3 طرق يمكن لمجالس الإدارة من خلالها زيادة ذكائها الأمني ومعالجة المخاطر السيبرانية
إن التعامل الدقيق مع المخاطر السيبرانية وفهمها بشكل كامل يشكل تحديًا مستمرًا للشركات ومسؤولية محتملة على مجالس الإدارة.
وفقًا لاستطلاع PwC السنوي لمديري الشركات، 49% من المديرين يرى البعض أن الأمن السيبراني يشكل إغفالاً وتحديًا كبيرًا. علاوة على ذلك، 85% من مسؤولي أمن المعلومات نعتقد أن مجلس الإدارة يجب أن يقدم إرشادات واضحة بشأن تحمل المنظمة للمخاطر حتى يتمكنوا من التصرف بناءً عليها، وفقًا لتقرير IANS State of the CISO Benchmark Report 2024. ونظرًا لمشهد التهديدات الواسع، (على سبيل المثال، رفض الخدمة الموزع [DDoS] هجمات و برامج الفديةومع تطور التكنولوجيا، أصبح المسؤولون التنفيذيون عن بروتوكولات الأمن السيبراني يواجهون الآن قرارات معقدة بشكل متزايد عندما يتعلق الأمر باختيار حلول أمن المؤسسة.
وعادة ما تقع هذه المهمة على عاتق المدير التنفيذي لتكنولوجيا المعلومات، الذي يتعين عليه التواصل مع فرق العمل التابعة له أو مجلس الإدارة أو الهيئات التنظيمية، وفي أسوأ الأحوال الدفاع عن هذه القرارات. ومع تزايد مشاركة كبار قادة الأعمال في تدابير الأمن السيبراني، أصبحت الحاجة إلى قدرة أكثر عملية واستنارة على إدارة مخاطر الأمن السيبراني واضحة.
يمكن أن تؤدي الحوادث السيبرانية إلى تعطيل العمليات التجارية، وإضعاف توافر التطبيقات والخدمات، والتأثير سلبًا على الإيرادات والخدمات الحيوية، وتؤدي إلى أضرار كبيرة بالسمعة. على سبيل المثال، لا تبحث أبعد من المخاطر التي تشكلها مجموعات القرصنة العالمية مثل السودان مجهول و نو نام057(16)إن هذه المجموعات التي لم تكن موجودة قبل بضع سنوات تشن الآن حربًا إلكترونية بشكل مستمر وتخلق حالة من الفوضى باستخدام أساليب هجوم الحرمان من الخدمة الموزعة لتعطيل الكيانات الحكومية في أعقاب الانتخابات الوطنية والأحداث الرياضية الكبرى وغيرها من الأنشطة العالمية.
في حين لا يحتاج أعضاء مجلس الإدارة والمديرون إلى أن يكونوا خبراء في الأمن السيبراني، فإنهم بحاجة إلى فهم أن معالجة المخاطر السيبرانية ليست مسؤولية فرق تكنولوجيا المعلومات الخاصة بهم فحسب، بل هي مسؤولية المنظمة بأكملها. مع وضع ذلك في الاعتبار، دعونا نستكشف كيف يمكن لمجالس الإدارة رفع مستوى ذكائها الأمني والتعاون مع فرق الأمن في وضع استراتيجيات لإنشاء إدارة مخاطر مؤسسية مناسبة لسد الثغرات المحتملة:
1. فهم المخاطر السيبرانية النوعية والكمية
نحن نعلم أن الوقت أمر بالغ الأهمية في أي حادث أمني، سواء كان هجومًا لرفض الخدمة، كما ذكرت أعلاه، أو حادثًا آخر يغمر الشبكة. بمجرد وقوع الحادث، تجري فرق تكنولوجيا المعلومات تقييمًا موجزًا للمخاطر النوعية والكمية. تعد تقييمات المخاطر النوعية مفيدة لأنها يمكن إجراؤها بسرعة ويسهل توصيلها نسبيًا. لسوء الحظ، لديها أيضًا عيبان كبيران. نظرًا لكونها ذاتية، فإن التقييمات النوعية معرضة للتحيزات الطبيعية التي يمكن أن تجعل هذه التقييمات أقل دقة وأقل موثوقية. كما أنها لا توفر مقياسًا ملموسًا للتأثير المحتمل لوزنه وتأسيس القرارات (على سبيل المثال، الحدث ذو التأثير العالي أسوأ من المتوسط، ولكن بأي قدر؟ ما هو مقياس التأثير المنخفض مقابل التأثير العالي؟). أدخل تقييم المخاطر الكمية.
كما يوحي الاسم، فإن تقييم المخاطر الكمية يعتمد على المقاييس مثل متوسط الخسارة المتوقعة (SLE)، ومعدل الحدوث السنوي (ARO)، ومتوسط الخسارة المتوقعة السنوية (ALE)، من بين أمور أخرى. تتوج هذه المقاييس بقيمة مالية للمخاطر وتوفر للمديرين التنفيذيين في الشركات – بخلاف المتخصصين في تكنولوجيا المعلومات والأمن – نتائج يمكنها تصنيف المخاطر وترتيبها حسب الاحتمالية والتأثير. باختصار، يمكن أن تعمل كلتا طريقتي القياس معًا في استراتيجية أوسع للمخاطر السيبرانية لتبسيط كيفية تواصل مجالس الإدارة بشأن المخاطر وتفسير البيانات القابلة للتنفيذ. بموجب لائحة لجنة الأوراق المالية والبورصات، تحتاج الشركات إلى الإبلاغ عن حوادث الأمن السيبراني في غضون أربعة أيام بمجرد تحديد أهميتها.
2. التعرف على دور معايير الامتثال في إدارة المخاطر
وكما أنه من الضروري أن يكون هناك خطة أمنية جاهزة للتعامل مع خروقات البيانات، فمن الضروري أيضاً أن يظل أعضاء مجلس الإدارة على اطلاع بالمشهد المتغير للمعايير القانونية والتنظيمية والداخلية. على سبيل المثال، كيف سيؤثر حكم المحكمة العليا بشأن مبدأ شيفرون هل تؤثر قواعد الامتثال المستقبلية على أوروبا؟ كيف يتم تحقيق التوازن بين معايير حماية البيانات العامة (GDPR) والابتكار في مجال الذكاء الاصطناعي؟
ورغم أن الإجابات الفورية قد لا تكون واضحة، فإن المجلس لابد أن يفصح عن المعلومات لأصحاب المصلحة. بالإضافة إلى ذلك، تشكل أطر التحكم في النظام مكونات قيمة لموقف أمني متوافق، مثل إطار عمل المعهد الوطني للمعايير والتكنولوجيا (المعهد الوطني للمعايير والتكنولوجيا) إطار عمل لتحسين الأمن السيبراني للبنية التحتية الحرجة (NIST SP 800-53)، إطار عمل أمان الثقة الصفرية ومركز أمن الإنترنت (رابطة الدول المستقلة) ضوابط الأمن الحرجة للدفاع السيبراني الفعال، والتي تم الترويج لها من قبل معهد سانسبالإضافة إلى ذلك، من المهم فهم إطار التحكم؛ NIST-CFS أو المنظمة الدولية للمعايير (ايزو) 27001. وأخيرًا، إذا باعت المنظمة للحكومة الفيدرالية، فسيكون المعهد الوطني للمعايير والتكنولوجيا مهمًا، وإذا كانت شركة عالمية، فسيتم الاعتراف بإطار عمل برنامج ISO عالميًا. تتداخل هذه الأطر بشكل كبير. إذا كنت قد بدأت للتو، فابدأ بـ ثمانية أساسية لفهم الوضع الأمني لشركتك.
الحقيقة هي أن الخروقات سوف تحدث. ومع ذلك، فإن الفهم الأساسي لبروتوكولات الامتثال يوفر الأساس للمجالس الإدارية لفهم اللوائح الحاسمة التي تحكم سياسة الأمن السيبراني وكيفية استخدام فرق تكنولوجيا المعلومات لها لإنشاء استراتيجية أكثر قوة لإدارة المخاطر في نهاية المطاف.
3. تنفيذ أدوات الأمن السيبراني كجزء من استراتيجية شاملة
كما أنه أمر بالغ الأهمية بالنسبة لـ إن الفريق بأكمله ــ أعضاء مجلس الإدارة، ومحترفي الأمن، وموظفي الأمن ــ لابد وأن يفهم كيف ولماذا يؤثر مشهد التهديدات المتطور على استمرارية الأعمال. وفي حين أنه من الضروري اختيار أعضاء مجلس إدارة جدد يتمتعون بخبرة عملية في مجال الأمن، فإن قرارات الأمن السيبراني لا يمكن أن تكون مجرد تفكير ثانوي كما هي الحال في كثير من الأحيان في أي منظمة. بل لابد وأن تكون أساسية لوضع الأمن العام في المنظمات وعملية اتخاذ القرار.
أدوات مثل تقنيات الدفاع المتقدمة ضد هجمات الحرمان من الخدمة، والتفتيش العميق للحزم (DPI) القائم على كشف الشبكة والاستجابة لها (NDR) إن التكنولوجيا، ووحدات تدريب الموظفين على التصيد الاحتيالي/البرمجيات الخبيثة، إلى جانب أدوات مكافحة الفيروسات الأساسية، والمصادقة الثنائية، وجدران الحماية، والبريد العشوائي، من شأنها أن تشكل استراتيجية الأمن السيبراني الشاملة للمؤسسة. وهذا النهج الكامل من شأنه أن يهيئ المؤسسات للنجاح في مواجهة التهديدات الشبكية المتطورة.
الاستثمار في الأمن = إدارة جيدة للشركات
قد يكون الأمن السيبراني مجالاً مخيفاً لمجلس الإدارة. إنه لأمر صعب أن نتعامل مع نواقل الهجوم الجديدة المعقدة وفهم منهجية الجهات الفاعلة السيئة. ومن المؤسف أن هذه المسؤولية سوف تزداد تعقيداً بمرور الوقت مع استمرار المهاجمين في إيجاد طرق جديدة للتسلل إلى الشبكات وتصميم الثغرات الخبيثة. وبسبب هذا التهديد المستمر، وللوفاء بالتزاماتهم كأوصياء على مستقبل الشركة، يحتاج مجلس الإدارة إلى أن يكون على دراية بأحدث التحديات التي يواجهها رؤساء أمن المعلومات وفرق الأمن الخاصة بهم. ويبدأ ذلك بتعلم كيفية إدارة المخاطر السيبرانية، والاهتمام النشط بالأدوات والاستراتيجيات اللازمة لحماية مؤسستهم عند وقوع الهجمات.
