حوكمة الأمن السيبراني وإدارة المخاطر هي أهم أولويات العديد من المؤسسات في عام 2023. وحتى الآن، كان قطاع التأمين السيبراني هو الدافع وراء هذا التفكير إلى حد كبير، حيث سعت شركات التأمين، في مواجهة معدلات الخسارة المتزايدة، إلى تحسين جودة معلومات مخاطر الأمن السيبراني. وإدارة المخاطر بشكل أفضل. وقد أسفرت متطلباتهم لمنهجيات الاكتتاب الأكثر صرامة والضوابط الأمنية عن دقة أكبر في فهم المخاطر والتسعير، والآن بدأت الهيئات التنظيمية والمحاكم في اللحاق بالركب.
وهذا بدوره جعل إدارة المخاطر والإشراف عليها مصدر قلق رئيسي لكبار المسؤولين التنفيذيين والمديرين – الذين تعتبر مسؤولياتهم أكثر صعوبة بكثير من أي شركة تأمين. ومع ذلك، يحتاج هؤلاء المسؤولون التنفيذيون إلى التوجيه: ففي غياب هذا التوجيه، فإن القصص الكابوسية عن الهجمات السيبرانية، والغرامات الباهظة، والمقالات المتغطرسة التي تعيد صياغة مسؤوليات المديرين، لن تؤدي إلا إلى إثارة القلق السيبراني وزيادة عملية اتخاذ القرار سوءاً.
ولا ينبغي للمسؤولين التنفيذيين أن يخافوا. وبدلا من ذلك، فإنها تحتاج إلى نهج في التعامل مع الأمن السيبراني يسمح لها بالسيطرة على الأصول الاستراتيجية الحيوية والتركيز على مسؤولياتها الأخرى. بعد كل شيء، يجب أن تتدفق التوابل.
درس الذكاء من التأمين
كانت إحدى المشكلات المهمة التي تحول دون الإدارة الفعالة وصنع القرار هي الافتقار إلى المعلومات الكافية المستندة إلى البيانات. لا يمكن للاستبيانات والجهود الذاتية التي ترقى إلى مستوى “وضع علامة على واجبك المنزلي” أن تحل محل المقاييس المعتمدة على البيانات لتوجيه عملية أو إطار عمل رسمي. قد لا يكون الأمر واضحًا للبعض الذي يعتمد عليه، لكن قدرًا كبيرًا من معلومات تقييم المخاطر التشغيلية لا يستند إلى أدلة. يمكن أن يؤدي هذا النقص في الأدلة إلى الإضرار بالقرارات الأمنية، في حين أن الكثير من هذه المعلومات التعسفية التي لا يمكن التحقق منها لن تفي بالتزامات الرقابة التنظيمية والحوكمة الخاصة بكبار المسؤولين التنفيذيين والمديرين.
فلا عجب أن يشعر المديرون التنفيذيون والمديرون بالضغوط؛ يعترف الكثيرون بهدوء أنهم لا يعرفون حتى ما لا يعرفونه.
لقد تغلبت صناعة التأمين السيبراني بالفعل على مشكلة مماثلة. وكان حل هذه المشكلة ينطوي على تقييم أكثر صرامة للمخاطر والتحقق من الضوابط، وعقود التأمين التي خصصت مسؤوليات واضحة عن المخاطر بين الأطراف. تماما مثل شركات التأمين، يحتاج كبار المديرين التنفيذيين والمديرين في عام 2023 إلى فهم واضح لجودة معلومات المخاطر التي يتلقونها والمساءلة عنها – وإلى أي مدى يمكنهم الاعتماد عليها لتوجيه مراقبة الأمن السيبراني.
وفي نهاية المطاف، أدركت شركات التأمين النتيجة النهائية: فالقياس الكمي يمكن من تقييم المخاطر المقارنة على أساس الأدلة. الأحكام النوعية معرضة حتماً للتحيز البشري وستؤدي إلى انخفاض الثقة في اتخاذ القرار.
