“نحن نحتاج التشفير! اجعلها نهاية إلى نهاية! نفذه في كل مكان!
تبدو مألوفة؟ هذه هي التفويضات التي يتلقاها العديد من CISOs في الوقت الحالي. إنهم قادمون من فرق الإدارة التنفيذية التي تشعر بالقلق من تزايد هجمات برامج الفدية، وتسعى جاهدة لمعالجة ضغوط الخصوصية من العملاء والجهات التنظيمية، وتبحث بشكل كبير عن حل سهل وآمن من الفشل.
وكما هو الحال دائمًا تقريبًا في مجال الأمن السيبراني، يعلم مدراء تكنولوجيا المعلومات أنه لا يوجد حل معصوم تمامًا من الخطأ. من المؤكد أن التشفير يمكن أن يكون أحد الأصول. عند استخدامه بحكمة، يمكن أن يكون أفضل دفاع للشركة ضد الدخول غير المصرح به إلى شبكات الشركة وسرقة بيانات الشركة والعملاء.
ولم يكن نشر التشفير أسهل أو أكثر فعالية من حيث التكلفة من أي وقت مضى. العديد من المنتجات التقنية التي تستثمر فيها شركاتنا تأتي الآن متضمنة إعدادات التشفير الافتراضية. غالبًا ما يدمج مهندسو البرمجيات الداخليون إمكانات التشفير أيضًا، عندما يقومون بتطوير تطبيقات وخدمات جديدة وفقًا لمتطلباتهم آمنة حسب التصميم مبادئ.
باختصار، يعد التشفير ميزة أمان قياسية للعديد من منتجات البرامج الجديدة، مثل الوسائد الهوائية في السيارة الجديدة.
ولكن هل هذا سهل؟ هل هو مضمون؟ بالطبع لا. يدرك مدراء تكنولوجيا المعلومات بشكل غير مريح أن التشفير، إذا تم تطبيقه بشكل مفرط وبقليل من التدبر، يمكن أن يجعل مهمة أمن تكنولوجيا المعلومات أكثر صعوبة وفي الواقع يقدم جديد المخاطر.
عند تطبيقه بشكل عشوائي، يمكن أن يقلل التشفير من مستوى الرؤية الذي تتطلبه فرق العمليات الأمنية عند قيامهم بمراقبة الأنظمة والبيانات. يؤدي هذا إلى إنشاء نقاط عمياء وزوايا غامضة يستخدمها مجرمو الإنترنت لإخفاء أنشطتهم الضارة. وهؤلاء المهاجمون لا يتراخون بأي حال من الأحوال عندما يتعلق الأمر باستخدام التشفير بأنفسهم. إنها طريقة رائعة بالنسبة لهم لإخفاء البرامج الضارة، على سبيل المثال.
إذن ما هو الجواب؟ كيف يمكن لرؤساء أمن المعلومات مساعدة فرق الإدارة التنفيذية بشكل استراتيجي على التعامل مع المشكلات المتعلقة بالتشفير وتوجيه شركاتهم نحو نهج متوازن يمكّنهم من الحصول على الأفضل من هذه التكنولوجيا مع التحايل على المخاطر؟
قم بثني عضلات إدارة المخاطر لديك
يعد تحديد متى وأين يتم التشفير (وفك التشفير) بمثابة اختبار حقيقي لعمليات وممارسات إدارة المخاطر في الشركة. من منظور أمن تكنولوجيا المعلومات، يعني هذا تحسين مستوى لعبتك عندما يتعلق الأمر بنمذجة التهديدات. مطلوب فهم عميق لبيئة تكنولوجيا المعلومات والأعمال الشاملة من أجل تحديد الأهداف الأكثر أهمية للمهاجمين أو المطلعين الخبيثين. إلى جانب ذلك، هناك حاجة إلى فهم التأثير التجاري المحتمل للتشفير، لأنه إذا كنت كذلك تشفير نهاية إلى نهاية، هناك دائمًا خطر أن تؤثر على عمليات تحويل البيانات أو العمليات التجارية النهائية. قد تكون بعض أنواع البيانات مرشحة بشكل واضح للتشفير، والبعض الآخر قد لا يكون كذلك. وقد ينتهي الأمر بالبعض إلى التشفير المزدوج، حيث تقوم بتشفير كل من حركة مرور الشبكة وعناصر البيانات الفردية. ولكن كل هذا يجب أن يؤخذ في الاعتبار في ضوء عملية الأعمال المحددة المطروحة، والمخاطر المحتملة مقابل الحاجة إلى أداء النظام. غالبًا ما يكون هناك توازن دقيق يجب تحقيقه في تحديد ما هو الأفضل للشركة.
