أولاً وقبل كل شيء، يُعد الأشخاص والعلاقات عاملاً أساسيًا في مشاركة المعلومات عندما يتعلق الأمر بتوقع التهديدات التي تواجه المرونة التشغيلية. تعرف المجموعات الأخرى في المؤسسة مناطقهم بشكل أفضل مما يعرفه فريقي على الإطلاق.
وهم يعرفون أيضًا ما سيكون التأثير على الأعمال. لقد كان تصنيف التفكير "المثالي" مفيدًا للغاية في حث الفريق على التراجع والتفكير في "السيناريوهات القاحلة" التي ستدمر خططهم وتجعل من المستحيل عليهم العمل.
لقد وضعنا أنماط تصميم قياسية ومعايير الفِرق للتخفيف من تلك السيناريوهات القاحلة. يمكن أن تكون أنماط التصميم في شكل بنيات تحتية تقنية موحدة أو متطلبات أو عمليات تشغيلية. عادة ما تكون معايير الفِرق في شكل تدريب مشترك، وأدوار ثابتة، وأنماط اتصال وتصعيدات.
تم تحقيق أكبر فائدة من نهجنا الاستباقي في مارس 2020، عندما اضطرت الشركة إلى الانتقال عن بُعد بالكامل، إلى أجل غير مسمى، في غضون مهلة قصيرة. في عام 2019، نظرًا للمحادثات مع الفِرق الأخرى عبر المؤسسة، أدركنا أن لدينا أربع مشكلات كبيرة مع البنية التحتية لتكنولوجيا المعلومات لدينا والتي من شأنها أن تحد بشدة من قدرتنا على تحقيق المرونة.
لمواجهة مخاطر انقطاعات الخدمة الممتدة والحاجة إلى تجربة عمل أفضل عن بُعد، اتخذنا قرارًا بترحيل جميع البنيات التحتية لتكنولوجيا المعلومات الداخلية لدينا إلى الخدمات المستندة إلى السحابة. عندما حدث التحول إلى العمل عن بُعد بدوام كامل، لم نكن مستعدين.
من السنوات التي أمضيتها في القطاع الطبي، شهدتُ كيف يمكن للمرونة الأمنية أن تُمكن مؤسسة ما. على وجه الخصوص، عندما اضطر فريقي للتعامل مع سلالة برامج ضارة شديدة التعقيد تم تصميمها لاستهداف علامة تجارية معينة من وحدات العناية المركزة (ICU) المستخدمة على نطاق واسع.
يتم استخدام الأجهزة الطبية لوحدة العناية المركزة (ICUMD) لمراقبة مرضى وحدة العناية المركزة واستقرارهم وعلاجهم عن كثب والذين غالبًا ما يكونوا فاقدين للوعي ويعتمدون تقريبًا على هذه الأجهزة للبقاء على قيد الحياة، وقد أثرت البرامج الضارة على مضخة الحقن (المستخدمة لإدارة كمية معينة من الأدوية) ووظيفة مراقبة المضخة التي قد تؤدي إلى تهديد الحياة.
عندما قمنا بتقييم هذه الأجهزة، حددنا نقاط الضعف الأمنية الحالية والتهديدات المستقبلية. أصبح من الواضح لنا أننا بحاجة إلى التعامل مع المجالات الرئيسية مثل تحديثات البرامج والتصحيح والوصول باستخدام نهج مختلف تمامًا عن مع الأجهزة الأخرى المتعلقة بتكنولوجيا المعلومات. لقد قمنا بتنفيذ عملية دقيقة للغاية عبر مراحل التحديد والكشف والاستجابة لاستراتيجية المرونة الأمنية الخاصة بنا.
من خلال القيام بذلك، حددنا البرامج الضارة في بيئة اختبار معزولة. تم الكشف عن أن البرنامج الضار قد تم تقديمه من خلال تصحيح مُخترق تم إصداره بواسطة المُورّد. في ذلك الوقت، لم يكن أي برنامج حماية للاجهزة الطرفية قادرًا على اكتشاف هذه البرامج الضارة، وإذا اتبعنا عمليات الأمان النموذجية، فسنُعرّض حياة مئات المرضى للخطر. لم يخطر ببال أحد أن شخصًا ما قد يصمم شيئًا خبيثًا قد يتسبب في خسارة الأرواح.
