الأمن السيبراني كخطر أعمال – دليل موجز لأصحاب القرار

رغم الاستثمارات، لا تزال العديد من الشركات عرضة للخطر لأنها لا ترى الأمن السيبراني كخطر أعمال، ناهيك عن تطور أساليب المتسللين و قصور فهم الشركات للمخاطر.

101 مشاهدة
6 دقائق
الأمن السيبراني كخطر أعمال
الأمن السيبراني كخطر أعمال

أصبحت الاختراقات السيبرانية تهديداً متزايد التكلفة والانتشار للمؤسسات حول العالم. فبعد هجوم WannaCry الذي كلف 8 مليارات دولار، واختراق Marriott الذي أدى لتسرب بيانات 500 مليون نزيل، تتضح الحاجة الملحة لإدارة فعالة للمخاطر السيبرانية. ورغم الاستثمارات الهائلة، لا تزال العديد من الشركات عرضة للخطر لأنها لا ترى الأمن السيبراني كخطر أعمال، بالإضافة لتطور أساليب المتسللين و قصور فهم الشركات لـمخاطرها السيبرانية ، وتركيزها المحدود على نقاط الضعف التكنولوجية فقط.

لماذا تفشل الإدارة التقنية للمخاطر السيبرانية؟

في الماضي، كانت مسؤولية الأمن السيبراني تقع بالكامل على عاتق أقسام تكنولوجيا المعلومات. ورغم أهمية دورهم، فإن هذا النهج أظهر قصوراً كبيراً نتيجة لما يلي:

  • الفجوة بين التقنية والأعمال: غالباً ما تتسم مناقشات التهديدات السيبرانية بالمصطلحات التقنية المعقدة، مما يصعب على كبار المديرين التنفيذيين ومجالس الإدارة مهمة فهم المخاطر الحقيقية وتأثيرها على استمرارية الأعمال.
  • الخلل في تحديد الأولويات: يؤدي التركيز على الجانب التقني إلى تعقيد وتضارب في مهام تخفيف المخاطر، حيث تعاني الشركات من محدودية في الموارد تؤثر على قدرتها على معالجة التهديد السيبراني المحتمل، مما يترك يُضعف القدرة على مواجهة التهديدات الحرجة.
  • حماية جزئية: عدم إطلاع الإدارة العليا بشكل كافٍ على النطاق الحقيقي لـلمخاطر السيبرانية، قد يترك المؤسسة عرضة لتهديدات أبعد وأعمق من نقاط الضعف التقنية في الأنظمة .

يعيق هذ المنظور المحدود الفهم الشامل لكيفية تأثير الهجمات السيبرانية على وظائف الأعمال الأساسية، مما يؤدي إلى استراتيجيات انفعالية بدلاً من استراتيجيات وقائية استباقية.

الأمن السيبراني كخطر أعمال – مخاطر تجارية

يكمن الحل للمشاكل ،التي عرضناها سابقاً، في تحويل الأمن السيبراني إلى جزء لا يتجزأ من إدارة المخاطر التجارية الشاملة. بدلاً من السؤال عن إمكانيات الهجوم على الأنظمة، يجب أن يسأل قادة الأعمال : “كيف يمكن أن يؤثر هجوم سيبراني على سلسلة التوريد لدينا؟ هل سيكشف أسرارنا التجارية؟ هل سيعرقل الوفاء بـالتزاماتنا التعاقدية؟”

هذا التغيير في التفكير يعيد توجيه استراتيجية الأمن السيبراني بأكملها.فالمخاطر السيبرانية هي في الحقيقة مخاطر تجارية، ودور الرئيس التنفيذي -مثلاً- هو إدارة المخاطر التجارية. يضع هذا التحول مسؤولية مجلس الإدارة وكبار المديرين التنفيذيين في صلب الأمن السيبراني، مما يضمن اتساق جهود فرق الأمن مع أهداف العمل الأساسية والتهديدات الأكثر أهمية.

الأمن السيبراني كخطر أعمال -سرد القصص

لسد الفجوة بين التفاصيل التقنية والأعمال هناك أداة قوية وهي سرد القصص حول الأمن السيبراني (Cybersecurity storytelling). يساعد ذلك في تنظيم وتبادل المعلومات حول التهديدات السيبرانية المحتملة، ويبني فهماً مشتركاً عبر الأقسام، ويبني توافقاً حول إدارة المخاطر. تحدد هذه الأداة (Cybersecurity storytelling) أربعة مكونات أساسية لأي هجوم سيبراني محتمل:

1. النشاط التجاري الأهم والمخاطر المرتبطة به: يجب تحديد الأنشطة التجارية الأكثر أهمية وكيف يمكن أن يؤدي تعطيلها إلى ضرر كبير للشركة. يتطلب ذلك مدخلات من الإدارة التنفيذية، واستعراض بيانات تحمل المخاطر، والأهداف الاستراتيجية.

