تقرير مجتمع القيادة الرقمية من IDC – الأمن السيبراني
يبدو أن هناك تهديدًا جديدًا كل أسبوع يجب على مدراء تكنولوجيا المعلومات القلق بشأنه.
يبدو أن الهجوم الشائع الحالي هو عبارة عن برنامج فدية – كما رأينا في الهجوم على خط الأنابيب في وقت سابق من هذا الشهر – ولكن لا شك أن بعض التهديدات الجديدة ستظهر قريبًا.
كيف يتعامل القائد الرقمي مع هذا؟ ما هي الاستراتيجيات التي يمكنه أن يبتكرها؟ ما هو الدعم الذي يحتاجه مدراء تكنولوجيا المعلومات من بقية الأعمال وما الذي يتعين عليهم القيام به لرفع مستوى فرقهم إلى السرعة
بدأ أحد كبار مسؤولي تكنولوجيا المعلومات في المجموعة المناقشة بمثال يوضح كيف تم اختراق حساب شركته في العام الماضي باستخدام أساليب القوة الغاشمة، وفي حادثة منفصلة، دفعت مؤسسته لمهاجم برامج الفدية لإطلاق سراح شبكتهم بعد أن تم اختراقها.
مستهدفة ومتسللة. وعلى حد تعبيره، فإن نقاط الضعف موجودة دائمًا ولكنها حققت تحسينات من خلال التدريب المنتظم والمتسق الذي ساعد على تغيير الثقافة وتحسين القدرات الفردية وزيادة الوعي.
ناقشت المجموعة فوائد فهم الأشخاص لما يمكن أن يعنيه الهجوم السيبراني بالنسبة لأمنهم الوظيفي، وإذا تم فهم ذلك، فسيكون هناك دافع أكبر ليكونوا جزءًا من الحل.
تحدث أحد المشاركين عن أهمية وجود فريق قوي يعقد اجتماعًا رسميًا كل يوم لإجراء تقييم المخاطر.
إنه بالتأكيد نهج من شأنه أن يجني ثماره، ولكن، كما تمت الإشارة إليه، لم يكن شيئًا متاحًا للجميع – ستكون هناك مسألة تمويل شيء واحد. إنه شيء لا يمكن التفكير فيه إلا من قبل المنظمات الأكبر.
وحتى في هذه الحالة، قد تكون هناك صعوبات، كما أوضح المشارك، سيحاول الأشخاص التحايل على العملية وقد تكون الطريقة الأفضل للعمل هي محاولة استخدام فرق أصغر لاتباع نهج أكثر استهدافًا.
وأشار مدير تكنولوجيا المعلومات آخر إلى أنهم حصلوا على فرصة فقط لإثارة هذا الموضوع رسميًا مع مجلس الإدارة مرة أو مرتين في السنة، لكنهم تمكنوا من إثارة النقاش ورفع مستوى الوعي لدى الفريق الأول من خلال قنوات غير رسمية.
أثار مارك دود من مؤسسة البيانات الدولية، أثناء ترأسه الجلسة، السؤال الشائك المتعلق بشركاء الأعمال الخارجيين.
وسلط الضوء على المشكلات التي واجهتها شركة Apple عندما اخترق فريق من قراصنة برامج الفدية أحد أنظمة الموردين الخاصة بعملاق التكنولوجيا.
وكما أشار دود، إذا كانت شركة بحجم أبل معرضة للخطر، فما هو الأمل الذي لدى الشركات الأخرى؟
من الواضح أن الأمر قد أثر على وتر حساس عندما تحدث المشاركون عن بعض الصعوبات التي كانوا يوجهونها – بدءًا من اللجوء إلى العمليات الورقية أو العثور على أنفسهم أشخاصًا غير مرغوب فيهم حيث قام الموردون بقطع جميع الاتصالات بعد الهجوم.
وكما أوضح أحد المشاركين، فقد أضاف ذلك طبقة أخرى من التعقيد إلى العملية برمتها.
“علينا أن نفكر، ليس فينا فقط، بل في سلسلة التوريد الخاصة بنا: هل لدينا خطط طوارئ في حالة تعرضهم لهجوم؟ ومن الواضح أن التكرار الهائل لهجمات برامج الفدية كان في أذهان الناس أيضًا.
وكما قال أحد المتحدثين، بسخط ملحوظ، “لا يمكنك تشغيل جهاز الكمبيوتر دون التعرض لهجوم ببرامج الفدية، فهي تحدث بشكل يومي تقريبًا”.
كانت هناك مخاوف من جانب مديري تكنولوجيا المعلومات بشأن حدود ما يمكنهم فعله.
وكانت هناك عوامل كثيرة مؤثرة: مستوى التمويل لتدابير الأمن السيبراني، واستجابات القوى العاملة، وثقافة الشركة وما إلى ذلك.
لا يمكن للمديرين التنفيذيين لتكنولوجيا المعلومات أن يفعلوا الكثير. وكما قال أحد المشاركين بحزن: “نحن كبش الفداء، فماذا يمكننا أن نفعل لحماية أنفسنا؟” قبل إضافة “ما هي وثائق التأمين التي يمكننا وضعها؟”
لقد تم التقاط فكرة التأمين على الأمن السيبراني كفكرة، وكان يُنظر إلى اعتماد مثل هذا الإجراء على أنه وسيلة لتخفيف التهديدات – أو على الأقل تأثير التهديدات.
ومع ذلك، فقد تم الاعتراف بأن العصابات الإجرامية كانت تستهدف الشركات التي لديها تأمين، حيث يتم دفع الفدية بسهولة أكبر.
وكان السؤال الأخير هو ما إذا كان هؤلاء البشر بحاجة إلى المساعدة من خلال تنفيذ عناصر مثل المصادقة الثنائية ومديري كلمات المرور.
وقال أحد المتحدثين إنه أسلوب تمت تجربته ولكن له حدود، “لا يمكننا استخدام برامج إدارة كلمات المرور لاثني عشر ألف مستخدم؛ لا يمكننا استخدام برامج إدارة كلمات المرور لاثني عشر ألف مستخدم؛ ستكون فوضى كاملة”.
كان هناك بالتأكيد اعتراف بأن فرق تكنولوجيا المعلومات كانت ضدها. وكما قال أحد المتحدثين، ليس من الممكن أن تكون آمنًا بنسبة 100%، كل ما عليك فعله هو الحصول على أفضل قيمة مما حصلت عليه.
ومع ذلك، لم يوافق متحدث آخر على ذلك، وقال بصوت حازم إنه من الممكن الحصول على أمان بنسبة 100٪، “كل ما في الأمر أنه لن يكون هناك شيء قابل للاستخدام”.
وفي نهاية المطاف، هذا هو جوهر المشكلة. يحتاج مدراء تكنولوجيا المعلومات إلى إنتاج أنظمة عمل يمكن تشغيلها من قبل البشر.
كان هناك حديث عن أتمتة العملية، لكن عندما يتعلق الأمر باتخاذ القرار الحاسم، فإن البشر هم من يتخذون القرارات… وسيكون البشر هم أكبر نقاط الضعف.
المصدر:idceurope
قد يهمك:
