يؤثر الحجم المتزايد للوائح الامتثال للأمن السيبراني على الطريقة التي يقوم بها كبار مسؤولي أمن المعلومات وغيرهم من قادة أمن تكنولوجيا المعلومات بوضع الاستراتيجيات وتخصيص الموارد.
تواصل الولايات محاكاة اللائحة العامة لحماية البيانات (GDPR) للاتحاد الأوروبي، في حين تستمر كاليفورنيا في كونها الولاية الرائدة من خلال تقديمها لقانون خصوصية المستهلك في كاليفورنيا (CCPA).
والحكومة الفيدرالية كذلك يميل على إدارة الثغرات الأمنية مع التركيز على البرامج – ينصب التركيز هنا على معرفة وإدارة المخاطر المرتبطة بقائمة مواد برامج المؤسسة.
تجبر متطلبات إعداد التقارير والإفصاح هذه مسؤولي أمن المعلومات على سحب الستار وكشف بالضبط كيفية إدارة المخاطر السيبرانية والتعامل مع الحوادث السيبرانية.
فهم ديناميكيات الأمان
من الناحية التشغيلية، سيحتاج مدراء أمن المعلومات إلى المشاركة بشكل متزايد في المنظمة ككل – وليس فقط فرق تكنولوجيا المعلومات والأمن – لفهم ديناميكيات الأمان الشاملة للشركة.
يوضح توم كينيدي، نائب رئيس شركة Axonius Federal Systems، عبر البريد الإلكتروني: “إن هذه عملية كثيفة الاستخدام للموارد، ولكنها ضرورية حتى تجد الشركات أساسًا مستدامًا في المشهد التنظيمي الجديد”.
ويشير إلى تفويض الإفصاح عن هيئة الأوراق المالية والبورصات، الأمر الذي يتطلب من المسجلين الكشف عن “حوادث الأمن السيبراني المادية”، كمثال رائع على كيفية نضال الشركات الخاصة للامتثال.
ومن وجهة نظره، فإن المشكلة الأساسية تكمن في الافتقار إلى الوضوح في إطار التفويض الذي يحدد ما يشكل خرقاً “مادياً”، وأين ينبغي تحديد الحد الأدنى عندما يتعلق الأمر بالوضع الأمني للشركة.
ويقول: “ونتيجة لذلك، شهدنا تنوعًا كبيرًا في ما تم الكشف عنه مؤخرًا من حوادث سيبرانية للشركات، بما في ذلك تكرارها ومستوى التفاصيل وحتى التوقيت”.
وأضاف أن هذا النقص في الوضوح هو الذي يمكن أن يجعل من الصعب على الشركات في مختلف القطاعات معرفة ما إذا كانت متوافقة أم لا.
يقول كينيدي: “الخطوة الأولى لتعزيز وضعك الأمني هي معرفة سطح الهجوم الكامل لديك – لا يمكنك حماية ما لا تعرف عنه”. “يجب أن يكون مدراء تكنولوجيا المعلومات وفرقهم على دراية بجميع الأنظمة الموجودة في شبكتهم – الحميدة والنشطة على حد سواء – وأن يفهموا كيفية عملهم معًا، وما هي نقاط الضعف التي قد تكون لديهم.”
بمجرد تعيين خط الأساس هذا، يمكن لرؤساء أمن المعلومات اتخاذ قرارات أكثر استنارة ويمكنهم فرز وضعهم الأمني.
ويقول: “سيسمح هذا أيضًا لرؤساء أمن المعلومات ببناء مرونتهم السيبرانية بطريقة مستدامة من خلال تمارين سطحية أكثر دقة وخطط تخفيف واقعية”.
الاستثمار في الموارد الإضافية
أشار جون ألين، نائب رئيس المخاطر السيبرانية والامتثال في Darktrace، إلى أن المتطلبات المتعلقة بإدارة مخاطر الأمن السيبراني وممارسات الحوكمة، ومن المحتمل أن يكون للمؤسسات الأكبر حجمًا وتلك العاملة في الصناعات المنظمة السبق.
وعادةً ما يكون لديهم بالفعل هياكل قائمة تؤدي الأنشطة المطلوبة أو يمكنها القيام بها.
ويقول عبر البريد الإلكتروني: “على الرغم من أنه يجب أن تتمتع كل مؤسسة داخل النطاق بقدرات حول المخاطر، فقد يتعين على المنظمات الصغيرة والمنظمات العاملة في الصناعات الأقل تنظيمًا الاستثمار في موارد إضافية للارتقاء بإدارة مخاطر الأمن السيبراني وإدارتها إلى المستوى المناسب”.
وينصح بأنه، عندما يكون ذلك ممكنًا، يجب على كبار مسؤولي أمن المعلومات دمج جهود الامتثال الجديدة في العمل الحالي الذي تؤديه فرقهم بالفعل.
ويقول: “يمكن أن يكون الامتثال هو النقطة المحورية لطلبات التمويل وصافي القدرات الجديدة، ولكن إلى حد كبير، يجب أن تكون متطلبات الامتثال هي الأشياء التي تقوم بها المنظمة بالفعل وإن لم تكن بالمستوى المطلوب”.
ومن وجهة نظره، يعد هذا التركيز المتزايد على الامتثال التنظيمي فرصة واضحة لرؤساء أمن المعلومات لتحسين الوضع الأمني العام لمؤسساتهم.
ويضيف: “ومع ذلك، يجب عليهم أن يضعوا في اعتبارهم أن مجرد الامتثال ليس هو الهدف، بل هو وسيلة لتسليط الضوء على أهمية تحسين المرونة السيبرانية”.
نظرًا لانتشار التهديدات الناشئة وأعمالهم المتطورة، يجب على رؤساء أمن المعلومات بشكل متكرر إعادة تقييم احتياجاتهم وقدراتهم عبر المرونة السيبرانية لضمان أن مؤسساتهم آمنة ضد المشهد السيبراني المليء بالتحديات.
الأولويات مستمدة من تقييمات المخاطر
يوضح مات هيلاري، نائب رئيس قسم الأمن ورئيس أمن المعلومات في شركة Drata، أن كل مؤسسة مختلفة عن الأخرى، وبالتالي فإن التركيز على المكان الذي يجب أن تبدأ فيه سيكون مختلفًا أيضًا بشكل عام.
ويقول: “ومع ذلك، توجد العديد من القواسم المشتركة بين المنظمات عند تحديد أهداف برامجها الأمنية الخاصة”.
تتضمن هذه المجالات أشياء مثل إنشاء برنامج أمان تطبيق قوي، وتشغيل عمليات أمنية قادرة، وبرنامج الكشف والاستجابة، وتشغيل برنامج الامتثال الأمني، والمعروف أيضًا باسم الحوكمة والمخاطر والامتثال (GRC)، بالإضافة إلى تشغيل نظام قادر برنامج تكنولوجيا المعلومات وأمن الشركات.
وتقول هيلاري: “في جميع الأحوال، فإن أولوية أهدافهم سوف تستمد من تقييماتهم الخاصة للمخاطر”. “إن أعلى المخاطر التي تم تحديدها في مؤسساتهم ستحدد ما يجب أن يكون على رأس قائمتهم عند تقييم الوضع الأمني لمنظماتهم وتعزيزه.”
