كيف كان عام 2025: غنيًا بالأحداث والابتكارات السيبرانية على حدٍ سواء. وعلى هذا الأخير، لم يمر أسبوع دون ذكر الابتكار في مجال الذكاء الاصطناعي. أنا متحمس للطرق المبتكرة التي سيتم بها استخدام الذكاء الاصطناعي لصالح مجتمعنا؛ ربما هذه هي الثورة الصناعية الرابعة القادمة. إن مستوى الابتكار المفيد في مجال الأمن السيبراني، على الرغم من بعض الادعاءات المشكوك فيها من قبل بعض البائعين، سوف يرتفع في عام 2026 مع المنتجات والخدمات الجديدة.
ولكن للحصول على قيمة كافية من هذه الابتكارات، يتعين علينا أن ننفذ الضوابط الأساسية بشكل جيد أولا. سواء قمنا بقياس هذا ضد أساسيات الإنترنت في المملكة المتحدة أو الضوابط السيبرانية الحرجة لرابطة الدول المستقلةومع ذلك، يظل الواقع كما هو: لا تزال الحوادث السيبرانية “ممكنة” في الغالب من قبل المنظمات التي تهمل هذه الأساسيات.
وهذا يعزز اعتقادي بأن المبدأ الأول التالي لا يزال قائما:
في مجال الأمن السيبراني، الأساسيات مهمة.
فيما يلي قائمتي الشخصية المكونة من خمس مسلمات في مجال الأمن السيبراني:
تعرف على أصول عملك
نعلم جميعًا عبارة “لا يمكن للمرء أن يحمي ما لا يعرفه”. فالقضية الحقيقية لا تكمن في “العثور على الأصول”، بل في سوء الإدارة البنيوية الذي تحقق بفضل عمليات غير منفذة، وعدم وجود مخزون رسمي، وثقافة تتسامح مع تكنولوجيا المعلومات في الظل.
يدرك مدراء تكنولوجيا المعلومات أن إدارة الأصول المتعلقة بتكنولوجيا الأعمال ليست مهمة سهلة للقيام بها بشكل صحيح. قادنا بائعو تكنولوجيا المعلومات والإنترنت إلى الاعتقاد بأننا نحتاج فقط إلى شراء منصتهم وسوف تختفي جميع المشاكل بطريقة سحرية. ليس على الإطلاق.
ما ينبغي على العديد من المؤسسات تنفيذه هو نموذج موحد حيث يحتفظ كل فريق بمخزون التكوين الخاص به، والذي تتم صيانته تلقائيًا بواسطة أدوات إدارة النظام التي تسمح بعمليات التكامل والتصدير إلى مستوى الشركة قاعدة بيانات إدارة التكوين منصة (CMDB). وهذا يضمن أن تكون بيانات الأصول حديثة وصحيحة ولكنها ليست مخفية عن مديري تكنولوجيا المعلومات. والأهم من ذلك، أنه فقط من خلال هذه القائمة الموثوقة، يمكننا تراكب بيانات الثغرات الأمنية بشكل فعال واكتشاف التكوينات الأمنية الخاطئة عبر المنطقة بأكملها.
اجعل عملك آمنًا بشكل واضح
وفي تدريب الشرطة، يقومون بتعليم الضباط كيفية اكتشاف العقارات التي تثير اللصوص؛ وهذا مفيد أيضًا عند استكشاف المكاتب لتمارين الاقتحام الجسدي. تتكون اللافتات المنذرة من أسوار منخفضة، ونوافذ غير مقفلة، وأقفال أبواب ضعيفة، ولا توجد كاميرات مراقبة، وإطلالة واضحة على العقار مع رؤية العناصر ذات القيمة العالية.
الأمر نفسه ينطبق على الأمن الرقمي: إعدادات DNS التي كانت كافية قبل 20 عامًا، وشهادات خادم الويب منتهية الصلاحية، وخوادم البريد الإلكتروني التي لا تدعم تشفير النقل، وملفات تعريف الارتباط غير الآمنة لمواقع الويب، والقائمة تطول.
عندما أقدم استشارات أمنية للمؤسسات، فإن الاختبار الأول بالنسبة لي هو “الاستطلاع الرقمي الخارجي”. ومن خلال تجربتي، فإن حوالي 1% فقط من الشركات تدرك حقًا أهمية المحيط الآمن و يمكن تنفيذه بشكل صحيح.
