الأمن والخصوصية والتنظيم – محادثة مدير تكنولوجيا المعلومات
يسعدنا أن نستضيف المركز الثاني لأبحاث القيادة الرقمية التابع لـ IDC لعام 2022 في 24 فبراير.
وانضم ما يقرب من 50 قائدًا رقميًا من جميع أنحاء أوروبا إلى الدعوة لمناقشة واقع إدارة الأمن السيبراني جنبًا إلى جنب مع القضايا المتطورة حول الخصوصية والتنظيم.
انضم إلى مارك دود وكريس ويستون من الفريق الاستشاري التنفيذي لشركة IDC، وجويل سترادلينج ورالف هيلكينبيرج من ممارسة الأمن والخصوصية في IDC.
إدارة التوقعات
بدأ الاجتماع بحكاية من أحد مديري تكنولوجيا المعلومات الحاضرين حول زميل طُلب منه أن يضع لنفسه منهجية OKR (الأهداف والنتائج الرئيسية) لعدم حدوث أي هجمات ناجحة للأمن السيبراني على أعمالهم.
وأدى ذلك إلى نقاش حيوي حول إمكانية تحقيق هذا الهدف. واتفق الحاضرون على أن الأمن السيبراني يدور حول تحديد مستوى المخاطر المقبول للمؤسسة ومقارنته بالتكلفة والقيود التي ينطوي عليها الوضع الأمني الشديد.
يعد إيصال هذه الحقيقة ومنح أعضاء مجلس الإدارة خيارات حقيقية يمكن فهمها وتقييمها جزءًا أساسيًا من دور مدير تكنولوجيا المعلومات و/أو رئيس أمن المعلومات اعتمادًا على المنظمة.
روى جويل سترادلينج من شركة IDC المحادثات التي أجراها مجتمع CISO الخاص به – “لقد تم تدريبنا على تحديد التهديدات السيبرانية وإدارتها، “عدم التواصل مع أعضاء مجلس الإدارة وإدارتهم” – في حين شارك مدير تكنولوجيا المعلومات آخر في المكالمة أن تدريب الموظفين على الأمن السيبراني كان إلزاميًا ولكن لن تكون هناك عواقب إذا لم يتم إجراؤه.
من الواضح أن هناك الكثير من العمل الذي يتعين القيام به لتحديد وإدارة التوقعات حول الطاولة العليا عندما يتعلق الأمر بالأمن السيبراني والثقافة اللازمة للجميع للمساهمة في بيئة عمل آمنة.
وكما اتفق الكثيرون، فإن المفتاح هو التحدث إلى مجلس الإدارة باللغة التي يفهمونها وشرح المخاطر التي تتعرض لها العمليات التجارية بطريقة محددة للغاية – حيث يتم تجاهل المصطلحات بسرعة.
من الواضح أن هناك الكثير من العمل الذي يتعين القيام به لتحديد وإدارة التوقعات حول الطاولة العليا عندما يتعلق الأمر بالأمن السيبراني والثقافة اللازمة للجميع للمساهمة في بيئة عمل آمنة.
وكما اتفق الكثيرون، فإن المفتاح هو التحدث إلى مجلس الإدارة باللغة التي يفهمونها وشرح المخاطر التي تتعرض لها العمليات التجارية بطريقة محددة للغاية – حيث يتم تجاهل المصطلحات بسرعة.
من الواضح أن هناك الكثير من العمل الذي يتعين القيام به لتحديد وإدارة التوقعات حول الطاولة العليا عندما يتعلق الأمر بالأمن السيبراني والثقافة اللازمة للجميع للمساهمة في بيئة عمل آمنة.
وكما اتفق الكثيرون، فإن المفتاح هو التحدث إلى مجلس الإدارة باللغة التي يفهمونها وشرح المخاطر التي تتعرض لها العمليات التجارية بطريقة محددة للغاية – حيث يتم تجاهل المصطلحات بسرعة.
المرونة السيبرانية تتشكل
وأوضح هلكنبرج أن مفهوم المرونة السيبرانية بدأ يكتسب قوة جذب في العديد من الصناعات.
ويمكن تعريف ذلك على أنه التركيز على بناء قدرة المنظمة على توقع الأحداث السلبية والصمود فيها والتعافي منها من خلال تطبيق مبادئ الأمان المناسبة لتصميم العمليات والواجهات.
وقال إن هذا يرجع إلى قوى خارجية مثل الزيادة السريعة في هجمات برامج الفدية واستجابة شركات التأمين والأطراف المتضررة الأخرى.
