أتذكر الأيام الأولى من مسيرتي المهنية كرئيس تنفيذي لأمن المعلومات (CISO). كنا في كثير من الأحيان ننزل إلى زاوية مظلمة في قسم تكنولوجيا المعلومات، ونتحدث بلغة المنافذ والتصحيحات والبروتوكولات التي يتسامح معها بقية كبار المسؤولين بأدب.
ولم يكن الأمر كذلك حتى تعلمت الترجمة الثغرات الأمنية في مخاطر الأعمال أن المحادثة – وحياتي المهنية – تغيرت بشكل أساسي. الآن، كرئيس تنفيذي، أرى الأمر من الجانب الآخر: الأمن ليس مجرد آلية دفاع؛ ويمكن استخدامه أيضًا كبرنامج استراتيجي لإدارة الموارد.
ويواجه رئيس أمناء أمن المعلومات (CISO) الحديث معضلة أساسية: مجموعة أدوات مكتظة، وميزانية محدودة، ومجلس إدارة يطالب بإثبات “أننا محميون”. لقد فشلت الأساليب التقليدية، مثل شراء الأدوات لتلبية مربعات اختيار الامتثال أو الاستجابة لأحدث ضجيج البائع. وهذا يترك الأمن في حالة من التخمين الفوضوي حيث غالبًا ما يخفي التكرار ثغرات كبيرة.
والحل الأكثر فعالية هو اعتماد استراتيجية دفاعية قائمة على التهديد. يتطلب هذا النهج أن يتم تخطيط كل دولار أمني وتحكم وأداة أمنية بدقة مقابل سلوكيات الهجوم المحددة في العالم الحقيقي التي من المرجح أن تسبب ضررًا ماليًا للمؤسسة. كما أنه يعيد تعريف دور CISO من الوصي الفني إلى إدارة المخاطر الاستراتيجية شريك. لنبدأ بالسبب وراء فشل النهج القائم على الامتثال للوصي الفني CISO.
تحديد أولويات التهديدات الصحيحة: منظور الخصم
الفشل الأول للنموذج القائم على الامتثال هو عدم قدرته على تحديد الأولويات. ليست كل نقاط الضعف متساوية، وليست كل التهديدات ذات صلة. ومن الأهمية بمكان أن تقوم الشركة بتقييم وإثبات أنها تنفق الأموال على تخفيف التهديدات الأكثر أهمية، بدلاً من المخاطر البسيطة. تضمن هذه الممارسة، المعروفة باسم تحديد أولويات المخاطر، معالجة التهديدات الأكثر تأثيرًا أولاً لحماية الأداء المالي والسمعة والقدرة على الاستمرار على المدى الطويل. إن إهدار الموارد المحدودة على مخاطر غير مهمة يجعل المنظمة عرضة لأضرار كارثية – ولكن يمكن الوقاية منها.
تعمل الإستراتيجية القائمة على التهديد على تصحيح ذلك من خلال إجبار المنظمة على اعتماد الخطوات التالية:
-
تحديد الخصم. استفد من معلومات التهديدات لتحديد الجهات الفاعلة في مجال التهديد المحددة التي تستهدف صناعتك وجغرافيتك ومجموعتك التكنولوجية.
-
خريطة التكتيكات للأصول. استخدام أطر مثل ميتري ATT&CK لرسم خريطة للتكتيكات والتقنيات والإجراءات المعروفة (TTPs) للمجموعات المعادية مباشرة إلى “جواهر التاج” الخاصة بمؤسستك.
-
قياس التأثير. قم بتصنيف درجة الخطورة الفنية لـ TTP حسب توقع الخسارة المحتملة.
إن تعيين أدوات الأمان للمخاطر هو عملية إستراتيجية تعمل على مواءمة كل عنصر تحكم أمني، سواء كان أداة أو قدرة، مع مخاطر الأعمال المحددة التي تم تصميمها للتخفيف من حدتها. إنه يحول تركيز فريق الأمان من نشر أداة التتبع (مقياس فني) إلى قياس الانخفاض في المخاطر المالية أو التشغيلية (مقياس أعمال).
تحديد فجوات التغطية وتكرار الأدوات
بمجرد تحديد أولويات التهديدات الكبرى التي تواجهها المنظمة حسب مخاطرها المالية، توفر استراتيجية الدفاع التي تقودها التهديدات منهجية تعتمد على البيانات لتقييم التغطية الدفاعية وكشف الإنفاق الزائد. يسمح هذا النهج للمؤسسات بالانتقال إلى ما هو أبعد من مجرد تجميع التنبيهات الأمنية إلى التقييم المنهجي لمدى جودة الأدوات والتكوينات الموجودة في الدفاع ضد التهديدات المحددة التي من المرجح أن تستهدف المؤسسة.
تمثل فجوات التغطية المناطق التي تكون فيها الدفاعات الحالية للمنظمة غير كافية للتخفيف من نشاط الخصومة ذي الأولوية أو اكتشافه. يعد التحقق المستمر – التحقق المستمر من أن عناصر التحكم الأمنية تعمل على النحو المنشود من خلال اختبارها بشكل متكرر، غالبًا من خلال عمليات المحاكاة أو التقييمات الآلية – أمرًا ضروريًا للبقاء في صدارة مشهد التهديد والدفاع المتغير باستمرار. إن تقييم فجوات التغطية يمكّن المنظمة من استبدال الافتراضات حول فعالية الأداة ببيانات قابلة للقياس الكمي. يمكن بعد ذلك استخدام هذه البيانات لتحسين وتقوية الدفاعات في المناطق الضعيفة.
توجيه عملية صنع القرار في مجال الأعمال بشكل أفضل
إن القادة الأمنيين الأكثر نجاحاً لا يقومون فقط بسد الفجوات؛ إنهم يوجهون قرارات العمل من خلال المواءمة الدقيقة لكل أولوية أمنية، وكل دولار يتم إنفاقه، والأداة المشتراة مع أكبر المخاطر المالية والتشغيلية التي تواجهها المؤسسة. توفر استراتيجية الدفاع التي تقودها التهديدات في نهاية المطاف للقائد الأمني القدرة على ترجمة النتائج الفنية إلى إجراءات عمل تلقى صدى لدى مجلس الإدارة والقيادة التنفيذية – وبعبارة أخرى، إعادة صياغة الأمن من مشكلة فنية إلى عامل تمكين استراتيجي للأعمال. إن التركيز على التأثير المالي والمرونة التشغيلية والميزة التنافسية، بدلاً من المصطلحات التقنية، يساعد المديرين التنفيذيين على فهم الأمن في سياق الأعمال. وهذا يتيح لهم اتخاذ قرارات مستنيرة ومواءمة الأمن السيبراني مع أهداف الشركة الأوسع.
نادرًا ما يحتاج الأشخاص خارج المؤسسة الأمنية إلى المعرفة كيف أنت تقوم بالأمن، ولكنهم بحاجة إلى معرفة حالة المخاطر والموارد اللازمة لإدارتها. بدلاً من الإبلاغ عن المقاييس الفنية، مثل متوسط عدد التنبيهات التي تتلقاها فرقهم أو إيقاع التصحيح، يجب على كبير مسؤولي أمن المعلومات عرض فجوة المخاطر من خلال تحديد احتمالية سيناريو الفشل الحرج للأعمال. حدد، على سبيل المثال، احتمالية 40% لتعطل الإيرادات بسبب حملة معينة أو ثغرة أمنية معينة، ثم ناقش الاستثمارات الإستراتيجية التي تخفف من هذه المخاطر.
هذا التحول من التمويل الأمني إلى تمويل المرونة يمكّن مجلس الإدارة من اتخاذ قرارات مستنيرة تعتمد على البيانات حول تحمل المخاطر والاستثمار الاستراتيجي.
