لطالما أذهل التقاطع بين الأعمال والتكنولوجيا توني بوفومانتي، الرئيس العالمي للأمن السيبراني وخدمات المخاطر في شركة. ويبرو. فهو يتطلب إجراء موازنة دقيقة، والموازنة بين الابتكار والأمن.
إن الوتيرة السريعة للتطور التكنولوجي تعني أن المنظمات تحتاج باستمرار إلى الابتكار. وبالمثل، فإن قطاع الأمن لديه مشهد تهديد يتطور باستمرار. ومع اكتشاف ثغرات أمنية جديدة وتصحيحها، تبحث الجهات الفاعلة الخبيثة عن طرق جديدة للتحايل على أنظمة الأمان، والتي تحتاج بدورها إلى التحديث قبل استغلالها. ومع ذلك، يجب أن تكون هذه الأنظمة قوية وآمنة في نفس الوقت. يجب أن يكون الأمن على حق طوال الوقت، لكن المتسللين يحتاجون إلى أن يكونوا على حق مرة واحدة فقط.
“لقد كنت سائق سباق سيارات لأكثر من 30 عاما“، يقول بوفومانتي. “لقد تسابقت في أنواع مختلفة من السيارات. عندما تتأهل، ربما تكون على بعد عُشر من الثانية من شخص آخر، ولكن إذا عدت في العام التالي وقمت بذلك في نفس الوقت بالضبط، بدلاً من أن تكون الأول، فمن المحتمل أن تحتل المركز العاشر، لأن الجميع ابتكروا وقاموا بالترقية . وهذه هي نفس الظاهرة التي لدينا في مجال الأمن السيبراني.
يمكن أن يكون الاضطراب الناتج عن اختراق الشبكة هائلاً؛ وفقا ل ويبرو تقرير حالة الأمن السيبراني 2023، أ برامج الفدية عادةً ما يؤدي الهجوم إلى توقف العمل لمدة تتراوح بين 11 و30 يومًا، وهو ما قد يكون مدمرًا. هناك أيضًا تكاليف مالية مرتبطة بالحاجة إلى استعادة النظام والعقوبات المحتملة للكشف عن البيانات الحساسة، بالإضافة إلى الضرر الذي يلحق بالسمعة الناتج عن الاختراق.
التواصل الواضح هو المفتاح
تعد القدرة على إيصال المخاطر الأمنية بوضوح إلى المديرين التنفيذيين بتنسيق سهل الفهم مهارة أساسية لفرق الأمن السيبراني. من الممكن أن يكون هناك قدر هائل من المعلومات المتعلقة بالمشهد الأمني والتي يجب فهمها. ولذلك يتعين على المتخصصين في مجال الأمن تقديم هذه المعلومات بطريقة وثيقة الصلة بصناعة المؤسسة وأعمالها.
“نحن نحب أن نتحدث عن هذه الكميات الهائلة من الهجمات التي أوقفناها. يقول بوفومانتي: “يعتقد الناس أن الأمر مثير للإعجاب، لأن الأرقام كبيرة، ولكنها ليست وسيلة فعالة للتواصل على مستوى لجنة التدقيق أو مجلس الإدارة”. “يجب أن نقول أشياء عن برنامج الأمان الذي يراقب أهم أصول الشركة، سواء كانت معلومات العملاء أو الملكية الفكرية أو المعلومات المالية.”
يدعو Buffomante إلى استخدام نظام التصنيف لتسليط الضوء على المجالات الرئيسية التي تحتاج إلى معالجة ضمن الوضع الأمني للمنظمة. يمكن أن يكون هذا تصنيفًا لإشارات المرور يعتمد على اللون ويصنف الأنظمة باللون الأحمر أو الأصفر أو الأخضر، أو يمكن تصنيفه في طبقات، مثل الأعلى إلى الأدنى.
على الرغم من إمكانية تفويت التفاصيل في بعض الأحيان عند تقديم معلومات الأمان بتنسيق مختصر، إلا أن هذا لا يشكل مصدر قلق. الأمر الحيوي هو تقديم المعلومات بطريقة واضحة وشفافة تسلط الضوء على مجلس الإدارة حيث تكون المنظمة أكثر عرضة للخطر، وما هو مطلوب للتخفيف من المخاطر والميزانية المطلوبة.
التركيز على احتياجات العمل
يعد فهم احتياجات المؤسسة أمرًا ضروريًا لإدارة وضعها الأمني بشكل فعال، الأمر الذي يتطلب الاتصال بالمؤسسة الأوسع لفهم البنية التحتية الحيوية اللازمة لاستمرار العمليات التجارية.