2. الأنظمة الداعمة والتحكم بها: للحماية الفعالة، يجب جرد جميع الأنظمة الحاسوبية والخدمات التي تدعم الأنشطة التجارية الهامة. بالأساس فإن موظفي العمليات هم الأقدر على تحديد البرامج المستخدمة وعواقب أعطالها ثم يقوم خبراء تكنولوجيا المعلومات والهندسة بتقديم الصورة التقنية الشاملة. بينما تساعد الأدوات الآلية في الجرد، فإن ربط الأنظمة مباشرة بـالأنشطة التجارية الهامة يضمن تحديد الأولويات الصحيح في إصلاح نقاط الضعف وتعزيز الحماية.

3. أنواع الهجمات السيبرانية المحتملة وعواقبها: يتضمن ذلك تحديد طرق الهجوم الممكنة التي قد تعطل نشاط أعمال هام، مع تفصيل المتطلبات اللازمة لنجاح الهجوم وتحديد العواقب المحتملة. ومن الضروري هنا فهم آليات الهجوم حيث تتراوح الهجمات من البرمجيات الخبيثة المتطورة (مثل WannaCry) إلى إساءة استخدام امتيازات الموظفين. يجب تحديد متطلبات الهجوم، الأدوات (مثل أدوات القرصنة)، والموقع (مثل التواجد الفعلي أو امتلاك صفة موظف). وبعدها يجب على الإدارة، بالتعاون مع فرق العمليات والمتخصصين (القانونيين والماليين)، تقدير التداعيات. فـهجمات برامج الفدية على المستشفيات -مثلاً- يمكن أن تؤدي إلى إلغاء مواعيد المرضى، بينما تسببت هجمات مثل NotPetya في خسائر بمئات الملايين لشركات عالمية كبرى.

4. الخصوم السيبرانيون ودوافعهم: تحديد “من يريد إلحاق الضرر بك” أمر أساسي لتقييم احتمالية الهجوم وتطوير الضوابط. يمكن أن يكون الخصوم متنوعين يتم فهمهم وفق ما يلي:

  • تصنيف المهاجمين: يشملون دولًا، ومنظمات إجرامية، ومنافسين، وموظفين ساخطين، وإرهابيين، أو جماعات نشاط. لا تقلل أبداً من تعقيد الهجمات، فـأدوات القرصنة المتقدمة متاحة على نطاق واسع.
  • تحليل الدوافع: يجب على قادة الأعمال وموظفي العمليات تحديد الدوافع المحتملة للمهاجمين، مثل سرقة الأسرار التجارية أو البيانات المالية للعملاء.
  • السياق الأوسع: قد يأتي التهديد من منافسين عبر طرف ثالث، أو حتى من عملاء ساخطين. وبالتالي، يجب النظر إلى السياق التجاري والسياسي الأوسع.

الأمن السيبراني: مسؤولية مجلس الإدارة العليا

نظراً لواجبهم الوظيفي ودورهم في الرؤية الاستراتيجية طويلة المدى، يتحمل مجالس الإدارة مسؤولية كبيرة في الإشراف على تحديد المخاطر السيبرانية. من خلال طرح الأسئلة الصحيحة حول التهديدات واعتبار الأمن السيبراني كخطر أعمال ، يمكن للمديرين تحسين تركيز المؤسسة على المخاطر الجوهرية كما يلي:

  • التأكد من تحديد وتوثيق الأنشطة التجارية الجوهرية والمخاطر المرتبطة بها.
  • ضمان وجود قوائم محدثة للأنظمة الداعمة وعمليات تحديثها.
  • التواصل مع قادة الأعمال لاستيضاح فهمهم لأنواع الهجمات، وتأثيرها المحتمل، ودوافع الخصوم.
  • الحصول على تحديثات منتظمة حول وضع المخاطر السيبرانية لكل نشاط هام.

كلمة أخيرة

إن تحديد المخاطر السيبرانية ليس عملية تتم لمرة واحدة بل هي عملية مستمرة تتطور مع تغير الأنشطة التجارية والأنظمة التقنية. يجب على الشركات اعتبار الأمن السيبراني كخطر أعمال ودمج تقييم المخاطر السيبرانية في عمليات إدارة التغيير الخاصة بها. من خلال معرفة نقاط الضعف السيبرانية الأكثر أهمية تتمكن المؤسسات من تحديد أولويات الهجمات المحتملة، وتنفيذ ضوابط أمنية فعالة، وإنشاء خطط معالجة قوية.

شارك المقال
اضف تعليق

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *