للأسف، مازال البعض ينظر لأمن المعلومات على أنها ترف تتطلبه الحوكمة. أو أنها ملعقة سكر يمكن إضافتها في أي وقت لتقليل المرار و تحسين مذاق القهوة . نقصد بالمرار هنا، التعرض لأي حدث أمني يعرض المؤسسة للخطر. لايمكن للسكر أن يحدث فرقاً إذا كان البن محمصاً بطريقة خاطئة. يقولون: لا يصلح العطار ما أفسده الدهر. العطار هو أمن المعلومات، و الدهر هو تراكم أخطاء المؤسسة و عدم تضمينها لأمن المعلومات في كل مفاصل عملها. إضافة أمن المعلومات لاحقاً لا توفر حماية حقيقية و لكنها تزيد تعقيد الأمور عبر ما يمكن تسميته “وهم الحماية”. فكرة وهم الحماية تشبه كثيراً وهم المعرفة الذي تحدث عنها ستيفن هوكينج، إنها أسوأ من الجهل ذاته.
لحسن الحظ، فإن الصورة القاتمة المذكورة أعلاه ليست طاغية. هناك من يؤمن بأن حسن الحظ و الارتجال ليسا أفضل طريقة لبناء الأعمال. تدرك منظمات الأعمال أنها بحاجة للتخطيط الدقيق وفهم عميق لمتطلبات الأمن لتصبح أكثر فعالية و قدرة على مواجهة المخاطر، هنا بالضبط يأتي دور الاستراتيجية.
مع تطوير تلك المنظمات لاستراتيجيتها في مجال الأمن السيبراني ، سيتم الانتباه للأمن منذ البداية. وهذا من شأنه أن يجعل برنامجها الأمني أكثر قوة وفعالية، وهو برنامج يكمل بالفعل الأعمال التجارية وأهدافها البعيدة المدى.
لماذا تعتبر الإستراتيجية مهمة؟
إنها ليست ملعقة سكر، و إنما طريقة فعالة لتحميص البن. الاستراتيجية هي إجابات لسؤالين: أين تقف المؤسسة اليوم وأين تريد أن تذهب. وهذا يتضمن معرفة صناعتك ، والأنظمة ، والأعمال التجارية نفسها. بمجرد التعرف على حالتك الحالية سيكون لديك صورة أوضح لما هي المخاطر التي تواجهها وما هي أولوياتك بهذا الخصوص. كما شرحنا سابقاً، ينبغي استخدام أمن المعلومات كأداة لدعم وتحسين العمليات التجارية.
وتبرز الخطوات الواردة أدناه هذه النقطة ، وتساعد في فهم كيفية وتوقيت استخدامها:
اختيار الإطار
تقييم المخاطر
تحليل أثر الأعمال التجارية
اختيار الإطار
وفقاً لـ AlienVault Blogs ينبغي أن يكون اختيار الإطار أحد الخطوات الأولى المتخذة عند وضع استراتيجية أمن المعلومات. وسيحدد الإطار الاحتياجات التي يتعين على المنظمة تلبيتها ، وما يلزم لتلبيتها ، بل وسيحدد كيفية معالجة المعلومات التي تم جمعها . توفر الأطر مستويات متفاوتة من الضوابط تبعاً لما تختاره. وفي حين أن كل منها يختلف من حيث الأسلوب والتركيز ، فإن المكونات الأساسية تظل متسقة إلى حد ما.
وهناك العديد من الأطر المتاحة ، ولا يوجد “جواب صحيح وحيد” حول أفضلها. على سبيل المثال: هناك ISO 27001 ، و (COBIT) التي تم وضعها اعتماداً على أفضل الخبرات و الممارسات. كما يؤثر مجال تخصص المؤسسة في اختيار الإطار. فعلى سبيل المثال ، إذا كان جزءاً كبيراً من مجال عمل المؤسسة مرتبطاً بالمدفوعات عبر بطاقات الائتمان، فإن استخدام إطار PCI لن يكون مجرد خيار لديك للإيفاء باحتياجاتك الأمنية و لكنه سيكون فعلاً ملزماً لك لتمتثل لمتطلبات الجهات الرقابية بهذا الخصوص. من المهم دائماً اختيار الإطار الذي يناسب متطلباتك واحتياجاتك.
إضافة لما سبق، فإن مستوى نضج المؤسسة يلعب دوراً في اختيار الإطار. إذا كنت تبحث لبدء برنامج الأمن السيبراني من الصفر سيكون من الأفضل البدء مع ISO 27001 حيث أن ISO لديها متطلبات أكثر صرامة.
تقييم المخاطر
وحالما يتم اختيار إطار عمل ما ، ينبغي إجراء تقييم عام للمخاطر. إن تقييم المخاطر يشكل في الأساس مقارنة بين الحالة المرغوبة (الإطار) والحالة الراهنة. ويمكن أن تتخذ المخاطر أشكالا متنوعة وتستهدف مجالات متنوعة داخل المؤسسة. وفي هذه الحالة ، ينبغي أن ينصب تركيز التقييم على النظم والعمليات ذات الأهمية الحيوية للأعمال التجارية ، إلى جانب أي عناصر إضافية قد يشملها الإطار المعين.
وينبغي تكرار هذه التقييمات طوال فترة تنفيذ الإطار للتأكد من إحراز تقدم مناسب وأنه لم تحدث أي تأثيرات سلبية على الأعمال التجارية أو النظم أو العمليات.
تحليل أثر الأعمال التجارية
وفي حين أن تحليل أثر الأعمال التجارية مشابه لتقييم المخاطر ، فإنه يستهدف إدارات محددة أو مجموعات تجارية معينة تشكل جوانب تحقيق الربح في المنظمة. إن تحليل تأثير الأعمال التجارية يساعد في منع انقطاع الأعمال وفقدانها ، و كذلك في الحد من الأضرار الناجمة عن تلك الانقطاعات إن حدثت.
بناء استراتيجية
وبمجرد اكتمال الخطوات المذكورة أعلاه ، تكون لدى المؤسسة المعلومات اللازمة لوضع استراتيجية مرتبطة بالمتطلبات والمقاييس الرئيسية القابلة للمتابعة. وتتلخص الخطوة الأولى في وضع المعلومات التي تم جمعها من تقييمات المخاطر وتأثير الأعمال التجارية و أي فجوات تم تحديدها في سجل يسمى سجل المخاطر. يتم ترتيبها من حيث شدتها وتكلفتها وإمكانية استغلالها. سيسمح ذلك بوضع خطة محددة الأهداف توفر نتائج موضوعية مع ضمان استخدام الموارد بطريقة منطقية ومرتبطة بالأولويات. حيث يمكن تتبع التقدم المحرز وتقييمه ، مما يسمح للمؤسسة بالبقاء على المسار الصحيح . ويمكن أيضا تتبع أي مخاطر لا يمكن علاجها ، أو لا يمكن علاجها في الوقت الراهن ، إلى أن يتسنى إكمالها.
إن إنشاء برنامج أمني أو إنضاجه أمر خطير يتطلب تخطيطاً دقيقاً ، واستثمارا ، والتزاماً بالتنفيذ المناسب. و نأمل أن تساعدكم الخطوات المبينة أعلاه في تحقيق ذلك الهدف. الأن يمكنكم أن تضيفوا ملعقة سكر لقهوتكم الصباحية.