نقاط الضعف هذه تدعو مجرمي الإنترنت الانتهازيين إلى الهجوم. لا أحد يريد أن يكون هدفًا سهلاً، لكن الكثيرين لا يعرفون كيفية الخروج من قائمة “الأهداف السهلة” التي يحتفظ بها المجرمون.
يجب أن يكون الموقف الخارجي أحد المقاييس التي يقدمها قسم تكنولوجيا المعلومات/الأمن إلى الإدارة. مثال:
“جميع أنظمتنا الخارجية مهيأة وفقًا لمعايير “حالة الفن”. نحن لا نبرز كهدف سهل، وإذا تم استهدافنا، فإن هذا يمنحنا خط دفاع أولًا جيدًا.”
جعل مبدأ الامتياز الأقل غير قابل للتفاوض
كل عام أقرأ السنوية تقرير مايكروسوفت للدفاع الرقمي. التقرير مليء بالمعلومات المفيدة للمدافعين عن الإنترنت ومديري الأعمال على حد سواء.
ويسلط التقرير الضوء على الحاجة إلى التحكم في الوصول المميز إلى الموارد. إذا كان الشخص أو الكمبيوتر أو كود الكمبيوتر لا يحتاج إلى امتيازات أعلى لأداء عملياته، فيجب سحب هذه الامتيازات. هذا يبدو وكأنه نتيجة منطقية. ومع ذلك، في التقييمات التي أجريتها، تسمح المؤسسات للمستخدمين النهائيين بالحصول على امتيازات المسؤول المحلي على أجهزة الكمبيوتر الخاصة بهم (سواء كانت تعمل بنظام Windows أو Mac). وبالمثل، يقوم موظفو تكنولوجيا المعلومات بتعيين امتيازات المسؤول للموارد الداخلية والسحابية لحساباتهم القياسية. تكلف هذه الأخطاء الشركات غاليًا عندما يستغل المهاجمون هذه الحسابات، ويمنحون المهاجمين “مفاتيح المملكة”.
العلاج بسيط، لكن تنفيذه صعب للغاية بالنسبة للكثيرين.
اختبر خطط الاستجابة للحوادث
صرخة “نار، نار، نار” تؤدي إلى إخلاء منظم للمباني. إن التمارين التدريبية التي يتعين على المنظمات القيام بها قانونًا تقلل إلى حد كبير من احتمالية فقدان الأرواح.
وينبغي لقادة الأعمال أن يفكروا في تمارين مماثلة فيما يتعلق بتكنولوجيا المعلومات والهجمات السيبرانية. الشركات الملزمة بتنفيذ لوائح صارمة مثل دورا أو شيكل 2 يدركون جيدًا هذه المتطلبات. وهذا يترك بقية المنظمات لتحذو حذوها.
إذا كنت مسؤولاً تنفيذيًا في شركة تقرأ هذا، فقم بإجراء “تمرين سطحي” مع ميسر خارجي خلال التسعين يومًا القادمة. محاكاة سيناريو ما – مثل برامج الفدية – لاختبار كيفية اتخاذ الفريق التنفيذي للقرارات تحت الضغط.
الاستعانة بمصادر خارجية للمسؤولية، وليس المساءلة
يعد الاستعانة بمصادر خارجية، عند تنفيذها بشكل صحيح، طريقة رائعة لتحسين الجودة وإدارة التكاليف. ومن المعروف أنه يجب على المديرين التنفيذيين الحفاظ على المساءلة عن جودة العملية والأمن التي يديرها المتعاقد الخارجي. تبدأ هذه العملية في مرحلة طلب تقديم العروض (RFP) حيث يتم جمع كافة المتطلبات، وتستمر أثناء المفاوضات ومرحلة الاستعداد، وإنشاء المقاييس ودورات إعداد تقارير مؤشرات الأداء الرئيسية (KPI).
تعامل مع شريكك في الاستعانة بمصادر خارجية كما لو كان فريقًا داخليًا؛ فهم مسؤولون عن تقديم الخدمة، لكن الفريق التنفيذي مسؤول عن ضمان تقديم الخدمة وفقًا للعقد. يرجى ملاحظة أنني أستخدم المصطلحات المقبولة على نطاق واسع حيث “يتم تعيين المساءلة لشخص واحد بالضبط يقوم بالتوقيع على العمل والموافقة على التسليم.”
