جيد استراتيجية الأمن السيبراني يجب أن يبدأ دائمًا بتحديد المخاطر التي ترغب الشركة في تحملها، وهذه مهمة يجب على مدير أمن تكنولوجيا المعلومات إشراك زملائه في العمل فيها.
ولكن من الضروري أيضًا أن يعرف كبير مسؤولي أمن المعلومات (CISO) كيفية الوصف الواضح للاستثمارات والإجراءات التي ستدعم جهود الحد من المخاطر عند إعداد استراتيجية الأمن السيبراني. هذه هي توصية كريس لوفجوي، قائد الممارسة العالمية للأمان والمرونة في انفصلت شركة Kyndryl، مزود خدمات تكنولوجيا المعلومات، عن شركة IBM في عام 2021.
“لقد رأيت في كثير من الأحيان فشل كبار مسؤولي تكنولوجيا المعلومات لأنهم غير متأكدين من القيمة التي ستوفرها الاستثمارات من حيث الأشخاص والعمليات والتكنولوجيا. وبدون فهم واضح، تتوقع الإدارة في كثير من الأحيان أن توفر الاستثمارات الحماية المثالية. تقول: “نعلم جميعًا أن هذا غير ممكن”.
ويتضمن ذلك اعتماد الذكاء الاصطناعي التوليدي (GenAI). من أجل لوفجوي، GenAI هي أداة يمكنها تمكين أمن تكنولوجيا المعلومات الفرق لتعزيز قدرتها على التعامل مع هجمة التهديدات الحالية، ولكن استخدامها “كشريك موثوق به” يتطلب أولاً إنشاء الحدود والحوكمة المناسبة.
في مقابلة مع ComputerWeekly، يوضح لوفجوي أن تبسيط بيئات تكنولوجيا المعلومات وتحديث البنى التحتية القديمة ضروريان لتحسين أمن تكنولوجيا المعلومات، ويشدد على أهمية الاستثمار في التدريب والتمارين التي تعزز وعي الموظفين لتحقيق ثقافة المرونة السيبرانية للشركات.
إحدى توصياتك إلى مدراء تكنولوجيا المعلومات ومديري تكنولوجيا المعلومات هي العمل على تبسيط بيئات تكنولوجيا المعلومات لتحسين الإدارة والأمن. ولكن كيف تبدأ بفعل هذا؟ هل هناك نماذج مختلفة لتحقيق ذلك؟ ما رأيك هي أفضل طريقة للقيام بذلك؟
كريس لوفجوي: من الأسهل دائمًا التعامل مع التبسيط من خلال عدسة “الخدمات الحيوية أولاً”. بافتراض أن لديك فهمًا دقيقًا لتلك الأنظمة التي تدعم فرص الأعمال المهمة، فإنني أوصي مدراء تكنولوجيا المعلومات ومديري تكنولوجيا المعلومات بتحليل الضوابط الأمنية لتحديد ما إذا كانت هناك فرصة لتوحيد البائعين وخفض التكلفة، بهدف تحويل المدخرات للتحكم في الأتمتة.
بالتوازي، بالنسبة للأنظمة غير الحرجة، فكر في خيارات لإزالتها من الاستخدام أو على الأقل تبسيط البنية التحتية التي تدعم تشغيلها بشكل جذري. بغض النظر عن موقعك في هذه الرحلة، ضع في اعتبارك أن النجاح يعتمد على ثقافة التعاون والتفاني في التحسين المستمر. وبدون هذه المكونات، فإن أي رحلة تبسيط سوف تفشل.
قد تأتي تهديدات ومخاطر الأمن السيبراني من جبهات متعددة، وهي تتطور باستمرار. هل الأدوات المدعمة بالذكاء الاصطناعي جاهزة للتعرف عليها بنجاح؟
أحب الفرح: المزيد والمزيد يعمل الذكاء الاصطناعي على تعزيز قدرة المؤسسات على تحديد واكتشاف التهديدات ونقاط الضعف المحتملة بطريقة أسرع وأكثر انسيابية. مع تدفق مستويات عالية من البيانات إلى فرق الأمان يوميًا، أصبح فهم كل ذلك تحديًا كبيرًا.
ونتيجة لذلك، تستخدم المؤسسات التعلم الآلي والذكاء الاصطناعي لغربلة الضوضاء بطريقة أكثر فعالية من خلال استخدام تقنيات الأتمتة والتحليلات. نحن نرى الذكاء الاصطناعي التوليدي باعتباره التطور التالي للذكاء الاصطناعي والتعلم الآلي. إذا تم تنفيذ حواجز الحماية المناسبة، فيمكن للذكاء الاصطناعي التوليدي أن يتخذ الخطوة التالية لتعزيز قدرتنا بشكل أكبر على تحليل تلك التهديدات بسرعة أكبر وجعل فريق الأمان أكثر فعالية.
