إذا سبق لك أن شاهدت إحدى مباريات مصارعة السومو، فقد رأيت الاصطدام الذي حدث مراراً بين مصارعين ضخمين للغاية يحاول كل منهما دفع الآخر خارج الحلبة. إنها مباراة تنتهي دائماً بفائز كبير يشعر بالفخر و خاسر تصيبه الخيبة و الخجل. لسوء الحظ، يمكن أن تكون إدارة برنامج أمن المعلومات في المؤسسات شبيهة بمباريات السومو في كثير من الأحيان وبطرق متعددة.
من حيث المبدأ، فإن قادة أمن المعلومات (CISO) أو مدراء أمن المعلومات مسؤولين عن بناء وتنفيذ والحفاظ على فعالية برنامج أمن المعلومات الخاص بالمؤسسة. هذا البرنامج عبارة عن مجموعة من السياسات والمعايير والعمليات والأنشطة والمشاريع التي تحقق الأهداف الموضوعة في استراتيجية أمن المعلومات.
يعمل المديرون مع فرقهم وأصحاب المصلحة الآخرين لتعزيز الجهود التي تسعى إلى تحقيق الرؤية الموصوفة في تلك الاستراتيجية. اعتماداً على خصوصية كل مؤسسة و نضجها ، قد يتضمن هذا الجهد مبادرات مهمة لتصميم وتنفيذ مبادرات جديدة أو تعزيز الضوابط القائمة. يضاف إلى ذلك العمل التشغيلي الروتيني الذي يضمن استمرار الضوابط في العمل بكفاءة وفعالية.
برنامج أمن المعلومات – ماذا عن الجودو؟
يراجع روبودين في هذا المقال بعض الأفكار من كتاب The Art of Building Your Security Program التي تقترح نهجاً جديداً في إدارة برنامج أمن المعلومات يختلف عن ذلك المتبع في نهج السومو التقليدي. لشرح هذه العملية بشكل أفضل، يمكننا تشبيهها بـفن الجودو القتالي. في الجودو يتدحرج كل من المهاجم والمدافع معاً وينتهي بهما الأمر في مكان مختلف. إنها خطة فعالة وبسيطة ويمكن تحقيقها بسهولة. تم تصميم هذا الأسلوب كطريقة بسيطة وسهلة الاستخدام. تتألف هذه الطريقة من سبع خطوات. الهدف هو تطوير مجموعة من مبادئ العمل التي توجه مسؤولي أمن المعلومات أثناء شراكتهم مع فرق العمل. قبل الخوض في النهج الجديد والخطوات السبع، دعونا ننظر إلى نهج السومو بشكل أكثر تفصيلاً.
السومو – القوة تفرض الحق
غالباً ما يستخدم فريق أمن المعلومات قوته لمحاولة فرض ضوابط الأمان في منظمات الأعمال طوال الوقت. و للأمانة فإنه و في كثير من الأحيان يكون المستهدفين بهذه الضوابط من غير الراغبين بتطبيقها أو من غير العارفين بجدواها. لكن يتحول الأمر إلى معركة سومو حقاً عندما يكون معارضي الضوابط هم العاملين في مجال تكنولوجيا المعلومات. يبدأ فريقي أمن المعلومات و تكنولوجيا المعلومات في التدافع المتواصل وغير المرئي وتستمر مباراة التدافع تلك حتى “يخسر” شخص ما.
لا نستطيع إحصاء عدد المرات التي سمعنا فيها مسؤولي أمن المعلومات يشكون من مدى صعوبة تحسين الأمن في الشركات. ماذا نفعل؟ كيف نعمل؟ إن زملائنا في تكنولوجيا المعلومات لا يريدون متطلبات أمنية في أنظمتهم. ليس لدى مطوري التطبيقات الوقت الكافي لدمج الأمن في تطوير برامجهم، والإدارة لا تريد أن تدفع لتحسين الأمن السيبراني. وإذا حصل و طبقنا الضوابط الأمنية التي نريدها فإن المستخدمين يبدؤون بالتذمر أو يبذلون قصارى جهدهم لمحاولة تجاوز تلك الضوابط.
رغم كل ما سبق، فإن مسؤولي الأمن يستمرون في الضغط بثقلهم مثل مصارعي السومو. إنهم يهدرون الوقت والمال على نفس المشاريع والمبادرات الأمنية القديمة. يكررون نفس الشيء مراراً و تكراراً ولكنهم -وللمفاجأة- يتوقعون نتائج مختلفة في كل مرة. يبدو الأمر وكأن فرق أمن المعلومات تسبح ضد التيار و “تعاكس” إرادة المؤسسة. و في النتيجة، تتلقى المؤسسة لقليل من التحسن في وضعها الأمني.
