يناقش قادة الأمن السيبراني الحكومي الخطوات التالية لتحقيق الثقة المعدومة

ضمت قمة Forrester Security & Risk التي عُقدت مؤخرًا في بالتيمور مسؤولين حكوميين في مجال الأمن السيبراني يناقشون دليلًا منشورًا حديثًا حول انعدام الثقة وتقييم الخطوات التالية للنموذج الأمني.

في الواقع، شركة Forrester معروفة بتقديمها انعدام الثقة يعود نموذج الأمان إلى عام 2009. ويشير شعار “لا تثق أبدًا، تحقق دائمًا” إلى نهج أقل امتيازًا. المحلل السابق في شركة Forrester جون كيندرفاج، وهو الآن أ رئيس المبشرين في Illumio، كان بطلاً أوليًا للثقة المعدومة.

في جلسة عقدت في 10 كانون الأول (ديسمبر)، ناقش قادة الأمن السيبراني “التنقل على المستوى الفيدرالي دليل أمان بيانات الثقة المعدومة“، والتي هي المجالس الفيدرالية لـ CISO و CDO نشرت في 31 أكتوبر مرشديقدم هذا الدليل، الذي وضعه 70 شخصًا من أكثر من 30 وكالة وإدارة اتحادية، تفصيلاً لكيفية تفكير الوكالات والمنظمات الحكومية بشأن مخاطر البيانات. الهدف هو تقديم دليل عملي حول كيفية تنفيذ الثقة المعدومة.

نظرة شاملة للبيانات والأمن

خلال الجلسة، ناقش ستيفن هيرنانديز، كبير مسؤولي أمن المعلومات في وزارة التعليم الأمريكية والرئيس المشارك لمجلس أمناء أمن المعلومات الفيدرالي الأمريكي، كيف يمكن للدليل تعليم متخصصي الأمن السيبراني الفيدراليين والخاصين التفكير من منظور الثقة الصفرية والبيانات.

وقال هيرنانديز للجمهور: “إنه أمر مثير للاهتمام لأننا نتحدث عن كيفية تسخير البيانات، لذلك نستخدم الكثير من التحليلات السلوكية والسجلات من أنظمتنا، وما إلى ذلك”. “هذا وجه واحد من العملة، ولكن الجانب الآخر من العملة هو كيفية حماية البيانات باستخدام مبادئ وتقنيات وعمليات الثقة المعدومة، وفي قسم إدارة البيانات، سيتعين علينا أن نتعامل بشكل أساسي مع كلا النظامين الأساسيين لتكون ناجحة. ”

متعلق ب:هجوم برامج الفدية على رود آيلاند يسلط الضوء على المخاطر التي تتعرض لها الحكومة

ووافقت آن كليف، المحللة الإدارية في مكتب تكامل المؤسسات في وزارة شؤون المحاربين القدامى الأمريكية، على أن هدف الدليل هو إنشاء وثيقة يمكن أن يفهمها مجتمع البيانات والأمن.

وقال كليف خلال الجلسة: “كان الأمر يتعلق بإنشاء دليل يمكن قراءته لكل من مجتمعات الأمن السيبراني والبيانات، والنظر على وجه التحديد في مدى انفصال المصطلحات لكلا المجتمعين”.

قال جيسون سنايدر، مدير تكنولوجيا المعلومات في ولاية ماساتشوستس، إنه يقدر الطريقة التي يمكن بها للدليل أن يدفع الوكالات والمنظمات الفيدرالية إلى ما هو أبعد من فهم بنية انعدام الثقة والقيام بشيء ما بها. وقال أيضًا إن ماساتشوستس كانت عند “نقطة الصفر” فيما يتعلق بثقة الصفر.

قال سنايدر خلال الجلسة: “أحد الأشياء التي أعجبتني حقًا في الدليل هو تركيزه الأساسي على البيانات، وعندما تتحدث عن انعدام الثقة، أعتقد أن هذا هو مجال التركيز الصحيح”. “لذا، فإن ما نقوم به داخل ولاية ماساتشوستس هو المضي قدمًا من منظور البيانات وفهم بياناتنا بشكل أفضل، وفهم الأنواع المختلفة من البيانات التي لدينا بشكل أفضل، ومن ثم العمل على طرق لحماية تلك البيانات.”