“عندما تقوم بإعداد استراتيجية أمنية لشركة طيران عالمية، يرغب الأشخاص على الفور في التحدث عن بيانات بطاقة الائتمان. يقول بوفومانتي: “إذا نظرت إلى استراتيجية الرئيس التنفيذي، فإن الشيء الأول في القائمة هو سلامة الركاب”. “الأمر الأكثر أهمية ليس بالضرورة بيانات بطاقة الائتمان، ولكن إبقاء المتسللين خارج مراقبة الحركة الجوية. إن القدرة على ربط استراتيجية الأمان ليس فقط باستراتيجية تكنولوجيا المعلومات، ولكن أيضًا بما هو مهم للأعمال، هو المكان الذي يلعب فيه التدريب والمهارات الشخصية دورها.
“نحن نحب التحدث عن هذه الكميات الهائلة من الهجمات التي أوقفناها، ولكنها ليست طريقة فعالة للتواصل على مستوى لجنة التدقيق أو مجلس الإدارة. يجب أن نقول أشياء عن برنامج الأمان الذي يراقب أهم أصول الشركة”
توني بوفومانتي، ويبرو
بدلاً من أن يكون فريق الأمن السيبراني بمثابة حراس البوابة، يعتقد بوفومانتي أنهم يجب أن يصبحوا جزءًا جوهريًا من تطوير الأعمال، مع المشاركة في تطوير المشروع. وبهذه الطريقة يمكن تصنيع المنتج أو الخدمة آمنة حسب التصميم.
يعد التوجيه والتدريب الأمني جزءًا حيويًا من هذه المشاركة. يمكن استخدام الدورات التدريبية التي تركز على القسم للتأكد من أن المعلومات المقدمة إلى الفرق ذات صلة باحتياجاتهم. على سبيل المثال، قد لا يحتاج الفريق المالي إلى فهم تقنيات التشفير الآمن، ولكن إلى الوعي بأحدث التقنيات التصيد التقنيات ستكون ذات قيمة.
“يجب أن يكون التدريب الأمني مقبولاً ومناسباً للغرض. من خلال إدخال اختبار الأمان مباشرة في مسار التطوير، يمكن أن يكون لديك نوافذ منبثقة في الوقت الفعلي تقول: “لقد قمت بتطوير هذا الكود، وهذه هي نقاط الضعف في هذا الكود”، كما يقول بوفومانتي.
“إنهم لا يحتاجون إلى تدريب عام عالي المستوى. ما يحتاجون إليه هو تدريب محدد يتماشى مع دورهم والبيئة في الوقت المناسب. إن تحديد تلك النقاط الساخنة المحددة في المؤسسة سيحدث فرقًا ملحوظًا في تطوير وتنفيذ الضوابط الأمنية، وهو ما يجب على المؤسسات التركيز عليه.
لا ينبغي أن يركز التدريب على الأمن السيبراني فقط على جانب التطوير أو العمليات، بل على جميع أجزاء المنظمة وعلى جميع المستويات. إن الوعي والفهم للتهديدات على المستوى المناسب سيمكن المؤسسات من تطوير استراتيجيات العمل المناسبة التي تدرك المخاطر الخاصة بها.
يوضح بوفومانتي أن “27% فقط من تمارين المحاكاة التي تقوم بها الشركات يشارك فيها مجلس الإدارة”. “كيف يمكن لعضو مجلس الإدارة أن يحصل على المزيد من التقدير لما يحدث بالفعل وكيف نتفاعل معه كمنظمة في حالة حدوث خرق، عندما يشارك 27٪ فقط منهم؟ ونحن نرى أن هذه الأمور مهمة بالنسبة للمؤسسات لتكون في رحلة التعلم المستمر هذه.”
يمكن الجمع بين التدريب الذي يركز على الأدوار مع التعليقات الواردة من التقييمات الأمنية لتسليط الضوء على مجالات التدريب التي تتطلب التركيز. وعلى هذا النحو، يمكن استخدام التدريب الأمني لاستهداف المجالات التي تحتاج إلى تحسين. يعد هذا النهج المستهدف فعالاً من حيث التكلفة وأكثر جاذبية لكل دور، مما يؤدي إلى وضع أمني أكثر قوة.
الفرق التعاونية تحقق المزيد
عندما تتعاون فرق الأمن مع المؤسسة الأوسع، فإن ذلك لا يساعد على التواصل فحسب، بل يمكّن من تضمين الأمن في الحلول، بدلاً من أن يكون نقطة تفتيش في النهاية. عندما تتعاون فرق الأمان مع فرق التطوير في البداية، يمكن تجنب المراجعات المكلفة لتلبية متطلبات أمنية محددة، وبالتالي توفير الوقت والموارد.