بالنسبة للكثير من المتخصصين في مجال الأمن الذين يعملون في الخطوط الأمامية، تشير المرونة الأمنية إلى قدرة المؤسسة على التكيف مع ما هو معروف وغير معروف التهديدات. يُعد تحول الأعمال دون توقف في وقت الأزمات استراتيجية أساسية لإنشاء مرونة المؤسسة.
تُعد حلول الشراء جزءًا واحدًا فقط من ثلاثية الأشخاص والعملية والتكنولوجيا. يُعد وجود موظفين لدعم الحلول أمرًا بالغ الأهمية. في كثير من الأحيان، تفشل المؤسسات في الاحتفاظ بموظفي الأمن السيبراني لديها لأنه ليس لديهم بيانات رواتب حالية، وليس لديهم طريقة لفهم النمو الهائل لهؤلاء الأفراد في الميدان وقيمتهم السوقية. يجب أن تكون هناك علاقة أوثق بين الأمن السيبراني والتمويل والموارد البشرية من أجل بناء ودعم برامج الأمن.
في دور سابق، كان تنفيذ GRC المرن هو الحل الأكثر تأثيرًا. ومع ذلك، فإن ما جعلها فعّالة نحو اكتساب الاهتمام من الإدارات المتعددة هو القدرة على أن تكون متعددة الوظائف، وتغطية إدارة المورّدين، وإدارة مخاطر المورّدين، وإدارة السياسات، وإدارة مخاطر تكنولوجيا المعلومات. لقد وفرت حلاً مركزيًا لإدارة المخاطر، ولكنها قدمت أيضًا مستودعًا لسياسات المؤسسة.
من خلال توفير حل لإدارة البائعين، فقد قدّم أيضًا حلاً لإدارة مخاطر المورّدين حيث يمكن تصنيف المورّدين المهمين حسب المخاطر. يمكن بعد ذلك تحديد ملفات تعريف المخاطر للمُورّدين الفرديين، بالإضافة إلى ملف المخاطر الجهات الخارجية بشكل عام. يمكن تبرير تكلفة/فائدة مثل هذا الحل بسهولة عند مراجعة العمليات اليدوية المضمنة في كل حالة من حالات الاستخدام.
بدأ حل GRC بوِحدة واحدة، وبمرور الوقت، وتم التوسع إلى أربع وحدات مع الإدارات الأخرى التي تسعى للوصول من أجل مركزية وثائقها أو استخدامها في عملياتها الأساسية.
قبل عامين، عملتُ مع شركة بيع بالتجزئة كانت تواجه مخاطر كبيرة مع سلسلة التوريد التابعة لجهات خارجية. كانت هجمات سلاسل التوريد طريقة شائعة للهجوم مؤخرًا. ومع ذلك، هذه ليست ظاهرة جديدة، وقد تم استدعائي لمساعدة تلك الشركة بعد أن تعرضت لخرق كبير في البيانات. لم يكن الخرق نتيجة دفاعاتهم الخاصة، بل نتيجة ضعف في أحد مورّديهم الأساسيين.
قمتُ بقيادة مراجعة مُورّد من جهة خارجية، لتقييم مناطق مثل من هم مورّديهم المهمين (كان لديهم حوالي 200 مورّد). بعد ذلك، كنا بحاجة إلى فحص المُورّدين الذين يتبادلون البيانات الشخصية والسرية معهم. ثم شرعنا في تقسيم جميع المورّدين إلى طبقات، بناءً على تصنيف المعلومات.
ثم قمنا بعد ذلك بتدقيق جميع المورّدين من الدرجة الأولى. كانت الطريقة التي ساعدت العميل هي أنها أعطته فهمًا أكثر صدقًا لأيٍّ من مورّديه قد يمثل مخاطرة. نتيجة لذلك، شهدنا تحسنًا ملحوظًا في الطريقة التي تختار بها الشركة مورديها. لم يكن الأمر يعتمد فقط على جودة البضائع؛ إذ كان يعتمد على مبادئ الأمان أيضًا.