الأطر: أطلس إدارة المخاطر
في جوهره، لا يختلف الأمن السيبراني عن أي شكل آخر من أشكال مخاطر التشغيل، مثل الائتمان أو العملات الأجنبية. قد تكون المخاطر أكثر تعقيدًا ولا تزال نماذج إدارة الموارد والمخاطر في طور التطور، لكن المبادئ العامة تظل كما هي. الشركات التي تعتمد على أطر منهجية إلى جانب أدوات إدارة المخاطر والعمليات الكمية ستجد أنه من الأسهل بكثير فهم المخاطر وإدارتها بشكل فعال. سيكون اختيار الإطار المناسب لمخاطر الأمن السيبراني بمثابة نقطة انطلاق جيدة.
عند اختيار الإطار المناسب – مثل ACSC الأساسية الثامنة, أساسيات NCSC السيبرانية أو إطار الأمن السيبراني NIST – يجب على المنظمات أن تبحث عن الملاءمة. وبالإضافة إلى تلبية احتياجات الصناعة والولاية القضائية، يجب أن يدعم الإطار القدرة على تقييم المخاطر بطريقة منهجية ومتزايدة وسهلة الاستخدام. على سبيل المثال، توفير وسيلة “صناعية” لقياس وجود ضوابط تخفيف المخاطر الأساسية وفعاليتها ونضجها بشكل تلقائي. يعد قياس التحكم الكمي والقدرة على إعداد التقارير لدعم جهود الوقاية من المخاطر والاحتواء والتعافي أمرًا أساسيًا لإدارة مخاطر الأمن السيبراني والحوكمة.
يمكن للمؤسسات البناء على هذا الأساس لزيادة نطاق إدارة المخاطر الخاصة بها، ولكن الإطار الأساسي يهدف إلى البساطة – مع التركيز على الضوابط الأمنية التي سيكون لها التأثير الأكبر وتجعل من السهل إنشاء خط أساسي للمرونة الأمنية. عند استخدامه بشكل صحيح، سيوفر الإطار الصحيح للمستخدمين إطار عمل منظم ومنظم لمخاطر الأمن السيبراني وسهل الاستخدام ونموذج نضج مناسب بشكل مثالي للقياس التجريبي لفعالية التحكم وإدارة المخاطر القائمة على الأدلة وتحسين الجودة؛ و- مثل أداة التصوير التشخيصي – توفر تصويرًا واضحًا ودقيقًا وموثوقًا للمرونة السيبرانية.
الرهان على مرونة الأمن السيبراني
إن المعلومات النوعية السردية عن المخاطر ليست كافية ــ ولم تكن كافية على الإطلاق. لم تعد مرونة الأمن السيبراني والإشراف عليه بمثابة مكافأة – بل أصبحت وظيفة أساسية، بل وحتى ميزة تنافسية.
تتسم بيئة مخاطر الأمن السيبراني بالديناميكية العالية، وتتطلب التخفيف المستمر من فجوات الضعف. في هذا المجال، التفاصيل مهمة. يجب أن يكون قياس المخاطر دقيقًا وموضوعيًا ويساعد في تحديد أولويات المخاطر واستراتيجيات التخفيف المقترحة. تعد “محاسبة المخاطر” الكمية وعمليات التقييم القابلة للتدقيق والتي تقيس مقابل أطر المخاطر الأمنية المناسبة أمرًا بالغ الأهمية لإدارة ومراقبة مخاطر الأمن السيبراني بشكل فعال
بمرور الوقت، ستتطور عمليات وتقنيات إدارة المخاطر الجديدة لدعم إطار أوسع لحوكمة الأمن السيبراني ونظام قياس المخاطر التجريبي في الوقت الفعلي تقريبًا. ومع ذلك، في الوقت الحالي، سيؤدي اختيار الإطار الصحيح إلى إزالة عبئًا ضخمًا عن كاهل فرق الأمن والمديرين التنفيذيين.
بيتر وولاكوت هو الرئيس التنفيذي لشركة هنتسمان الأمن، شركة متخصصة في SIEM ومقرها أستراليا ومنصات التحليلات السيبرانية.
