نهج عملي لإدارة المخاطر والمرونة الإلكترونية

يبدأ الأمن السيبراني بالقدرة على التعرف على المخاطر السيبرنية االتي تتعرض لها. سوف نستكشف سوية العديد من الموضوعات المتعلقة باتباع نهج عملي لإدارة المخاطر وتحقيق المرونة الإلكترونية.

أصبحت الجرائم الإلكترونية متكررة ومعقدة ومكلفة بشكل متزايد ، مما يشكل خطراً على جميع الشركات بغض النظر عن الحجم. كيف تخطط للرد عند الوقوع ضحية اختراق بيانات؟ هل تعرف بمن تتصل ، وكيف تتفاعل ، أو ماذا تخبر موظفيك ، وعملائك ، ووسائل الإعلام؟ هل يمكن لمؤسستك استيعاب التأثير المالي المحتمل والسمعة لدعوى قضائية؟

لا يمكن أن تكون الإجابة ، “نحن نخزن كل شيء في السحابة الحاسوبية، لذا فنحن جيدون.” من يتحمل المخاطرة؟ هل يمكن أن تبقى صورة علامتك التجارية على قيد الحياة؟ ما هو المقبول ، وكيف تعرف أن خطتك الحالية ستكون كافية؟ ما الذي يمكن أن تفعله شركتك أكثر لفهم وإدارة المخاطر بشكل أفضل؟ هذه الأسئلة كلها في قمة اهتماماتنا وتحتاج إلى معالجتها من منظور الأعمال الشامل. تلخص هذه المعلومات الخطوات الأساسية وتقدم اقتراحات لفهم المخاطر وإدارتها والاستجابة لها.

أبعد من التكنولوجيا ، ركز على المخاطر والصمود

قد يكون من السهل شراء تقنيات الأمان والاعتقاد بأنك قللت من المخاطر التي يتعرض لها عملك. لسوء الحظ ، لا يشكل الاستثمار التكنولوجي ضماناً للحماية من أحدث التهديدات. من الأهمية بمكان اتباع نهج يأخذ المخاطر بعين الاعتبار ، مما يعني أنه يجب على القادة تحديد عناصر محددة من المخاطر الإلكترونية والتركيز عليها لتقليل مخاطر المؤسسة. لكن،على وجه التحديد ، يجب فهم المكونات العديدة للمخاطر الإلكترونية وإعطاؤها الأولوية ضمن جهود الأمن السيبراني للمؤسسات. تهدف المؤسسات بشكل متزايد إلى التحول من الأمن السيبراني إلى المرونة الإلكترونية ، ويمكن أن تساعد التوصيات التالية في صياغة هذا المسار:

• افهم التهديدات
• قياس الأثر المالي المحتمل للتعرضات السيبرانية مقارنة بمستوى تقبل المخاطر في الشركة ؛
• و إدارة المخاطر الإلكترونية بشكل استباقي من خلال خطط عمل واضحة تستند إلى حجم هذه المخاطروقدرات المؤسسة على الحماية من الجرائم الإلكترونية

النهج القائم على المخاطر Risk-based approach

تتطلب المرونة السيبرانية اتباع نهج عمل يأخذ المخاطر بعين الاعتبار Risk-based approach ، وتحقيق شيئين حاسمين في وقت واحد.

1. النظر للحد من المخاطر باعتباره الهدف الأساسي ، مما يمكّن المنظمة من تحديد أولويات الاستثمار ، بما في ذلك حل المشكلات المتعلقة بالتنفيذ استنادًا إلى فعالية البرنامج السيبراني في الحد من المخاطر.
2. يقوم البرنامج بتحويل أهداف الإدارة العليا للحد من المخاطر إلى برامج تنفيذ عملية تحت إشراف كبار المديرين التنفيذيين و دعمهم.

باتباع النهج القائم على المخاطر ، لن تقوم الشركة بعد الآن بتشتيت جهودها لحماية كل شيء في وقت واحد. لكنها بدلاً من ذلك ، ستبدأ التركيز على بناء الضوابط المناسبة لمعالجة أسوأ نقاط الضعف للتغلب على التهديدات الأكثر جدية التي تستهدف المناطق الأكثر أهمية للأعمال. وبالتالي ، فإن نهج الأمن السيبراني القائم على المخاطر هو في نهاية المطاف أداة تفاعلية وديناميكية لدعم اتخاذ القرار الاستراتيجي.

كما يركز هذا النهج على قيمة الأعمال ، واستخدام لغة مشتركة بين الأطراف المهتمة ، و تغطية مخاطر المؤسسة بشكل مباشر بالضوابط المناسبة. يتم تعزيز قوة النهج القائم على المخاطر من خلال مرونته واتساقه مع مستوى المخاطر المسموح به في المؤسسة.

يدرك النهج القائم على المخاطر أنه لا توجد حلول أمنية مثالية. ومع ذلك ، فإن أولئك الذين يوازنون بشكل استراتيجي بين الأمان وقابلية التوسع والوصول وسهولة الاستخدام والتكلفة يمكن أن يوفروا في نهاية المطاف أفضل حماية طويلة الأجل ضد خصم متطور.

المرونة الإلكترونية- حدد أهم خمسة مخاطر لمعالجتها كأولوية

• هل يمكنك وصف تأثير الخسارة الفعلي الناتج عن المخاطر الخمسة الأولى لديك على الأعمال؟
• كيف تتماشى تأثيرات المخاطر السيبرانية مع مُعدل المُخاطرة الذي تتبناه؟
• هل تقوم بالإبلاغ عن المخاطر الإلكترونية؟
• هل فكرت في الطريقة التي تخطط بها للتعامل مع المخاطر الحالية والناشئة ومعالجة هذه المخاطر بشكل مستمر؟

لنتذكر القول الشائع : “إذا تمكنا من قياسه ، فيمكننا إدارته” “if we can measure it, we can manage it.”. ندرك أهمية الحوكمة والمخاطر والامتثال في مجال الأمن. لكن التركيز على الامتثال هو ما يحرك معظم المؤسسات ، وكان الإنفاق مدفوعاً في المقام الأول بالامتثال. أثناء التخطيط لميزانية الأمن السيبراني لعام 2023 ، من الأهمية بمكان اتباع نهج استراتيجي من خلال فهم أطر إدارة المخاطر الإلكترونية. لنستعير من John Lewis عبارة: “إن لم يكن نحن فمن؟ إن لم يكن الآن فمتى؟

موازنة المخاطر مقابل المكاسب

من المهم دائماً موازنة المخاطر مقابل المكاسب من خلال اتخاذ قرارات مستنيرة لإدارة المخاطر تتماشى مع أهداف مؤسستك – بما في ذلك أهداف عملك. هذه العملية تتطلب منك:

• تعيين مسؤوليات كل دور وظيفي في إدارة المخاطر
• تحديد قابلية تحمل المخاطر في مؤسستك
• اعتماد منهجية معيارية لتقييم المخاطر والاستجابة لمستويات المخاطر
• مراقبة المخاطر بشكل مستمر

فهم أطر إدارة المخاطر الإلكترونية

تقدم أطر إدارة المخاطر السيبرانية منهجية موحدة وموثقة جيدًا من أجل:

• إجراء تقييمات للمخاطر لتقييم أولويات العمل وتحديد الثغرات في ضوابط الأمن السيبراني
• إجراء تحليل المخاطر على الثغرات الرقابية الموجودة
• تحديد أولويات الاستثمار في الأمن السيبراني في المستقبل بناءً على تحليل المخاطر
• تنفيذ هذه الاستراتيجيات من خلال تنفيذ مجموعة من الضوابط الأمنية وأفضل الممارسات
• قياس وتسجيل مستوى نضج برنامج الأمن السيبراني بشكل دائم

