المساءلة في الأمن السيبراني – دليل موجز

في عالم الأعمال، تتلاقى التكنولوجيا، الاستراتيجية والامتثال.ومع تزايد المخاطر برزت أهمية المساءلة في كل صناعة ومنها الأمن السيبراني، لتحدد المسؤوليات بشكل واضح.

76 مشاهدة
6 دقائق
المساءلة في الأمن السيبراني
المساءلة في الأمن السيبراني

في عالم الأمن السيبراني، تتلاقى التكنولوجيا والاستراتيجية والامتثال وتتزايد المخاطر وتتداخل ولذلك برزت أهمية تحديد المسؤوليات بشكل واضح، في وقت يواجه رؤساء أمن المعلومات (CISO) تزايداً في المساءلة من كل من الجهات التنظيمية وأعضاء مجلس الإدارة على حد سواء، مع تزايد المسؤولية الشخصية عن حالات عدم الامتثال أو خروقات البيانات.

يتطلب النمط المعاصر مع عمل رؤساء أمن المعلومات العمل عن كثب مع أقسام مثل الشؤون القانونية والامتثال وتكنولوجيا المعلومات. ويجب عليهم ضمان أن تكون استراتيجية الأمن السيبراني للمؤسسة متوافقة ليس فقط مع اللوائح التنظيمية المتغيرة، بل أن تدعم أيضاً أهداف العمل الأوسع. ولتحقيق ذلك، يجب عليهم الموازنة بين الممارسات التشغيلية والمتطلبات التنظيمية مع حماية المؤسسة من التهديدات الخارجية ونقاط الضعف الداخلية.

المساءلة في الأمن السيبراني – ما المشكلة؟

عندما تقتصر مسؤولية الأمن على مدير أمن المعلومات فقط، يتباطأ التقدم لأن العمل لا يكون في أيدي الأشخاص الأقرب إلى الأنظمة والبرمجيات والبيانات والموردين. تتداخل المسؤوليات، وتتراكم المهام و تتكرر و تتداخل. وتظهر مؤشرات هذا التقصير في بعض المؤشرات ومنها:

  • تتراكم طلبات الدعم الفني لعدم وضوح المسؤوليات.
  • يزداد عدد الأدوات المستخدمة بينما تتلاشى الأولويات.
  • يطلب المدققون أدلة مبعثرة عبر أنظمة متعددة.
  • تتأخر عمليات إطلاق المنتجات بسبب التأخير في اكتشاف ثغرات تتطلب إصلاحاً.
  • يتم قبول مخاطر الجهات الخارجية دون فهم كامل للسياق.
  • المشكلة ليست نقص في الأدوات، بل ضعفاً المسؤولية وعدم انتظام سير العمل.

تبطئ هذه الأنماط العمل وتزيد من المخاطر لأن القواعد والأدوار غير واضحة. مثلاً، قد تؤدي مشكلة واحدة إلى إنشاء ثلاث تذاكر (tickets) في ثلاث أنظمة مختلفة دون تحديد مسؤول واضح. تتجادل الفرق حول مستوى الخطورة بدلاً من معالجة الثغرات الأكثر قابلية للاستغلال أولاً. يتم إعادة بناء الأدلة لعمليات التدقيق بدلاً من جمعها أثناء سير العمل. تتنقل مشكلات الموردين بين أقسام المشتريات والشؤون القانونية والأمن دون اتفاقية مستوى خدمة محددة، لذلك لا يتم إنجاز أي شيء حتى يقوم أحدهم بتصعيد المشكلة.

المساءلة في الأمن السيبراني – مبادئ أساسية

تعني الملكية المشتركة للأمن السيبراني أن الشركة تتحمل مسؤولية مخاطرها، وأن فريق الأمن يدعمها. يقوم رئيس أمن المعلومات بوضع المعايير، وكتابة قواعد إدارة المخاطر، وتسهيل المراجعة الأسبوعية، وصيانة نظام السجلات. ويقع على عاتق مالكي الأعمال مسؤولية معالجة المخاطر أو قبولها في نطاق عملهم. ويتضمن ذلك ما يلي:

  • ملكية الخدمات والأصول. ربط جميع المخاطر بالمنتجات أو الخدمات أو مجموعات البيانات أو الموردين أو الضوابط. يوجد مالك محدد لكل عنصر خارج نطاق فريق الأمن.
  • العمل المرتكز على المنتج. تنظيم مهام الأمن حول المنتجات والخدمات، وليس فقط حول الأدوات. يتوافق هذا مع كيفية تخطيط دورات العمل والميزانيات.
  • نتائج قابلة للقياس. تتبع وقت الإبلاغ عن المشكلة، ووقت معالجتها، ومعدلات التحقق، وفترة بقاء المشكلة دون حل. عرض هذه البيانات حسب الفريق والمنتج.
  • توثيق العمل. توثيق الأدلة ضمن سير العمل المعتاد. تجنب إضافة أي وثائق لاحقاً.
  • تسليم المهام بوضوح. تحديد متى يسلم فريق الأمن المهام إلى المالكين ومتى يعيدها المالكين بعد الإصلاحات أوتوضيح مسببات الاستثناءات.
  • المنظور المالي. تطبيق المحاسبة في الأمن السيبراني لربط المخاطر وتكلفة المعالجة ومعدل التشغيل وعائد الاستثمار.