من المرجح أن يتم تنفيذ قانون الاتحاد الأوروبي لمرونة العمليات الرقمية (DORA) قبل عام 2025 في القطاع المالي لإجبار المنظمات في هذا المجال على تنفيذ ضمانات للتخفيف من الهجمات السيبرانية والمخاطر ذات الصلة.
الثقة المعدومة في العالم الحقيقي
تحدث العديد من المشاركين في المكالمة عن نهجهم تجاه انعدام الثقة كمفهوم، حيث قام البعض بتطبيقه رقميًا وذهب آخرون إلى أبعد من ذلك ليعتبروا أن الناس جزء من مشهد انعدام الثقة هذا.
وأوضح أحد المساهمين أن أنظمة التشغيل الأكثر شيوعًا تميل إلى البدء من وجهة نظر مفتوحة وأنه يتعين على المسؤولين إغلاق الخدمات والمنافذ عندما يقررون الإجراءات الأمنية.
ومن خلال خبرته، فإن حقيقة الهجرة السحابية والبنية الهجينة تعني أن العديد من مسارات الاتصال تظل مفتوحة وهذا مصدر محتمل للمشاكل وعائق أمام تشغيل منهجية الثقة المعدومة.
وصف سترادلينج انعدام الثقة بأنه رحلة، وليس جهدًا لمرة واحدة.
تُعرّف IDC الثقة الصفرية بأنها عدم تطبيق أي مستوى من الثقة تلقائيًا على أي مستخدم نهائي أو على أي موارد حاسوبية أو شبكة.
قال سترادلينج أيضًا إن نهج النسخ الاحتياطي 3-2-1-1 أصبح أكثر شيوعًا، والذي يضيف موقعًا خارج الموقع وغير متصل لتخزين النسخ الاحتياطية جنبًا إلى جنب مع النسخ الثلاث التقليدية من البيانات، ووسيلتين مختلفتين ومتجر واحد خارج الموقع عبر الإنترنت.
إدارة الفريق
كان مصدر القلق الحقيقي في الاجتماع هو الافتقار إلى الأشخاص المدربين والزيادة السريعة في توقعات الرواتب.
العديد من المنظمات، وخاصة الحكومية، غير قادرة على التنافس مع الأسعار المعروضة الآن. هناك أمل في الأتمتة، لكن هذا لا يخلو من الصعوبات.
أوضح سترادلينج كيف يمكن للأتمتة أن تقلل من الحاجة إلى الأشخاص المدربين وتقلل من إرهاق محللي الأمن، مما يؤدي إلى رحيل الموظفين.
يمكن لأدوات مثل XDR/MDR واستخدام AI/ML أن تساعد، ولكن ما مدى استعداد المؤسسات لتفويض التكنولوجيا؟ ولا تزال هناك حاجة إلى مهارات لتفسير مخرجات هذه الأنظمة واتخاذ القرارات أو التوصيات بناءً على ما يتم رؤيته.
بالنسبة للبعض في الغرفة، فإن فكرة تقليل عدد الموظفين إلى مركز عمليات مركزية واحد (شخص واحد) محملة بمخاطر مختلفة حول نقطة الفشل الوحيدة المتبقية.
الاستنتاجات
ومع اقتراب الاجتماع من نهايته، تحدثنا عن حاجة المؤسسات إلى إبلاغ رؤسائها التنفيذيين بالمخاطر الرقمية، ليكونوا واضحين بشأن الآثار المترتبة على الفشل، وفي بعض الأحيان يكون من الضروري تخويف فريق القيادة لديك قليلاً لتوصيل الرسالة.
كان مفهوم المسؤول الائتماني الرئيسي مثيرًا للاهتمام، كونه مسؤولاً عن الخصوصية والامتثال، والتجارة الإلكترونية والأنظمة البيئية الموثوقة، وحتى الأخلاق والشفافية.
كان هناك قبول بأن الجهات التنظيمية سوف تلحق بهذه المشكلة وتفرضها بمرور الوقت.
وأخيرًا، ناقشنا ضرورة أن يتمتع مجتمع القيادة الرقمية بالشفافية قدر الإمكان – فلن ترى مجالس الإدارة الحاجة إلى اتخاذ تدابير لتخفيف المخاطر إذا لم تلحظ تأثير الهجمات الإلكترونية في أماكن أخرى.
المصدر: idceurope
قد يهمك:
