تتطلب المرونة القدرة على إدارة التغيير بطريقة تجعل عمليات المؤسسة ما تزال تعمل. قد يكون التغيير إيجابيًا، على سبيل المثال، اكتساب شريك جديد، أو سلبيًا، مثل كونه هدفًا لهجوم سيبراني.
لطالما كانت نقطة البداية لفِرق الأمان هي التخطيط. يُعد استخدام نهج قائم على المخاطر ينظر إلى التهديد والضعف والاحتمال والتأثير جميعهم أجزاء من معادلة المخاطر الكاملة. لفهم المخاطر، يتم تنفيذ السيناريوهات المحتملة بالطريقة التالية: افترض وجود تهديد، ثم قيّم احتمال تأثيره علينا، وأخيرًا، افحص كيف يمكننا منع أي ثغرة وتقليل التأثير. يتم إنشاء خطط الاستمرارية والتعافي حول هذه السيناريوهات.
على نحو متزايد، يبحث كبار مسؤولي أمن المعلومات في كيفية الحفاظ على مستوى عالٍ من الاستمرارية في مواجهة التغييرات الأخرى التي لا تشكّل تهديدًا. إن الموازنة بين المخاطر والفرص والتحكم والقدرة على التكيُّف، مثل إدارة النشر الآمن لفريق خارجي من الاستشاريين، أو ضمان إمكانية ربط مزوّد جديد برعاية الأنظمة دون زيادة التعرض، كلها جزء من ملف تعريف المرونة.
الحصول على الدعم من فِرق القيادة عبر مؤسستهم بأكملها. هذه ليست مشكلة تقنية أو أمنية، ولكنها تحدي تجاري.
تطوير التمثيل على مستوى مجلس الإدارة لدعم المرونة.
ضمان تنفيذ العمليات وممارستها بواسطة جميع أصحاب المصلحة.
الاستمرار في تطوير معلومات التهديدات العامة وذكاء التهديدات الصناعية المحددة.
تقديم تقنيات مرنة توفر رؤية أوضح عبر أصولها والقدرة المركزية على تنفيذ سياسات وضوابط جديدة.
تتعلق المرونة باتباع نهج قائم على المخاطر لما يمكن أن يتحمله النشاط التجاري. جنبًا إلى جنب مع رئيس قسم المعلومات و/أو مجلس الإدارة، يجب على قادة الأمن بصفتهم خبراء متخصصين توجيه المخاطر وتوضيحها؛ وماذا تفعل حيالها – وبالتالي تمكين المؤسسة من التفكير في القرار الصحيح.
إذا كانت تكلفة الوقاية بالملايين، لكن الضرر الإجمالي (إذا حدث)، هو بالآلاف فقط، فيجب أن يكون ذلك عاملاً في القرار ولن يكون من الخطأ قبول المخاطرة. وبالرغم من أن الأمر لا يتعلق فقط بالشؤون المالية – إنه يتعلق أيضًا بالسمعة والتأثير طويل المدى الذي قد يسببه خرق البيانات. يجب مراعاة كل الأشياء، ثم حاول التوصل إلى قرار بشأن ما يمكنك تحمله (وما لا يمكنك تحمله) كمؤسسة.
أيضًا، ضع قائمة بالأصول التي لا يمكنك العيش بدونها على الإطلاق ويُشار إليها أحيانًا بجواهر التاج، بالإضافة إلى الأصول التي يمكنك العيش بدونها لفترة قصيرة من الزمن. ثم بوضع مستوى تعقيد الأمان الخاصة بك بناءً على ذلك بناءً على نموذج التهديد. ليس من الممكن أو المجدي دائمًا الحصول على أعلى مستوى من الأمان على كل أصل واحد.
لا يوجد كبير مسؤولي أمن المعلومات لديه ميزانية أو موارد لا حصر لها. لا يمكنك فعل كل شيء وحماية كل شيء. وهذا جيد. إنك تهدف إلى حماية ما هو أكثر أهمية بالنسبة لك كمؤسسة وأي شيء يمس ذلك. باستخدام هذا النهج، يمكنك إنشاء مرونتك والاستمرار في القيام بذلك بشكل استباقي بأسرع ما يمكن.
المرونة تعني القدرة على إدارة التهديدات التي نواجهها، وعدم الانهيار على الفور عندما ينجح التهديد في إحداث ضرر. تتحقق المرونة من خلال الجمع بين الحماية وتخطيط الاستجابة للحوادث.
الخطوة الأولى لتصبح مرنًا هي أن تكون مدركًا للتهديدات التي نواجهها. لا يمكنك اتخاذ خطوات لحماية نفسك إذا لم تكن لديك فكرة عن طبيعة هذه التهديدات. يأتي أساس المرونة الناجحة من فهم التهديدات ونقاط ضعفك.
