يجب أن تكون إدارة المخاطر وتحديد المخاطر وتقييمها وترتيب أولوياتها أولوية قصوى لكل قائد في مجال تكنولوجيا المعلومات يتطلع إلى حماية البيانات والموارد القيمة الأخرى.
يقول جورج تشيدزيموف، استراتيجي الأمن السيبراني في مزود أمن البيانات والامتثال والخصوصية والحوكمة BigID، في مقابلة عبر البريد الإلكتروني: “إن بناء استراتيجية قوية لتخفيف مخاطر تكنولوجيا المعلومات يشبه تجميع اللغز حيث تمثل كل قطعة عنصرًا حاسمًا في البنية التحتية الرقمية للمؤسسة”.
يقول فرانك شوجار، الرئيس التنفيذي لشركة Aerstone، وهي شركة حلول الأمن السيبراني عبر البريد الإلكتروني، إن تخفيف المخاطر هو النتيجة النهائية للتنفيذ القوي لإدارة مخاطر الأمن السيبراني. “يجب أن تبدأ العملية بتعيين أدوار ومسؤوليات إدارة المخاطر في جميع أنحاء المنظمة، وتعيين مسؤول مفوض لقيادة جهود إدارة المخاطر.”
الخطوات الأولى
يقول تشيدزيموف إن بناء استراتيجية قوية لتخفيف المخاطر يجب أن يبدأ بتقييم شامل للمخاطر من أجل فهم المخاطر المحددة التي تواجهها المنظمة. “وينبغي أن يشمل ذلك تقييمًا لعوامل الخطر الداخلية والخارجية.”
بمجرد تحديد أدوار محددة، يوصي شوغار بإنشاء وثيقة CONOPS (مفهوم العمليات)، لتحديد أهداف وغايات إدارة المخاطر المحددة. يجب أن يكون الإطار النهائي بالحجم المناسب للمنظمة، مما يسمح باستمرار النضج مع مرور الوقت.
يقول شوغار إن الإستراتيجية الشاملة لتخفيف المخاطر يجب أن تغطي العديد من المجالات الأساسية، بما في ذلك جرد الأصول، وتقييم التهديدات، وتقييم نقاط الضعف، وجمع/تحليل/إعداد التقارير، وتقييم التأثير. “من أجل النتيجة درجة المخاطر لكي يكون تحليل بيانات التعرض قابلاً للاستخدام، يجب أن يكون آليًا بدرجة عالية، وهو ما يتضمن عمومًا إنشاء مستودع بيانات للمقاييس الرئيسية. “يحتاج تحليل التأثير أيضًا إلى أن يأخذ في الاعتبار تصنيف النظام، مدفوعًا بتقييمات السرية والنزاهة والتوافر.”
يقول تشيدزيموف إن الإستراتيجية القوية لتخفيف المخاطر يجب أن تشمل حماية البيانات، وأمن الشبكات، والامتثال التنظيمي، وتدريب الموظفين، والتخطيط للاستجابة للحوادث، والتخطيط لاستمرارية الأعمال. “من الضروري معالجة ليس فقط العوامل التكنولوجية، بل البشرية أيضًا.”
بناء فريق
يقول شوغار إن فريق تطوير استراتيجية المخاطر يجب أن يكون مجموعة متعددة الوظائف، بما في ذلك العمليات والهندسة والخصوصية والمراقبة والأمن السيبراني وتحليل التهديدات وفريق عمليات المخاطر نفسه. “يجب أن يلتزم قادة الفريق، بالتوقيع، بدعم جهود إدارة المخاطر.”
يعتقد تشيدزيموف أن فريق تطوير الإستراتيجية يجب أن يضم أيضًا ممثلين عن تكنولوجيا المعلومات والموارد البشرية والشؤون القانونية. “يقدم كل قسم رؤى فريدة حول المخاطر المحتملة والتخفيف من حدتها، مما يضمن وجود استراتيجية أكثر شمولاً.”
جمع الدعم
يحتاج فريق تطوير الإستراتيجية أيضًا إلى الدعم المقدم من الأبحاث المستقلة. ويقول شوجار: “هناك قدر هائل من الموارد المتاحة لدعم عمليات إدارة المخاطر”. “ينشر NIST عددًا من الوثائق التي يمكن أن تساعد في هذه العملية، على وجه الخصوص نيست 800-37“، والذي يحدد إطار عمل إدارة المخاطر للحكومة الفيدرالية، وهي عملية مكونة من ست خطوات تساعد في النهاية على ضمان تقليل نقاط الضعف إلى الحد الأدنى لتوفير مستوى عالٍ من ضمان المخاطر،” كما يشير. “هناك أيضًا موارد مجانية وفيرة متاحة من مجموعات مثل بلا و رابطة الدول المستقلة، والتي تنشر الإرشادات والأوراق التقنية التي يمكن أن تساعد المديرين التنفيذيين على تطوير فهمهم لعملية إدارة المخاطر.
يقول تشيدزيموف إنه يجب على الفريق أيضًا الاستفادة من الشبكات المهنية، والمؤتمرات الخاصة بالصناعة، ومنتديات الإنترنت المتخصصة المتخصصة في الأمن السيبراني وتكنولوجيا المعلومات.
الخطوات النهائية
من المهم مراجعة الاستراتيجيات بشكل دوري، خاصة عند تحديد مخاطر جديدة، كما يوصي شون لوفلاند، الرئيس التنفيذي للعمليات في شركة الأمن السيبراني Resecurity في مقابلة عبر البريد الإلكتروني. بالإضافة إلى ذلك، يجب إعادة تقييم الإستراتيجية الحالية عندما تواجه أطراف ثالثة تهديدات. “سيساعد هذا في تحديد ما إذا كانت الشركة بحاجة إلى تعديل استراتيجيتها ونطاقها.”
يقول تشيدزيموف إن أحد الأخطاء الشائعة في إدارة المخاطر هو النظر إلى العملية على أنها نشاط لمرة واحدة يجب إكماله، وليس كعملية مستمرة. “تتطلب الإدارة الفعالة للمخاطر المراقبة والتقييم والتعديل المستمر.”
الوجبات الجاهزة
يقول تشيدزيموف إن بناء استراتيجية قوية لتخفيف مخاطر تكنولوجيا المعلومات يتطلب خلق ثقافة الوعي الأمني في جميع أنحاء المنظمة. ويشير إلى أنه “يجب تدريب الموظفين وتشجيعهم على التعرف على التهديدات الأمنية المحتملة ومحاولات التسلل أو الاختراق والإبلاغ عنها”. “هذا العنصر البشري غالبًا ما يكون خط الدفاع الأول ضد التهديدات السيبرانية.”
كثيرًا ما تخلط المنظمات بين التهديدات والمخاطر، ولكن على مستوى أساسي أكثر، تحتاج المنظمات إلى إدراك أن هدف إدارة المخاطر هو ضمان المخاطر، وليس القضاء التام على المخاطر، كما يقول شوغار. “قد يتم تقليل المخاطر أو تخفيفها أو قبولها، ولكن الهدف الرئيسي هو فهم المخاطر المتبقية التي تقبلها المنظمة.” هو يوضح. “معظم المنظمات تخطئ في هذا الأمر بشكل مأساوي.”
يقول لوفلاند إن إدارة المخاطر لا تتعلق بتجنب جميع المخاطر، بل تتعلق بتحديدها وتقييمها والتخفيف من حدتها لتحقيق التوازن بين المخاطر والتكلفة. ويشير إلى أن القضاء على جميع المخاطر يمكن أن يعيق النمو والابتكار. “تتضمن الإدارة الفعالة للمخاطر فهم المخاطر وإدارتها بمستوى مقبول واتخاذ قرارات مستنيرة.”