نهج الجودو في برنامج أمن المعلومات
تتمثل فلسفة الجودو في استغلال زخم خصمك لتقليل التهديد الذي يمثله. الهدف من الجودو هو استخدام حركة خصمك بشكل يفيدك. الجودو هو فن قتالي لا تعتمد فيه فقط على قوتك الخاصة. لكن تعتمد على قوة الخصم لتفوز المباراة. المطلوب أن تتدحرج مع خصومك و ليس أن تصطدمهم فقط كما يفعل مصارعو السومو. الهدف من التشبيه السابق توضيح أن على مسؤولي أمن المعلومات قبول فكرة أن يكون لدى زبائنهم رأي حول الأمن يختلف على الأرجح عن رأيهم. وبالتالي عليهم أن يكونوا أكثر استعداداً لتقديم تنازلات للحفاظ على العلاقات معهم والمضي قدماً في تطوير أمن المعلومات.
في هذا النهج، لا يتم استخدام أسلوب السومو “القوة تصنع الحق” عبرإجبار الأقسام على الالتزام بسياسات إرشادات أمن المعلومات. ولكن بدلاً من ذلك تستخدم قوة العلاقات وخبرة الآخرين للتحرك نحو التحسن في الموقف لكلا الجانبين. إذا كنت متحيزاً لأمن المعلومات أو تواجه صعوبة في فهم تشبيه الجودو، وربما يصبح الأمر أكثر وضوحاً عندما تتابع القراءة وتكتشف الخطوات السبع الواردة في هذا النهج.
الجودو في أمن المعلومات – سبع خطوات
العلاقات: كل موظف في الشركة هو عميلك، و لذلك فبناء العلاقات معهم أمر بالغ الأهمية لنجاحك. تبين الاحصائيات أن عملائنا –الموظفين- هم من بلغوا عن النسبة الأكبر من الخروقات الأمنية . بينما تكتشف فرق أمن المعلومات ما يقارب الثلث فقط من هذه الخروقات.على ضوء هذه المعطيات، تعد العلاقات أهم عنصر في برنامجك. على هذا النحو، يقترح روبودين عليك البدء بها أولاً والاحتفاظ بها في أعلى أولوياتك. لا مانع من إداراجها على جدول أعمالك طوال فترة عملك كمدير لأمن المعلومات.
الاتساق: إنها العملية التي يجب أن تفهم فيها ثقافة الشركة و مدى تسامحها مع فقدان المعلومات. إن معرفة ثقافة شركتك وقدرتها على تحمل المخاطر يسمح لك ببناء برنامج أمن المعلومات الذي تريده الشركة وليس البرنامج الذي تعتقد أنت شخصياً أن المؤسسة يجب أن تتبناه.
الأساس: من المهمة وضع الأساس، أو ما نسميه حجر الزاوية في برنامج أمن المعلومات. تصبح هذه الركائز أساس البرنامج . أهم هذه الركائز التوثيق والتواصل والتكنولوجيا والحوكمة.
التواصل الفعال: يسمح التواصل الفعال بالوصول إلى الآخرين وتثقيفهم حول أدوارهم ومسؤوليات أمن المعلومات المنوطة بهم.
المشاركة: هل سمعت بالحجة القائلة بأنه لكي تكون فعالاً، عليك أن تمنح بعضاً من عملك للآخرين. أو على الأقل مشاركة بعض عملك مع الآخرين. إن مجال أمن المعلومات واسع جداً بحيث لا يمكن أن يكون “مملوكاً” لقسم مركزي. هناك الكثير للقيام به. و لكي تكون فعالاً، عليك أن تؤسس ما يشبه فرق الحماية الشعبية المسؤولة عن حماية الأحياء في الاضطرابات و الأزمات. من المهم إشراك الجميع في حماية أصول وممتلكات الشركة.
بناء الفريق: لا تهمل بناء فريقك الذي تحقق معه أقصى قدر من الفعالية. نفترض منذ الأن أنك ستعاني دائماً من نقص الموارد، وستحتاج إلى أعضاء الفريق الذين يستمتعون باللعب في أدوار وظيفية متعددة. فريق من الأشخاص الذين لديهم مهارات تواصل رائعة، يجيدون تقديم العروض التقديمية وكذلك هم تقنيون بارعون.
المعايير: ما أهم المعايير التي تستخدمها لقياس جودة برنامج أمن معلومات جديد أو موجود مسبقاً.
كلمة أخيرة
على مدار سنوات عديدة، أختبر الكثيرمن مدراء أمن المعلومات هذه العملية المكونة من سبع خطوات و وجدوا فيها فائدة لهم. سواء كنت تبني برنامجاً جديداً أو ترث برنامجاً موجوداً فإن روبودين يعتقد أنك ستجد الخطوات السبع مفيدة إن كان في أيامك الأولى في وظيفتك، لبناء برنامج أمن معلومات جديد أو تطوير برنامج ورثته.