كيف يمكنك تدريب الموظفين على التعامل مع الهجمات المعززة بالذكاء الاصطناعي؟
أحب الفرح: ال المرونة السيبرانية يصبح المشهد أكثر تعقيدًا كل عام. إن الجهات الفاعلة المتطورة والممولة تمويلاً جيداً، وزيادة معدلات الهجمات التخريبية الناجحة مثل برامج الفدية وهجمات رفض الخدمة، ونقص المهارات، وقيود الميزانية، والعقارات المتنامية للأجهزة القديمة الضعيفة، واللوائح السيبرانية الإلزامية بشكل متزايد، جعلت إدارة الأمن السيبراني أكثر صعوبة من أي وقت مضى .
وفي حين يمكن للمؤسسات اتخاذ الخطوات الصحيحة لتتبع هذه الديناميكيات المتغيرة وتنفيذ ضمانات قوية لحماية أعمالها، فإن القوى العاملة لا تزال تمثل الحلقة الأضعف. لقد أثبت الذكاء الاصطناعي التوليدي أنه تقنية فعالة بشكل متزايد ويمكن استخدامها لاستغلال هذا الرابط.
ولمواجهة المخاطر، يجب على القادة تنمية ثقافة الشركة التي تقدر المسؤولية والشفافية. ويتضمن ذلك تمكين الموظفين من المساهمة بفعالية في خلق بيئة مرنة عبر الإنترنت والتأكيد على أهمية الإبلاغ عن المشكلات الأمنية دون خوف من التداعيات.
ومن الناحية التكتيكية، يعد الاستثمار في التدريب على الأمن السيبراني، والتمارين النظرية، والاختبارات والمحاكاة السيبرانية أمرًا بالغ الأهمية لضمان فهم الموظفين لأهمية التدريب والاحتفاظ بالمعلومات.
مع ظهور الذكاء الاصطناعي التوليدي، أصبحت العديد من المنظمات حريصة على التكيف. بالنسبة للمؤسسات التي تتطلع إلى التعامل مع مشاريع الذكاء الاصطناعي، كيف يمكنها التغلب على هذه التحديات؟
أحب الفرح: تدخل المنظمات مجالات مجهولة – وغير منظمة إلى حد كبير – من التطوير الأخلاقي والمسؤول واستخدام التكنولوجيا المستقلة. ومن المهم أن نضع هذه الاستراتيجيات في الاعتبار ــ وأن نفعل ذلك بطريقة منهجية ومراعية للمخاطر.
انظر إلى معايير الذكاء الاصطناعي الناشئة للحصول على التوجيه. انتبه إلى مصدر البيانات وسلامتها. ابدأ رحلة الذكاء الاصطناعي التوليدي بحالة الاستخدام – أحد الأساليب الأكثر فعالية لاستخدام GenAI بنجاح هو دعم العملاء.
في حين أن الذكاء الاصطناعي جذاب للغاية وذو نوايا حسنة، إلا أنه لديه أيضًا القدرة على إحداث الفوضى إذا لم يتم توجيهه وإدارته بشكل صحيح. ولهذا السبب، يجب وضع حواجز الحماية والحوكمة المناسبة منذ البداية حتى يعمل الذكاء الاصطناعي كرفيق موثوق به للشركات. ومن الأهمية بمكان أن تعمل هذه الحواجز على تحقيق التوازن بشكل مناسب بين إدارة المخاطر وتمكين الابتكار والنمو المستدامين.
ما الذي يجب مراعاته عند تطوير استراتيجية الأمن السيبراني التي يمكن أن تكون ناجحة؟ ما هي الخطوة الأولى التي يجب على CISO اتخاذها؟ كيف يمكنك تحقيق حالة كافية من الحماية؟
أحب الفرح: الأمن السيبراني هو إدارة المخاطر عملية. يتيح ذلك للمؤسسة التعرف على الهجمات السيبرانية والحماية منها والمقاومة والتعافي منها، والتي يمكن أن تؤثر على العمليات التجارية والبيانات.
ستبدأ استراتيجية الأمن السيبراني الجيدة دائمًا بتحديد درجة تحمل مخاطر الأعمال – ما مقدار المخاطر التي ترغب الشركة في تحملها؟ لا يوجد خطر، الحد الأدنى من المخاطر، خطر معتدل، أخرى؟ وهذا يتطلب من CISOs إشراك الأعمال منذ البداية وتحديد فهم مشترك واضح لما يبدو عليه “الجيد”.
“مع تدفق مستويات عالية من البيانات إلى فرق الأمان يوميًا، أصبح فهم كل ذلك تحديًا كبيرًا”
كريس لوفجوي، كيندريل
ومن خلال هذا الفهم، يصبح من الممكن لمسؤولي أمن المعلومات صياغة استراتيجية منطقية – بناءً على إطار المخاطر – التي تسمح لهم بالوصف بشكل ملموس للاستثمارات أو الإجراءات التي ستدعم جهود الحد من المخاطر. ومن ثم يصبح الأمر متروكًا للإدارة لتحديد ما إذا كانت مقايضة المخاطر/المكافأة مقبولة.
ومن خلال إنشاء استراتيجية تعتمد على الفهم المشترك لـ “ما هو جيد بما فيه الكفاية”، لن يُترك كبير مسؤولي أمن المعلومات “يمسك بالحقيبة” عندما يحدث الانتهاك الحتمي.
السبب الرئيسي الآخر لفشل CISOs في تطوير الإستراتيجية هو محاولتهم تأمين ما هو غير قابل للتأمين بطبيعته. اليوم، تمتلك معظم المؤسسات مجموعة من الأصول القديمة التي لن تكون آمنة للاستخدام على الإطلاق. في هذه الظروف، يحتاج CISO إلى أن يصبح البطل الأساسي للتحديث لدعم العمليات التجارية الأكثر مرونة.
كيف ترتبط جودة البيانات بالأمن؟
أحب الفرح: هناك قول مأثور قديم – البيانات السيئة تدخل، والبيانات سيئة تخرج. في عصر أصبحنا نعتمد فيه بشكل متزايد على الذكاء الاصطناعي، يجب علينا أن ندرك الحقيقة المطلقة لهذا البيان ــ البيانات الموثوقة، حيث يتم ضمان المصدر والنزاهة على الأقل، هي الأساس لأي شكل من أشكال التحليلات. وهذا هو المجال الذي أرى فيه المنظمات معرضة لخطر كبير.
بينما هناك نقاش صحي حول الأخلاق والأمن حول خوارزميات الذكاء الاصطناعي، غالبًا ما نفشل في مراعاة مصدر وسلامة البيانات التي نستخدمها لتغذية الخوارزميات. ومن الأهمية بمكان أن نسأل أنفسنا: هل يمكننا أن نثق في أنه لم يتم التلاعب بالبيانات؟ ضع في اعتبارك أنه بمجرد تدريب خوارزمية الذكاء الاصطناعي، يكاد يكون من المستحيل الرجوع إلى الوراء و”إلغاء التدريب” عن طريق إزالة الميزات التي تمثل البيانات السيئة.
فكر في الأمر كما لو كنت تدرب طفلاً. مثلما لا يمكنك جعل الطفل “لا يرى” ما شاهده على شاشة التلفزيون، لا يمكنك بسهولة أن تجعل الذكاء الاصطناعي لا يرى البيانات التي تم تغذيتها بها.
كيف يتم تحقيق مرونة الأعمال؟ هل تعتقد أن الشركات لديها فهم جيد لهذا المفهوم وما ينطوي عليه؟
أحب الفرح: تبنت Kyndryl نهجًا مميزًا لتلبية احتياجات العملاء لضمان مرونة أعمالهم المدعومة رقميًا. لقد قمنا بتلخيص هذا النهج فيما نسميه المرونة السيبرانية. نحن نعرّف ذلك على أنه القدرة على التوقع والحماية والصمود والتعافي من أي حالة سلبية أو اضطراب أو تسوية تؤثر على الأعمال التجارية التي تعتمد على الإنترنت.
نحن نؤمن إيمانًا راسخًا بأن المؤسسات يجب أن تتجاوز التركيز قصير النظر على تهديدات الأمن السيبراني التقليدية، والتفكير في توقع الاضطرابات المختلفة التي قد تتعرض لها أعمالها القائمة على الإنترنت والحماية منها والصمود فيها والتعافي منها، مثل هجمات برامج الفدية والأعاصير والفيضانات وانقطاع التيار الكهربائي والأوبئة وغيرها. أكثر.
ويمكن تحقيق ذلك من خلال اعتماد إطار إدارة المخاطر السيبرانية الذي ينظر من خلال الفتحة الواسعة الموضحة أعلاه.
وفي حين أن هذا قد يكون بيانًا عن السلوك البشري، فقد رأينا أن تلك المنظمات ذات الوعي الناضج تتواجد في بلدان أو تعمل في قطاعات خاضعة للتنظيم. وبدون التنظيم، تميل المنظمات إلى الاستثمار فقط بعد التعرض لحادث ما. وبالنظر إلى خريطة التنظيم السيبراني، يصبح من السهل التنبؤ بالمؤسسات التي ستحقق أداءً أفضل من غيرها في مواجهة أي اضطراب أو اختراق كبير.
