مواصلة العمليات حتى في حال فقدان القائد. وهذا هو المعيار الحقيقي لنجاح برنامج الاستجابة للحوادث: أن يستمر العمل بكفاءة دون وجود القائد.” بعبارة أخرى، غياب CISO لا يجب أن يسبب الذعر، بل يجب أن يُظهر مدى نضج واستقلالية الفريق.
ورد تقرير حديث أعدته شركة Onyxia Cyber، أن متوسط الهدف الزمني للتعافي من الحوادث الأمنية هو 9 ساعات، لكن فقط 8% من المؤسسات استطاعت الوصول إلى 2–3 ساعات. والأدهى من ذلك، أن أكثر من ربع المؤسسات تستهدف أكثر من 10 ساعات. ما تعنيه هذه الأرقام هو أن سرعة التعافي لا تزال تحدياً كبيراً، وأن كثيراً من الفرق تعتمد اعتماداً مبالغاً فيه على إداراتها.
اختبار الخطط – رئيس أمن المعلومات
تعتمد العديد من المؤسسات على التمارين النظرية أو ما يُعرف بـ “Tabletop Exercises” لتقييم جاهزيتها. لكن هذه التمارين غالباً ما تكون مبنية على افتراضات مثالية. بينما المطلوب هو اختبار “السيناريو الأسوأ” وهو أن تختبر قدرتك على التعافي والانبعاث كالعنقاء، ستتفاجأ بعدد الأشياء التي تعتقد أنها موجودة لكنها في الحقيقة غير مفعلة.
إذا لم يكن بإمكان فريقك الاستجابة لحادث أمني دون وجودك – رئيس أمن المعلومات- ، فخطة العمليات السيبرانية لديك غير كافية. قد يعتقد البعض أن ما سبق هو مطلب مبالغ فيه، لكن في عالم الهجمات السيبرانية، كل دقيقة يمكن أن تكلف خسائر فادحة، سواء كانت مالية أو تشغيلية أو حتى على مستوى السمعة. لذلك، لا يجب أن يكون CISO هو نقطة النجاح الوحيدة. بل يجب أن يكون هناك قادة ميدانيون، مدربون، موثوقون، ولديهم الصلاحية لاتخاذ قرارات مصيرية فوراً. في الواقع، عند وقوع حادث كبير، لا وقت للتشاور. يجب أن تبدأ الاستجابة فوراً، حتى لو لم يكن القائد -رئيس أمن المعلومات- موجوداً.
التعافي ليس مجرد أدوات
لا يتعلق تحقيق سرعة في الاستجابة فقط بوجود أدوات فعالة، بل يحتاج إلى:
- وضوح في المهام والمسؤوليات
- تدريب دوري للفريق
- تجارب حقيقية تحاكي الواقع
- بيئة تشجع على اتخاذ القرار بثقة
فكر في الأسئلة التالية:
- هل يعرف فريقك ما يجب فعله عند وقوع الحادث؟
- هل يعرفون من يتخذ القرار؟ ومن يملك الصلاحية؟
- هل يمكنهم التصرف بسرعة، دون الرجوع إلى القائد؟
إذا كانت الإجابة لا، فقد حان الوقت لإعادة التفكير في استراتيجيتك. لذلك، اختبر الغياب قبل أن يُفرض عليك. تخيل أنك تجري اختبار غياب لمدة 48 ساعة: لا ترد على الرسائل. لا تتصل بالفريق. لا تُشارك في الاجتماعات. هل يستمر كل شيء بسلاسة؟ أم يتوقف كل شيء بانتظارك؟ إذا كان غيابك يربك الفريق، فأنت لم تبنِ بيئة مستقلة بعد. أما إذا عمل الفريق بكفاءة، فهذا هو النجاح الحقيقي.
كلمة أخيرة
علمتنا التجربة أن الأمن السيبراني ليس بطولة فردية. بل هو عمل جماعي، مبني على الثقة، التدريب، والتخطيط المحكم. فالقائد الفعّال لا يُقاس بمدى تدخله في الأزمات، بل بمدى جهوزية فريقه للعمل في غيابه. هل أنت مستعد للغياب؟ وهل فريقك مستعد للتحرك بدونك؟ إذا كانت الإجابة نعم — فأنت على الطريق الصحيح.
