لا يمكن التقليل من أهمية الترابط بين نقاط الضعف والمخاطر والتهديدات في مجال الأمن السيبراني لضمان تقييم شامل وفعال للمخاطر داخل المؤسسة.
إن فهم مجموعة هذه العناصر وترتيب أولوياتها أمر بالغ الأهمية لإدارة المخاطر والتخفيف منها بشكل فعال.
في هذه المناقشة الأرشيفية، يشارك رون جيرير، كبير مسؤولي التكنولوجيا في منظمة Save the Children؛ وريا سانجاي، مديرة الخدمات المهنية العليا في LogicGate؛ ونيكولاس كاثمان، كبير مسؤولي أمن المعلومات في LogicGate، طرقًا لتطوير استراتيجية تقييم مخاطر الإنترنت المخصصة لمؤسستك. وقد أدار البث براندون تايلور من InformationWeek.
كان هذا الجزء جزءًا من ندوتنا عبر الإنترنت المباشرة بعنوان “تقييم المخاطر السيبرانية في مؤسستك”. وقد قدمت InformationWeek الحدث في 17 يوليو 2024.
فيما يلي نص الفيديو، وقد تم إجراء تعديلات طفيفة عليه من أجل الوضوح.
براندون تايلور: رون، كيف تقوم بتعريف المخاطر والتهديدات والثغرات الأمنية في النظام؟
رون جيرير: في كثير من الأحيان تتشابك هذه الأمور، ويميل الناس إلى اعتبارها متشابهة، لكنها تختلف قليلاً. إن ملف المخاطر هو احتمال حدوث شيء ما بالفعل. إنه ملف للمخاطر.
هناك مخاطر عالية ومخاطر منخفضة ومتوسطة. والضعف، كما نحدده أنا وموظفي عادة، هو شيء ما حيث يوجد خلل في الدرع أو انقطاع في السلسلة. هناك تحد أو مشكلة في الطريقة التي تم بها بناء شيء ما.
ربما تم بناء هذا النظام بالطريقة التي كان من المفترض أن يتم بها، ولكن بمرور الوقت، تظهر نقاط الضعف وتكشف عن نفسها باعتبارها مصدرًا عالي الخطورة. وتعتمد خطورة كل هذا على مدى ارتفاع أو انخفاض هذه المخاطر.
لذا، بالنسبة لي، يعتمد الأمر كليًا على المنتج أو الخدمة التي أدعمها بصفتي مديرًا تنفيذيًا لتكنولوجيا المعلومات أو مديرًا تنفيذيًا للتكنولوجيا. على سبيل المثال، عندما كنت أعمل في مجال الأدوية في شركة Express Scripts كشركة تبلغ قيمتها 108 مليارات دولار، كنا نرسل الأدوية الصيدلانية من خلال Walgreens وCVS وغيرها.
كان علينا التأكد من حماية معلومات التعريف الشخصية وجميع قواعد HIPAA أولاً. لذا، كان هذا هو الجزء الذي عزلناه أكثر من غيره. هذا هو الجزء الذي نحميه أكثر من غيره.
ولكن عندما انتقلت إلى HP، على سبيل المثال، كان الأمر يتعلق بالمخططات التفصيلية لكيفية عمل أنظمتنا. إن الملكية الفكرية التي نمتلكها هي التي تقف وراء التكنولوجيا، والتي توجد داخل الكمبيوتر المحمول، على سبيل المثال.
وهنا اليوم، ما أقوم بحمايته أكثر من أي شيء آخر هي الهويات الرقمية للأطفال الذين نخدمهم ونساعدهم، ولكن أيضًا المانحين الذين يبذلون جهودًا سخية للغاية لمساعدة هؤلاء الأطفال.
لذا، هذا هو ما أريد التركيز عليه أكثر من أي شيء آخر. لذا، فإن نقاط الضعف والمخاطرة هي حساباتي وما أركز عليه أكثر في هذه المجالات الثلاثة.
ولكن من المهم جدًا أن تفهم حقًا ما الذي تحميه أكثر، ومن ثم يكون لديك البعد الصحيح لمستوى الأهمية حول ذلك.
هناك المزيد حول هذا الموضوع، ولكنني سأتوقف قليلاً لأنني أستطيع أن أجيب على هذا السؤال في غضون 30 دقيقة أخرى. أعتقد أن هذا يوضح جوهر الإجابة.
بي تي: ريحة، هل لديك أي شيء لتضيفه هنا؟
ريا سانجاي: نعم، بالتأكيد، براندون. لقد أعجبني ما قلته، رون، عن الطريقة التي تفكر بها بشأن نقاط الضعف والمخاطر والتهديدات.
نظرًا لكون الأمن السيبراني مفهومًا جديدًا، فقد بدأ الجميع في التعامل معه بجدية والاعتراف بأنه ليس مسألة ل إذا كان الأمر يتعلق بـ عندما ذكما تعلمون، لقد سمعنا هذه العبارة.
إذا كنت أصف الأمن السيبراني على أنه شخص يتطلع إلى الحصول على مزيد من الراحة أو التعود عليه، أو بناء ثقافة المخاطرة الخاصة به داخل المنظمة، فإنني أفكر في هذا المثال الأساسي.
قد يقتحم شخص ما منزلك، والخطر يكمن في احتمال حدوث أمر سيئ مثل هذا الاقتحام. والتهديد يكمن في ظهور اللص ومحاولة اقتحام المنزل. ثم تكمن نقطة الضعف في أن ذلك يحدث بسبب ترك نافذة مفتوحة في منزلك.
لذا، أود أن أقيس الأمر أيضًا بهذه المصطلحات لمساعدة الأشخاص الذين قد لا يكونون على دراية أو مرتاحين تمامًا بعد عند محاولة فهم المزيد عن إدارة المخاطر وما تعنيه. ما رأيك، نيك؟
نيكولاس كاثمان: لقد أعجبتني حقًا المقارنة بين الثغرات الأمنية والدروع. أعتقد أن أحد الأشياء التي ألاحظها كثيرًا هو أن معظم الأشخاص عندما يفكرون في الثغرات الأمنية، لا يفكرون إلا في التصحيحات وإدارة التصحيحات.
أعتقد أن الثغرات الأمنية تشكل تصنيفًا أوسع بكثير للأشياء من مجرد تصحيح. فقد تكون نتيجة لخطأ في التكوين، أو مشكلة معمارية، أو مشكلة تشغيلية، مثل عدم اتباع عملية معينة.
لذا، هناك كل أنواع الأشياء المختلفة التي يمكن تصنيفها ضمن الثغرة الأمنية، لكن الثغرة الأمنية هي ما قد يحدث. لذا، بالنسبة لي، الأمر أشبه بما قد يحدث؟ أين توجد الثغرات أو الثغرات في درعي؟
التهديد هو مثل من أو ما الذي سيتسبب في ذلك؟ قد يكون التهديد شخصًا أو تهديدًا داخليًا أو شيئًا من هذا القبيل. قد يكون أيضًا كارثة طبيعية تحدث.
لذا، فإن التهديد بحدوث حدث مناخي يؤدي إلى إغراق مركز البيانات الخاص بك أو تعطيل شيء ما هو نوع آخر من التهديدات التي لا ترتبط بشخص واحد فقط.
ثم يأتي الخطر في شكل مزيج من الاثنين. وسنتحدث لاحقًا بمزيد من التفصيل عن أوقات التأثير والاحتمال يساوي المخاطرة، ثم خطط العلاج المتعلقة بهذا الموضوع.
إذا تمكن شخص سيء أو تهديد سيء من استغلال ثغرة أمنية، فماذا يحدث إذن؟ وما هي نتيجة ذلك؟ عادة، نحاول ربط المخاطر بالتأثير الذي قد يخلفه هذا الاستغلال على الأعمال التجارية.
على سبيل المثال، لا تشكل الثغرة الأمنية الفردية ضد نظام رقمي مشكلة كبيرة. أما الثغرة الأمنية ضد البنية الأساسية الضخمة الخاصة بشركة SAP والتي تتسبب في تعطيل النظام، فتحدث تأثيرًا تجاريًا أكبر كثيرًا، على سبيل المثال.
شاهد الندوة الحية الأرشيفية “تقييم المخاطر السيبرانية في مؤسستك” عند الطلب اليوم.