متعلق ب:مجرمو الإنترنت وهيئة الأوراق المالية والبورصات: ما تحتاج الشركات إلى معرفته

وترى هايدي شي، المحللة الرئيسية في شركة Forrester والمنسقة المشاركة للجنة، أن الدليل قابل للتطبيق على المنظمات خارج نطاق الولاية والحكومة الفيدرالية. على سبيل المثال، يخطط أعضاء اللجنة لإضافة قسم حول مخاطر سلسلة التوريد.

وفي مقابلة أجريت بعد الجلسة، قالت شي لموقع InformationWeek إن الدليل يمكن أن يساعد المنظمات على عدم العمل في صوامع فيما يتعلق بالبيانات والأمن.

“نحن نتحدث عن تضمين ضوابط أمن البيانات طوال دورة الحياة بأكملها والتفكير في كيفية إدارة البيانات وكيفية حمايتها بطريقة أكثر شمولية، بحيث لا تعمل هاتان الوظيفتان داخل المؤسسات كوظائف منعزلة بعد الآن قال شي: “كما كانت تاريخياً”. “أعتقد أن هذه إحدى أهم النقاط التي يمكن أن يستخدمها الأشخاص من هذا الدليل للمساعدة في جمع هاتين المجموعتين معًا حول أمان بيانات انعدام الثقة.”

وأوصى كليف المؤسسات باستخدام الدليل لإنشاء خارطة طريق لتنفيذ بيانات الثقة المعدومة استنادًا إلى المبادئ العامة لإدارة البرنامج. وسيشمل ذلك تحليل النضج وتقييمات الفجوات. بعد ذلك، يمكن للمؤسسات تنفيذ برامجها كما خططت لها، بما في ذلك فحص الشؤون المالية، وفحص المخاطر، وإدارة الأداء. ومع ذلك، أشارت إلى أن قادة المجموعة التنفيذية مثل كبير مسؤولي أمن المعلومات (CISO) ومسؤول البيانات الرئيسي سيحتاجون إلى التشاور بشأن كيفية تخصيص الميزانيات.

متعلق ب:هل يأتي الذكاء الاصطناعي المكتبي مصحوبًا بجانب من المخاطر؟

يحتوي الفصل الرابع من الدليل على عنصر نائب لموضوع “إدارة البيانات”. يود كليف أن يرى هذا الفصل مليئًا بمناقشة مواءمة إدارة البيانات مع أمن البيانات بالإضافة إلى كيفية استخدام إدارة البيانات لتقليل خروقات البيانات. بالإضافة إلى ذلك، يجب أن يغطي الفصل التفاعل بين محركات البيانات والتعلم الآلي من حيث صلته بأمن البيانات، وفقًا لكليف. يتضمن ذلك إعداد البيانات لنماذج التعلم الآلي.

قال كليف: “ستصبح هذه وثيقة أساسية أحتفظ بها على مكتبي طوال الوقت”. “أريد حقًا أن أراه محدثًا.”

وقال هيرنانديز إن العمل على دليل أمان بيانات Zero Trust لا يزال معلقًا حتى أواخر يناير، ولكن بعد ذلك سيطلع فريقه الإدارة القادمة حول “الوضع العام لكل ما يتعلق بالأمن السيبراني”. وقال أيضًا إن مجلس CISO يمكنه إضافة قسم الثقة المعدومة إلى المنشور الخاص رقم 800-60 الصادر عن المعهد الوطني للمعايير والتكنولوجيا، والذي يوفر إرشادات حول كيفية تعيين البيانات إلى الأنظمة الأمنية.

المستوى التالي للثقة المعدومة

وفي الوقت نفسه، في جلسة نقاش أخرى عُقدت في 10 كانون الأول (ديسمبر)، تناول أعضاء لجنة “مبادرة الثقة المعدومة من المستوى التالي” من الحكومة الفيدرالية وكذلك شركة GE Aerospace كيف يمكن للوكالات الحكومية والقطاع الخاص المضي قدمًا في ظل انعدام الثقة.

أخبر إريك بولين، المدير الأول لاستراتيجية وإدارة تكنولوجيا الأمن السيبراني في GE Aerospace، الحضور أن تطبيق نفس مبادرات الثقة المعدومة على جميع الفرق لن ينجح.

قال بولين: “يمكنك تصميم خطة رئيسية لانعدام الثقة، ولكن في نهاية المطاف، إذا حاولت وضع خطة شاملة واحدة لانعدام الثقة، فسوف ينتهي بك الأمر إلى تنفير بعض خطوط الأعمال الفردية”.

وفي وزارة الداخلية، قام لو إيشنباوم، مدير برنامج الثقة المعدومة، ببناء “مجتمع ممارسات انعدام الثقة” على مدى ثلاث سنوات، حسبما قال للجمهور. تحترم الإدارة المهام المنفصلة لمناطق مثل National Park Service، وجميعهم لديهم مدخلات في كيفية تعامل الإدارة مع انعدام الثقة.

وشدد براندي سانشيز، مدير مبادرة الثقة المعدومة في وكالة الأمن السيبراني وأمن البنية التحتية بوزارة الأمن الداخلي، على أهمية دمج الثقة المعدومة في جميع المستويات.

قال سانشيز: “يجب أن يكون جزءًا من كل قرار وكل منظمة”. “في أي وقت تشتري فيه برنامجًا، في أي وقت تشتري فيه شيئًا ما، في أي وقت تقوم فيه بتطوير نظام، يجب أن يتم كل ذلك [incorporate] الثقة الصفرية هي الأساس.”

إن التحدي الذي يمضي قدماً في انعدام الثقة لن يكون بالضرورة في التكنولوجيا، بل في الأشخاص والعمليات والحصول على موافقة القيادة والتأكد من توافق جميع الفرق، وفقاً لكارلوس ريفيرا، مدير اللجنة وأحد كبار المحللين في شركة Forrester.

“إنها ليست مجرد مبادرة في مجال تكنولوجيا المعلومات والأمن؛ وقال ريفيرا لمجلة InformationWeek عقب الجلسة: “إنها مبادرة تنظيمية”. “لذا، فإن إشراك هؤلاء الأفراد، مثل العملاء المحتملين من الموارد البشرية، والقادة من التمويل، والحصول على فهم أفضل لما يؤثر عليهم وما هو مهم بالنسبة لهم، وكيف يمكننا تمكين أعمالهم والسماح لهم بالاستفادة من تقنيات معينة [but] ليس على حساب الأمن، فهذا هو المكان الذي سيأتي فيه النجاح”.

ونظرًا لوجود نماذج نضج متعددة، تعمل سانشيز وفريقها مع وزارة الدفاع على توجيهات الثقة المعدومة.

وأوضح سانشيز خلال الجلسة: “الكلمات مهمة، وعندما نقول شيئًا ما وتفسره وكالة أخرى بطريقة مختلفة، فإن ذلك يسبب ارتباكًا”. “لذلك، في أي مكان يمكننا مواءمته، ويمكننا فيه تنسيق ما نقوم به، وما يفعله الآخرون، وجعل الجميع على نفس الصفحة عبر الحكومة الفيدرالية، هذا هو المكان الذي نريد أن نتوجه إليه.”

وقال ريفيرا إن المؤسسات حققت الآن النضج فيما يتعلق باستراتيجية وتخطيط الثقة المعدومة، وهي الآن تتحرك نحو تطبيق الثقة المعدومة في عملياتها.

يرى سانشيز أن الحكومة الفيدرالية تقدم المزيد من التعمق الفني والإرشادات حول انعدام الثقة في العام أو العامين المقبلين. سيقوم فريقها بإصدار منشورات حول التنقل المؤسسي والتجزئة الدقيقة. للمضي قدمًا، يرغب سانشيز في رؤية الوكالات الحكومية تركز بشكل أكبر على تنفيذ استراتيجية الثقة المعدومة استنادًا إلى بيئة المخاطر الخاصة بها بدلاً من مجرد تحديد المربع.

“أنت بحاجة إلى اتباع نهج عدائي حيث تنظر إلى انعدام الثقة لأن هذا هو ما يفعله الأشرار، أليس كذلك؟ يريدون الدخول. قال سانشيز: “إنهم يريدون الحصول على معلوماتك”. “وبالتالي فإن اتباع نهج استراتيجي يعتمد على هذا الرأي هو المكان الذي يمكنك فيه تغيير السيناريو، وهذا هو ما نحاول دفع الوكالات نحوه، وهو وضع ذلك في الاعتبار والإدارة على مستوى المخاطر، مقابل مجرد تحديد المربع لأن هذا لن يقربنا من المرمى.”