“في مجال الأمن، غالبًا ما نجازف بأن نكون الشخص أو الفتاة “لا”، لكننا لا نريد أبدًا أن نكون بهذه الطريقة. إذا لم نكن مبكرين في هذا التعاون، فعادةً ما نرى بعض مبادرات الأعمال ومبادرات تكنولوجيا المعلومات هذه متأخرة جدًا، ومن ثم نحتاج إلى تقييم الأمن والمخاطر والاعتبارات التنظيمية لذلك.
توني بوفومانتي، ويبرو
“في مجال الأمن، غالبًا ما نجازف بأن نكون الشخص أو الفتاة “لا”، لكننا لا نريد أبدًا أن نكون بهذه الطريقة. يقول بوفومانتي: “إذا لم نكن في وقت مبكر من هذا التعاون، فعادةً ما نرى بعض مبادرات الأعمال ومبادرات تكنولوجيا المعلومات هذه متأخرة جدًا، ومن ثم نحتاج إلى تقييم الأمن والمخاطر والاعتبارات التنظيمية لذلك”. “قد يؤدي ذلك إلى المخاطرة بإبطاء الابتكار في مجال الأعمال، وهذا ليس ما نريد أن نكون عليه، كممارسين وكصناعة.”
هناك أيضًا فرص لفرق الأمان لتمكين تدفقات الإيرادات الجديدة. على سبيل المثال، الامتثال ل البرنامج الفيدرالي لإدارة المخاطر والترخيص (FedRAMP) في الولايات المتحدة أو المملكة المتحدة نموذج الأمن السيبراني لوزارة الدفاع الإطار، يوفر فرصًا للشركات للعمل مع الدوائر الحكومية. ومع ذلك، لا يكون هذا ممكنًا إلا عندما يعمل تطوير المنتج جنبًا إلى جنب مع فريق الأمان.
يقول بوفومانتي: “الأمر لا يتعلق بالحماية فحسب، بل كيف يمكننا المساعدة في فتح مصدر جديد للإيرادات؟”. هذا هو المكان الذي نشعر فيه بالقيمة حقًا.
أتمتة الاستجابة للتهديدات
شهدت السنوات القليلة الماضية زيادة كبيرة في عدد الجهات الخبيثة عبر الإنترنت، فضلاً عن التقنيات الجديدة والمدمرة 5G ل الذكاء الاصطناعي التوليدي (AI). وتحمل العديد من هذه التقنيات مخاطر، ولكنها توفر أيضًا فرصًا فريدة. ومع ذلك، فإن التحذير المسبق يعني التأهب، وفهم هذه المخاطر يعني إمكانية التخفيف منها.
ومع وضع السياسات المناسبة، يمكن استخدام هذه التقنيات بطريقة مسؤولة وآمنة، مما يتيح جميع المزايا مع الاستمرار في حماية البيانات الحساسة وأمن الشبكة.
على سبيل المثال، مع توفر التقنيات الجديدة قدرًا أكبر من الاتصال البيني أكثر من أي وقت مضى، هناك خطر متزايد من احتمال اغتصاب الأجهزة من قبل جهات فاعلة ضارة، ولكن مع تحديد أذونات شبكة المستخدم والجهاز للاستخدام المقبول لها، بالإضافة إلى فحص مراقبة الشبكة بحثًا عن السلوك الشاذ، فإن هذا يمكن تخفيف الخطر المحتمل.
على الرغم من التهديدات المتنوعة عبر الإنترنت، يظل بوفومانتي متفائلاً بشأن المستقبل. على سبيل المثال، الذكاء الاصطناعي و التعلم الالي يمكن استخدامها لأتمتة المهام التي تقلل من عبء العمل على فرق الأمان، فضلاً عن تمكينهم من الاستجابة بشكل أسرع للتهديدات الناشئة. وبالمثل، فإن وجود فرق أمنية تتعاون مع جميع الإدارات وتطوير برنامج تدريب أمني مناسب لكل عضو في المنظمة سوف يولد ثقافة أمنية حسب التصميم، وبالتالي، وضع أمني قوي أوسع.
“لدينا قدرة أكبر على رؤية النشاط السيئ والرد عليه بشكل أسرع من أي وقت مضى. قبل بضعة أشهر فقط، كان اكتشاف شيء ما يستغرق ساعات، وهو الآن يستغرق دقائق، بفضل هذه التكنولوجيا. “إن سباق التسلح مستمر، ولكن لدي الكثير من الأمل، لأننا نستطيع تطوير حلول أمنية تعتمد على البيانات بشكل لا يصدق ومؤتمتة، وتؤدي إلى شبكات ذاتية الإصلاح.”