ما هو تقييم المخاطر؟

وفقاً لـ NIST فإن تقييم المخاطر السيبرانية هو تقييم للمخاطر يُستخدم لتحديد وتقدير وترتيب أولويات المخاطر الناتجة عن تشغيل واستخدام أنظمة المعلومات على عمليات المنظمة و أصولها وموظفيها والمنظمات الأخرى . الغرض الأساسي من تقييم المخاطر الإلكترونية هو إبقاء أصحاب المصلحة على اطلاع ودعم الاستجابة المناسبة للمخاطر المحددة. كما أنها توفر ملخصاً هاماً لمساعدة المديرين التنفيذيين والمديرين على اتخاذ قرارات بشأن الأمان.

نهج مخصص لتوفير المرونة الإلكترونية

على الرغم من أهميتها الواضحة ، تختار العديد من المنظمات عدم إجراء تقييمات للمخاطر الإلكترونية بسبب تخوفها من تعقيدات هذا الأمر. بدلاً من ذلك ، يطبق الكثيرون ضوابط أمنية قياسية استجابةً للمخاطر التي يقرؤونها أو يسمعون عنها. يؤدي هذا عادةً إلى تعرض الشركات لبرنامج أمان غير متوازن يركز على الأولويات الخاطئة.

على الرغم من أن معايير وأطرعمل تقييم المخاطر السيبرانية الضخمة تبدو مذهلة ، إلا أنها مفيدة كمبادئ توجيهية لتشكيل نقطة انطلاق بسيطة. يمكن للمنظمات إنشاء نهج عملي ، يعتمد على بنيتها وثقافتها وملف تعريف المخاطر. على سبيل المثال ، يتضمن NIST 800-30 نماذج بسيطة لتقييم المخاطر. هناك أربع خطوات عامة متسقة متضمنة في أي تقييم للمخاطر ، بغض النظرعن الإطار المعتمد: الإعداد والتقييم والاتصال والصيانة.

تعتبرالأنشطة التالية محورية لإدارة المخاطر والمرونة الإلكترونية:

جرد الأصول

أولاً ، يجب أن نفهم ما نقوم بحمايته. ما لم تكن تعرف أصول تكنولوجيا المعلومات الخاصة بك ومدى أهمية كل منها لمؤسستك ، فإن اتخاذ قرارات إستراتيجية بشأن أمن تكنولوجيا المعلومات والاستجابة للحوادث يكاد يكون مستحيلاً. لا يمكنك حماية ما لا تعرفه لديك. ربما يبدو ذلك بديهياً، ولكن إذا لم يكن لديك الأدوات الكافية لإدارة سجل الأصول المعلوماتية الموجودة لديك وتحديثه باستمرار ، فإنك تخاطر بعدم معرفة ما هو متصل بشبكتك.

تعد القدرة على تتبع الأصول المعلوماتية ومراجعتها من المتطلبات الأساسية لمعظم معايير الأمان. وإذا رغبت بإجراء تقييم موثق للمخاطر، فستحتاج أولاً لفهم التهديدات ونقاط الضعف والأصول المعلوماتية.

سياسة أمن المعلومات

من المهم أن توثق ما نفذته في بيئة تكنولوجيا المعلومات لديك. خذ السياسات المطبقة ، ثم اكتبها في وثيقة. وعند مقارنتها بمعيارأمن المعلومات الذي تعتمده مؤسستك فإنه إذا كان ما نفذته لا يفي بالمعيار، فيمكن تعديله و تطويره ليتسق معه.