مسلحًا بهذه المعرفة، يمكنك تنفيذ إجراءات الحماية لتقليل احتمالية تأثير التهديدات عليك، والتأكد من أنه في حالة نجاح التهديد، سيتم تقليل الآثار إلى الحد الأدنى.
ومع ذلك، يجب أن نقبل أنه لا توجد حماية يمكن أن توفر تغطية كاملة، ولا يمكننا أن نتوقع تمامًا كيف يمكن أن تتغير التهديدات وتتطور. ومن ثم، نحن بحاجة إلى أن نحضر أنفسنا للاستجابة بسرعة وفعالية عندما يؤثر علينا تهديد.
يساعد التأكد من عدم احتواء أنظمتنا على نقاط فشل واحدة على ضمان استمرار العمليات حتى إذا كان لا بد من إخراج أحد المكونات من العمل نظرًا لوجود تهديد. يتيح لنا التخطيط والتدرب على استجاباتنا للحوادث معالجة التهديدات واستعادة الوظيفة الطبيعية في أسرع وقت ممكن.
بصفتي مستشارًا أمنيًا، فإن أحد الأشياء التي أنظر إليها من أجل تقييم المرونة هو المكان الذي تقف فيه المؤسسة مع ممارسات مثل تصنيف البيانات، وإدارة الهوية والوصول. يجب فحص التصميم الشامل لهذه المناطق من منظور أمني لمعرفة ما إذا كانت سليمة.
واحدة من أكثر الطرق فعالية لتحقيق المرونة في أي مؤسسة هي اتباع نهج الفريق، حتى لو كان فريقًا غير رسمي - أي بيئة تعاونية، بدلاً من مجموعة مؤسسية قائمة.
هذا مهم لأن المسؤولية لا تقع على الشخص وحده في هذا المسعى.
على سبيل المثال، إذا كنت أعمل مع مطورين، فعليهم أن يكونوا على دراية تامة بأن جزء من مسؤولية تطوير التطبيق ليس وظائف فقط، ولكن الأمان - أي جعل التطبيق آمنًا لعملائنا للتعامل معنا.
إن التأكد من أن المؤسسة تشارك الرؤية والإجراءات الخاصة بمتطلبات الأمن الجيدة هو ما سيدفع المرونة للأمام؛ والتأكد من إجراء اختبار الاختراق والمسح الضوئي للرمز وتصنيف البيانات في الوقت المناسب.
ما أحبه هو رؤية الطرق التي يساعد بها المتخصصون في مجال الأمن المشاريع. إنه جانب مختلف عن الطريقة التقليدية في التعامل مع الأمان. يساعد التواصل مع المتخصصين في مجال الأمن الشركات على تصميم الأمان في المشروع في البداية. وهذا يبني المرونة من خلال القضاء على التدافع على تعزيز الأمن لاحقًا، خاصة بعد اكتشاف حادث.
أحد المجالات التي يكون من الضروري فيها استثمار الوقت بشكل استباقي هو القدرة على الحصول على معلومات دقيقة وقابلة للتنفيذ عن التهديدات في السياق الصحيح. قد يكون هذا صعبًا للغاية نظرًا لوجود الكثير من المُورّدين والأدوات المختلفة المتاحة التي تُقدّم معلومات استخبارية مفصّلة للغاية عن التهديدات، ولكن غالبًا ما يفشلون في القيام به هو جعل هذه المعلومات ذات صلة وإدخالها في سياق واسع. على سبيل المثال، تجعل الاضطرابات الحالية في العالم من المهم توقع الجرائم السيبرانية من وجهة نظر جيوسياسية.
القدرة على عرض السياق تضيف قيمة حقيقية للأعمال. إذا كان بإمكانك أن تُظهر للمديرين التنفيذيين كيف تفسر التهديدات التي تتعرض لها تقديم الخدمة والعمليات والوظائف الحيوية لديك بناءً على ما يحدث في العالم الحقيقي، فيمكنهم عندئذٍ رؤية أهمية ما تفعله. وهذا يعطي القيادة ثقة ذات مغزى بأن نشاطك التجاري في حالة مرونة.
يأتي جانب مهم من المرونة مع التركيز على الأنشطة التي تتوافق في الواقع مع ما تقوم به الشركة. من الجيد أن تحاول إجراء تمارين لاختبار مرونتك، ولكن مع نماذج العمل الجديدة التي ظهرت في السنوات الأخيرة، قد لا تكون التدريبات الموضّحة في مجموعة متنوعة من الأطر هي الشيء الأكثر قيمة الذي يجب القيام به الآن.