إدارة أمان الحافة
مع التشفير، تأتي الحاجة إلى إيلاء اهتمام أكبر لتأمين الأجهزة والخدمات المتطورة، وخاصة أجهزة الكمبيوتر المحمولة والأجهزة المحمولة الخاصة بالشركات. وفي معظم الشركات، من المرجح أن يكون هذا جزءًا من جهد مستمر أوسع نطاقًا، ناجم عن التحول إلى العمل عن بعد خلال جائحة كوفيد-19، حيث كان للتشفير دور مهم في تأمين أقصى حدود الشركة.
تتبنى العديد من الشركات تقنيات متصفحات الشركة المُدارة لأجهزة حوسبة الموظفين، مما يمكّن فرق أمن تكنولوجيا المعلومات من تكوين وإدارة سياسات المتصفح والإعدادات والتطبيقات والإضافات من موقع مركزي، عبر أنظمة تشغيل وأجهزة متعددة.
البعض يتبنى SASE تقنيات (حافة خدمة الوصول الفردي)، وهي نموذج بنية سحابية يجمع بين تقنيات أمان الشبكة والسحابة الأصلية، ويتضمن عادةً إمكانات تشفير حركة المرور المضمنة وفك التشفير لفحص حركة المرور من وإلى حافة الشركة. وبغض النظر عن التكنولوجيا المستخدمة، فإن المزيد من التشفير يعني المزيد من التركيز على أنظمة المستخدم النهائي لفرق الأمان، والتي بدورها يمكن أن تخلق تأثيرات على الأداء للمستخدمين النهائيين.
فكر بطريقة مختلفة
قبل كل شيء، يحتاج مدراء تكنولوجيا المعلومات وفرقهم إلى التفكير بشكل مختلف حول كيفية مراقبة وحماية أنظمة الشركات التي تم نشر التشفير فيها. حان الوقت للإبداع، مع إدراك أن هناك في كثير من الأحيان طرقًا متعددة لتحقيق نفس الأهداف.
يلعب الإبداع أيضًا دورًا عندما يتعلق الأمر بدمج جميع المتطلبات – متطلبات المخاطر والأعمال والأمن – والتوصل إلى خيارات تلبي كل هذه المتطلبات. يتطلب الأمر الكثير من الخبرة والمعرفة متعددة الوظائف والخيال لدمج كل ذلك معًا. يقع على عاتق قادة الأمن مسؤولية أخذ فرقهم في هذه الرحلة والتأكد من حصولهم على المهارات التي يحتاجون إليها لفهم أنه عندما يقلل التشفير من الرؤية، عادةً ما تكون هناك أماكن أخرى للبحث فيها للحصول على المعلومات التي يحتاجون إليها حول المشكلات والحوادث الأمنية .
لديهم أيضًا دور يلعبونه في المساعدة في توجيه المطورين الداخليين حول المكان الذي ينبغي عليهم (وربما لا ينبغي عليهم) التفكير فيه في دمج التشفير في التطبيقات والخدمات التي يعملون عليها.
لذا، عندما تطرح مسألة التشفير رأسها (وسوف ستفعل ذلك)، فقد حان الوقت لمسؤولي أمن المعلومات (CISO) للتقدم وأخذ زمام المبادرة في بعض المحادثات القوية جدًا التي ستساعد أعمالهم على تنفيذ هذه التكنولوجيا باعتبارها أداة الدقة التي ينبغي أن تكون عليها، وليس أداة حادة، أو الأسوأ من ذلك، سيف ذو حدين.