لكي تكون سياسة أمن المعلومات فعالة ، يجب أن:

• تركز على أهداف واستراتيجية العمل
• تغطي عمليات الأمان الشاملة عبر المؤسسة
• تتضمن التحديثات والمراقبة المستمرة
• تعزز القدرة على المساءلة عند الحاجة

إعطاء الأولوية لمعالجة الثغرات الأمنية

لن تتمكن الشركات من إصلاح جميع نقاط الضعف لأسباب مختلفة. و منها على سبيل المثال ، محدودية الموارد أو وجود إصلاحات غير ممكن تطبيقها. لذلك ، يصبح تمييز نقاط الضعف الحرجة من غير الحرجة أمراً ضرورياً . يجب أن تكون فرق أمن المعلومات قادرة على تحديد الحدود واتخاذ قرارات عملية لإدارة الثغرات الأمنية بشكل فعال. في هذا الصدد ، يجب على الشركات استخدام مصادر معلومات داخلية وخارجية لتحديد نقاط الضعف الأكثر أولوية. يجب أن يرتبط ذلك بالمصادر الداخلية ، مثل تأثير كل ثغرة على الأعمال، والموقف الأمني ​​، وسجلات المخاطر ، وأنظمة إدارة التغيير ، وبيانات Pentest.

زادت المخاطر المرتبطة بنظام إدارة التصحيحات patch management بشكل كبير خلال السنوات الثلاث الماضية. إن ظهورعدد من نقاط الضعف الحرجة في أنظمة التشغيل والتطبيقات وأجهزة الشبكة الخاصة بنا في الأشهرالماضية يؤكد أن إدارة التصحيحات ستستمر في الضغط على المؤسسات بسبب الحجم الهائل للأنظمة وعدد التصحيحات المطلوبة كل شهر.

يمكن أن تقلل حلول إدارة التصحيح المؤتمتة الجهد المطلوب بذله في إنجاز ما نحتاجه في هذا السياق لضمان عدم انقطاع الخدمات الهامة.

نحو المرونة الإلكترونية- خطة الاستجابة للحوادث

يجب أن تحدد خطة الاستجابة للحوادث الأفراد المسؤولين عن اقيادة الاستجابة لأي حادث يتعلق بأمن البيانات. يجب أن تحدد شخصاً واحداً (أو مجموعة من الأشخاص ، مثل فريق الاستجابة للحوادث الأمنية) يكون مسؤولاً عن قيادة الاستجابة إضافة للأدوار والمسؤوليات المحددة بوضوح لجميع أعضاء فريق الاستجابة الآخرين. بمجرد صياغة الخطة ، يمكن للتدريبات على الطاولة Tabletop Exercise أن تبلور الأدوار الخاصة بأعضاء الفريق ، وأن تصقل المهارات اللازمة لمواجهة الحدث الأمني، وتسهل العمل الجماعي لمواجهته و احتوائه.

تأكد من إنشاء نسخ احتياطية وخطط استرداد بعد الكوارث يتم اختبارها وتحديثها بانتظام. قد يكون ذلك طوق النجاة الوحيد المتبقي لك عند الإصابة بهجمات برامج الفدية.

لنتذكر أن الهدف من إدارة الحوادث هو تحديد أي شيء غير متوقع والاستجابة له. قد تكون هذه الأحداث تقنية – هجمات على الشبكة مثل رفض الخدمة (DoS) أو البرامج الضارة أو قرصنة النظام على سبيل المثال. أو قد تكون ناتجة عن حادث أو خطأ أو فشل في النظام أو العمليات. اليوم ، تعد خطة الاستجابة القوية للحوادث أكثر أهمية من أي وقت مضى. يتراوح تأثير الحدث الأمني بين مجرد الإزعاج وكارثة كاملة لمنظمتك و يعتمد ذلك أساساً على قدرتك على اكتشاف وتقييم الحدث وتحديد مصدره وأسبابه والحصول على حلول متاحة بسهولة.

