إن كونك جزءاً من فريق الأمن السيبراني يعني أنه عندما تسير الأمور على ما يرام، لا أحد يعرف أنك المسؤول. ولكن عندما تسوء الأمور، يعرفك الجميع كشخص يتحمل اللوم. هناك ضغط مستمر عليك للبقاء يقظاً . يجب أن يكون لديك المعرفة والخبرة التي تغطي -كلياً أو جزئياً- مجموعة واسعة من المواضيع. ;الشبكات، الطب الشرعي الرقمي، الامتثال، أو اختبار الاختراق. وفي بعض الأحيان، يؤدي الإجهاد و الرغبة في التميز و الخوف من الفشل إلى أخطاء قد يكون منها الاستثمار في أدوات ومنتجات أمنية جديدة قبل تحقيق الاستفادة القصوى من المنتجات الموجودة أساساً لدى المؤسسة.
أتمتة أمن المعلومات
يمكن لفرق أمن المعلومات إنجاز الكثير من العمل الذي اعتادت القيام به بسرعة أكبر وبشكل أكثر اتساقاً من خلال الأتمتة. يتفق خبراء الأمن بالإجماع تقريباً على أن أي فرصة للأتمتة هي خطوة أولى لتحسين القدرة على تنفيذ برنامجهم الأمني. إذن، ما الذي يمكن أتمتته؟ قد تكون الإجابة، أي شيء روتيني. سمنح ذلك الموظفين الوقت للقيام بمهام أكثر أهمية. عندما يتم أتمتة 60% -مثلاً- من الأعمال التي تبدو روتينية، فسيصبح لدى المعنيين الوقت الكافي لإنجاز الـ 40% التي تتطلب رؤية وموهبة حقيقية. ستعمل الأتمتة على زيادة جودة العمل بشكل كبير. ويمكن بالتالي أن يتحول التركيز إلى النشاطات الأهم بالتوازي مع تقليل النفقات التشغيلية.
لكن بقدر ما قد ترغب فرق العمل في الأتمتة ، فإنها تحتاج إلى بعض المساعدة في تطوير العملية. يمكن أن تأتي هذه المساعدة عن طريق طرف ثالث لديه الخبرة كشركة خدمات الأمان المُدار (MSSP). يمكن لهذه الشركات المساعدة في أتمتة المهام الروتينية، وتحسين جودة التنبيهات، وتقليل الإيجابيات الخاطئة، وتنفيذ استخبارات التهديد الفعّالة للبحث بشكل استباقي عن التهديدات ووضع التنبيهات في سياقها، وتبسيط عمليات الاستجابة للحوادث عبر التدريب و توثيق العمل.
فريق الأمن السيبراني – قياس الفعالية
بغياب معايير واضحة للقياس، قد يبدو كل شيء وردياً ولكنه ليس كذلك في الحقيقة. لذا، من المهم أن توظف الموارد بطريقة يمكن قياس نتائجها. تزيد صعوبة هذا الأمر في عمليات الأمن السيبراني التي تتضمن العديد من أدوات الكشف والتحليل التي تقدم الكثير من المعلومات على مدار الساعة. ستكون هناك حاجة لخفض حجم المعلومات الواردة والتعامل بتحفظ أكبر مع البيانات الواردة غير الخاضعة لرقابة أو تدقيق مسبق. من المحتمل أن هذه البيانات تتضمن أشياء ليست ذات صلة بسياق العمل. قد يؤدي ذلك إلى إهمال معطيات هامة ويضعف استجابة فرق الأمن للحوادث الأمنية الحقيقية. لذلك، فالمطلوب تركيز الجهود على البيانات الأكثر أهمية، والتي تتطلب سبراً أعمق وتصنيفاً دقيقاً.
لنفترض كمثال عملي، أن مسؤول الأمن السيبراني في شركة صغيرة يتلقى 1000 تنبيه يومياً. لكن بائع لأنظمة الأمن أدعى أن منتجاً معيناً يقلل من التنبيهات الخاطئة بنسبة 80 بالمائة. وبالتالي فإن هذا الفريق لا يزال يتلقى 200 تنبيه يومياً.لذلك، فالحل الأفضل ليس الغرق في محاولات تقليل ضوضاء التنبيه وإنما بذل الجهد لتحسين جودة المعلومات التي يتم تلقيها من مسؤولي الأمن. يمكن أن يشمل ذلك تعديل الإجراءات للبحث عن الأشياء التي تحدث فعلاً، وليس عن الأشياء التي ربما حدثت. على سبيل المثال، حظر عناوين الـ IP للمناطق الجغرافية التي لا يتطلب عملك استقبال أي طلبات منها أو التواصل معها، سيكون أفضل مع مراجعة السجلات كل مرة و البحث عن تلك المناطق واستبعاد العناوين (IP address) المرتبطة بها.وكذلك فالمطلوب استخدام الذكاء الاصطناعي للمساعدة في مراجعة السجلات وتقليل الإيجابيات الزائفة (False positive).
الرصاصة الفضية
يأتي جزء كبير من مشاكل الأمن السيبراني من مغالطة أن شيئاً (منتجاًُ) جديداً سيصلح مشكلاتك. يميل الناس إلى طلب تقنية حلول تقنية أحدث عوضاً عن بذل الجهد في ضبط الأدوات الموجودة أساساً لتحقيق الاستفادة القصوى من ميزاتها.
كذلك، يحدث أحياناً في الشركات أن يكون هناك تكرار في المنتجات والخدمات التي يتم شراؤها، كأن تشتري الشركة منتجاً يقوم بشيء مشابه لمنتج تم شراؤه بالفعل. قد يكون سبب ذلك التكرار هو ضعف عملية إدارة المشتريات على مستوى مؤسساتي بالتوازي مع ضغوط البائعين الذين يريدون أن نصدق أن هناك منتجاً أو خدمة واحدة يمكنها معالجة كل المشاكل الأمنية. المطلوب فعلاً هو الاستثمار في المنتجات التي تلبي احتياجات محددة بدلاً من شراء منتجات توفر طيف أوسع من الخدمات ولكن بجودة أقل. سوق الأمن السيبراني مليء بالتنافس الذي قد يمتد إلى تضليل العملاء عبر دفعهم للاستثمار في منتجات تتجاوز حدود احتياجاتهم. لكن الحل العملي هو التركيز على الدفاعات السيبرانية التي يمكن تنفيذها بشكل شامل ومستدام.
فريق الأمن السيبراني – كلمة أخيرة
بسبب تزايد الحوادث السيبرانية عالمياً فإن هناك توجه لدى بعض مسؤولي الأمن السيبراني لجعل أنظمة الكشف لديهم بشكل أكثر تحفظاً كمؤشر لرغبتهم بالإمساك بكل شيء مما سيؤدي إلى استنزاف الموارد المالية دون داعٍ، ويزيد تكلفة التخزين و جهد الاستعلامات على SIEM. في الواقع، ليس من الضروري دائماً الضغط على فريق الأمن لتحقيق أقصى قدر من الفعالية. لكن من المفيد منحهم التحدي والفرصة للنمو الوظيفي عبر بناء بيئة عمل تستقطب المواهب السيبرانية وتحافظ عليها. إن أحد المبادئ الأساسية لبناء برنامج أمني هو التركيز على الأساسيات. إذا كانت الأساسيات كافية لرؤيةالصورة الكاملة، فإن برنامجك سيكون على المسار الصحيح. تتضمن تلك الأساسيات الاستفادة القصوى من المنتجات، الأتمتة و الاستثمار في المعرفة.