جزء مهم آخر من المرونة هو القدرة على تحديد ليس فقط عندما يكون الشيء غير صحيح تمامًا، ولكن أيضًا القيام به بسرعة. تُعرف هذه المفاهيم باسم متوسط الوقت للكشف (MTTD)، ومتوسط وقت الاستجابة (MTTR).
التهديدات موجودة والحوادث تقع. تتحقق المرونة عندما يتم تقليل احتمالية وقوع حادث وتقليل التأثير الناجم.
يتطلب العمل في صناعة ذكاء التهديدات الإلكترونية (CTI) في المملكة المتحدة دائمًا مستوى تنبيه مرتفعًا. لحسن الحظ، قمنا بتصميم بنيتنا التحتية بطريقة تقلل من سطح الهجوم وتعرض الخدمات الضعيفة.
يوفر هذا الالتزام بـ "أفضل الممارسات" المعمارية أيضًا درجة مريحة من المرونة. بالنسبة لنا، الأمر كله يتعلق بوجود مطورين يتمتعون بالمعرفة ويفتخرون بإنشاء رمز آمن والتأكد من نشره بشكل صحيح مع الالتزام الصارم بالامتثال ISO 27001.
بصفتنا شركة افتراضية تقريبًا، فإن بياناتنا وبريدنا الإلكتروني كلها مضمّنة في سحابة البرمجيات كخدمة (SaaS) لتحقيق أقصى درجات إمكانية الوصول وحماية البيانات التي يوفرها هؤلاء المزوّدون من الدرجة الأولى. من خلال العمل في عالم CTI، يُدرك كل فرد في الشركة تمامًا التهديدات التي تواجهها جميع المؤسسات، بما في ذلك التهديدات الخاصة بنا.
لدينا مسؤول امتثال رئيسي يعمل معنا، وتعمل جميع طبقات الشركة ضد الجهات المهددة في العالم المادي والافتراضي على أساس يومي. هذا يعزز ثقافة أمنية قوية، فضلاً عن المرونة الفعالة.
"بالنسبة لنا، الأمر كله يتعلق بوجود مطورين يتمتعون بالمعرفة ويفتخرون بإنشاء رمز آمن والتأكد من نشره بشكل صحيح مع الالتزام الصارم بالامتثال ISO 27001."
أحد الأمثلة على إنشاء المرونة هو من أيامي بصفتي مسؤول خصوصية الأول في Cisco. عندما حان وقت إبرام العقود، قمنا بقياس أحد أنماط عدم الثقة والارتباك عندما أراد العملاء شراء منتجات تعاون أو منتجات أخرى حساسة للخصوصية. غطت المفاوضات الطويلة أسئلة أساسية مثل "أين يتم تخزين البيانات؟" و"مَن يدير بيانات تسجيل الدخول الخاصة بموظفينا وعملائنا؟"
كنتُ في معرض متحف لندن للنقل عندما تم إلهامي بالحل: كانت بساطة خرائط مترو أنفاق لندن مثالية! ماذا لو استطعنا أن نظهر للعملاء ما هي البيانات المعنية، ومكانها وموعدها، في رسم بياني بسيط للفهم؟
هذا ما أنشأناه ونشرناه في مركز توثيق Cisco، وكانت النتائج فورية وقابلة للقياس ودائمة. عندما يتمكّن الناس من تصور القضايا المنهجية المعقدة، يمكنهم التخطيط والالتزام والبناء معًا.
شركتي الحالية هي PrivacyCode، Inc. نحن نقدّم منصة تتيح لمُلاك الأسهم الذين يجب عليهم إنشاء وفرض متطلبات قانونية وسياسية معقدة لترجمتها بفعالية إلى مهام قابلة للاستهلاك وقابلة للقياس وتتسم بالعملية للفِرق المتخصصة.
في عالم يتسم بالتغيير المستمر والتعقيد المتزايد، تخلق القيادة على مستوى متواصل ودقيق بشكل واضح القدرة على الصمود وتعززها. أنا أبحث دائمًا عن خطوات بسيطة وسهلة المشاركة لحل التحديات الضخمة.
"في عالم يتسم بالتغيير المستمر والتعقيد المتزايد، تخلق القيادة على مستوى متواصل ودقيق بشكل واضح القدرة على الصمود وتعززها."