التأمين السيبراني

يعد نقل جزء من المخاطر أمراً بالغ الأهمية لأي استراتيجية مخاطر للأمن السيبراني. مع تطور مشهد التهديدات ، أصبح الحصول على تأمين جديد وتجديد بوالص التأمين الحالية أمراً صعباً بشكل متزايد نتيجة الارتفاع في هجمات برامج الفدية وما يتبع ذلك من مطالبات مالية يجب أن تثبت المنظمات العناية الواجبة في بيئة اليوم من خلال تنفيذ الضوابط والخطط و الاجراءات المناسبة للضوابط الأمنية بما يتناسب مع المخاطر. تشمل الضوابط الرئيسة و لاتقتصر على ما يلي: EDR ، تصفية البريد الإلكتروني، أمن الويب، وجود نسخ احتياطية مؤمنة ومشفرة ومختبرة، الثغرات الأمنية وإدارة التصحيح، امتيازات إدارة الوصول والتحكم في الوصول، البنية التحتية، التجزئة و المراقبة المستمرة و اختبار الاختراق و تخطيط واختبار الاستجابة للحوادث و تدريب توعية الموظف على الحماية من التصيد الاحتيالي والهندسة الاجتماعية.

أصبح من المتعارف عليه أن التأمين السيبراني هو إجراء شائع لتخفيف مخاطر الإنترنت. على الرغم من أن التأمين يعد خياراً مربحاً لتغطية مخاطر الإنترنت ، يجب على الشركات أن تفهم أن أقساط التأمين تتناسب بشكل مباشر مع استعدادها للأمن السيبراني. تحتاج المؤسسات إلى مراجعة عقود التأمين لتأكيد وجود تغطية محددة لبرامج الفدية. علماً أن العديد من شركات التأمين لا تضمن مثل هذه التغطية في عقودها بشكل افتراضي.

من المهم دائماً اتخاذ الخطوات اللازمة للوقاية والكشف والاستجابة. مع كون التأمين هو الخطوة الأخيرة لتقليل المخاطر الإجمالية إلى مستوى مقبول. يمكن للتأمين السيبراني أن يكمل التدابير الأمنية للمؤسسة من خلال توفير التغطية التأمينية. ومع ذلك ، لا يمكن أن يوفر لك التأمين الإلكتروني تغطية لمخاطر سمعة علامتك التجارية.

المرونة الإلكترونية-مراجعة لما سبق

من المستحيل القضاء على المخاطر السيبرانية. فالموارد محدودة ، و نطاق المخاطر يتغير باستمرار ، و الوصول أو حتى الاقتراب من الأمان يبدو أمراً بعيد المنال.

نعلم أن المستوى الحالي من ضوابط الأمان والخصوصية التي تقلل بشكل فعال من المخاطر السيبرانية إلى مستوى مقبول اليوم ستصبح حتماً غير كافية في المستقبل – حتى في وقت أقرب مما قد يالكتوقعه كثيرون. من البديهي أن الأنواع المختلفة من المخاطر تتطلب استراتيجيات دفاعية مختلفة. و بشكل أكثر تحديداً ، فالتدابير الدفاعية يجب أن تكون متناسبة من حيث التكلفة مع الضرر المحتمل الذي قد ينتج فيما لو حدث ذلك الانتهاك أو خرق البيانات. النقطة الأساسية هي تحقيق التوازن بين المخاطر والمكاسب. يزداد الاعتراف بدور إدارة المخاطربشكل عام و استراتيجية الأمن السيبراني بشكل خاص كإحدى ركائزتوفير الامتثال و كمساهمين في تحقيق الاستقرار المالي للمؤسسة. قد يكون تحديد أفضل التدابير الأمنية أمراً صعباً لأن لكل مؤسسة أهدافاً ومتطلبات مختلفة وقدرة مختلفة لتحمل المخاطر. تحتاج جميع المؤسسات إلى تقييم ما لديها اليوم ، ومراجعة المكان الذي تريد أن تكون فيه في المستقبل ، وبناء خارطة طريق لمساعدتها على تقليل المخاطر مع المحافظة على توسع أعمالها.