خريطة المسؤوليات

لتعزيز المساءلة، استخدم خريطة موجزة وواضحة لتحديد المسؤوليات كما يلي:

  • المنتجات: مسؤولية تصميم آمن وجاهزية الإصدار. الالتزام باتفاقيات مستوى الخدمة الخاصة بالأخطاء حسب درجة خطورتها. إصلاح الثغرات الأمنية المكشوفة والمعرضة للاستغلال.
  • تكنولوجيا المعلومات والحوسبة السحابية: مسؤولية وضع المعايير الأساسية للنسخ الاحتياطي، والبنية التحتية، الشبكات، وإعدادات الهوية. تنفيذ خطط إدارة التغيير والاستعادة. الحفاظ على آليات الحماية فعّالة لمنع الانحراف عن المعايير.
  • مالكو البيانات: تصنيف البيانات، وتفويض الوصول إليها، وتحديد سياسات الاحتفاظ بالبيانات، والتحقق من إدارة مفاتيح البيانات في الخدمات التي تعمل عليها.
  • المشتريات والشؤون القانونية: بدء تقييمات الموردين، وإدراج شروط البيانات، وتحديث اتفاقيات معالجة البيانات باستمرار. تتبع اتفاقيات مستوى الخدمة الخاصة بمعالجة مشكلات الموردين حسب الفئة.
  • الإدارة المالية وإدارة المشاريع: مواءمة الميزانيات مع أعمال إدارة المخاطر. تخصيص موارد لمعالجة المشكلات. تتبع تكلفة التأخير.
  • فريق الأمن السيبراني: كتابة قواعد المخاطر، وربط الإشارات، والتحقق من المخاطر الحقيقية، وإجراء المراجعة الأسبوعية، وتشغيل نظام السجلات.

نموذج RACI للأنشطة الرئيسة

  • جرد الأصول والخدمات. المسؤول (Responsible) : قسم تكنولوجيا المعلومات أو المنصة. المساءل (Accountable): مالك المنتج. المستشار (Consulted) : قسم الأمن. المطلع (Informed): قسم المالية.
  • تحديد الأولويات. المسؤول: قسم الأمن. المساءل: مدير أمن المعلومات (CISO). المستشار: أقسام المنتجات وتكنولوجيا المعلومات والشؤون القانونية.
  • المعالجة. المسؤول: مالك المنتج أو قسم تكنولوجيا المعلومات. المساءل: مدير المالك. المستشار: قسم الأمن.
  • التحقق وإعادة الاختبار. المسؤول: قسم الأمن أو شريك اختبار الاختراق. المساءل: مدير أمن المعلومات (CISO). المستشار: قسم المنتجات.
  • تتبع مخاطر الموردين. المسؤول: قسم المشتريات. المساءل: مدير الموردين. المستشار: الأمن والشؤون القانونية.
  • ضوابط الحماية. المسؤول: المنصة. المساءل: رئيس المنصة. المستشار: قسم الأمن.
  • دورة حياة تطوير البرمجيات (SDLC). المسؤول: فريق المنتج. المساءل: مدير التطبيقات. المستشار: قسم الأمن.
  • تقارير الإدارة. المسؤول: مدير أمن المعلومات (CISO). المساءل: الرئيس التنفيذي. المستشار: المالية، مكتب إدارة المشاريع (PMO)، والمنتجات.

كلمة أخيرة

عبر مشاركة ملكية الأمن السيبراني يمكن لشركتك إدارته بثقة أكبر. يحدد مدير أمن المعلومات (CISO) الإيقاع و يضع القواعد، ويتولى أصحاب الأعمال مسؤولية خدماتهم، يتحقق من النتائج، مما يجعل عمليات التدقيق أبسط. كما ترتبط الميزانيات بالنتائج. إذا طبقت الشركات هذا النموذج، ستتمكن من تقليل المهام المتراكمة، وتقصر وقت معالجة المشكلات عالية التأثير، وتتبع التقدم باستخدام مؤشرات واضحة يمكن للإدارة العليا الوثوق بها.

شارك المقال