"من الجيد أن تحاول إجراء تمارين لاختبار مرونتك، ولكن مع نماذج العمل الجديدة التي ظهرت في السنوات الأخيرة، قد لا تكون التدريبات الموضّحة في مجموعة متنوعة من أُطر العمل هي الشيء الأكثر قيمة الذي يجب القيام به الآن".
قد يكون النهج الأفضل هو الانتباه إلى المكان الذي وقع فيه الآخرون ضحية مؤخرًا، ومحاولة التأكد من أن أنشطة المرونة التي تقوم بها تتماشى مع ما يجري في العالم الحقيقي، مع التركيز على تلك الأشياء التي من المرجح أن تؤثر على صناعتك، وعلى وجه التحديد مؤسستك. يمنحك الأمر اختبارًا حقيقيًا للمرونة.
لتعزيز هذه الفكرة، تنتشر برامج الفدية الضارة بشكل كبير، ولكن كيف يمكنك اختبار المرونة ضد برامج الفدية الضارة؟ تأتي القيمة من خلال النظر في أنواع برامج الفدية الضارة التي تتعرض لها معظم المؤسسات. هل متغيرات برامج الفدية الضارة تلك تستهدف قطاعات معينة ومؤسسات محددة؟ كيف ينطبق ذلك عليك، وكيف يمكنك نمذجة تمارين المرونة الخاصة بك للإجابة على سيناريوهات العالم الحقيقي تلك باستخدام ما حدث لأعمال تجارية مماثلة؟
في كثير من الأحيان، هناك انفصال واضح للغاية عن النشاط التجاري. باستخدام برامج الفدية الضارة، قد تُجري تمرينًا على المرونة، وقد لا يكون لدى بعض فِرق النشاط التجاري فهم تقني لها الأنظمة وما هي برامج الفدية الضارة وتأثيرها على سير عملها. ولكن عندما تُظهر أن إحدى الخدمات يمكن أن تصبح غير متاحة، أو أن البيانات قد تتم سرقتها والاستيلاء عليها، فيمكن عندئذٍ لأصحاب المصلحة المشاركين في أنشطة المرونة هذه الحصول على رؤية دقيقة لفهم كيفية إلحاق ذلك ضرر مادي بالعمل.
بدلاً من ذلك، قد يقررون أنه يمكن إيقاف وظائف معينة لفترة قصيرة دون الإضرار بالنشاط التجاري. تضيف هذه الأنواع من أنشطة المرونة قيمة كبيرة من خلال بناء ذلك الاتصال الواضح بين النشاط التجاري والتكنولوجيا.
المرونة أكبر بكثير من مجرد الأمن، لكن الأمن بالطبع جزء أساسي. الأمن مثل قطعة الملك على رقعة الشطرنج. إذا انهارت عملياتنا ولم تتعافِ أبدًا، فستنتهي اللعبة. ومع ذلك – نحن محاطون بمساعدين أخرين، لديهم تحركاتهم الخاصة التي يحتاجون إلى القيام بها لحماية المؤسسة ككل. هناك الكثير لحمايته، ومع التحركات المحدودة، نحتاج إلى أن نكون دقيقين للغاية. وهذا هو السبب في أننا نشهد تحركًا كبيرًا نحو الأمان القائم على المخاطر.
على سبيل المثال، قد يكون لديّ خادم لا يحتوي على معلومات مهمة بداخله. لكن الخادم لديه ثغرة أمنية معروفة يجب تصحيحها. إنه خادم خلفي نستخدمه لـ DevOps. لديك الخادم نفسه، مع الثغرة الأمنية نفسها، لكنه يواجه الإنترنت، ويحتوي على بيانات العملاء عليه.
تختلف مخاطرنا، على الرغم من أنها نفس نقاط الضعف. تمثل الحاجة إلى التصحيح أولوية أكبر بكثير بالنسبة لك.
في عالم لا يمكننا فيه سوى بذل الكثير، نحتاج إلى التركيز على الأشياء المهمة. عليك معالجة المشكلات الحرجة أولاً، ثم وضع خطة لمعالجة نقاط الضعف الأخرى التي قد تتعرض لها. للقيام بذلك، فإنك بحاجة إلى معلومات دقيقة عن ذكاء التهديدات الذي يستند إلى التنبؤ، بناءً على كون مؤسستك فريدة. سيعالج إنشاء المرونة المستند إلى الأولويات هذا الكثير من المشكلات التشغيلية الأمنية التي قد شهدناها في الماضي.
"في عالم لا يمكننا فيه سوى بذل الكثير... علينا معالجة المشكلات الحرجة أولاً، ثم وضع خطة لمعالجة نقاط الضعف الأخرى التي قد تتعرض لها."
