الإستراتيجية
لتنفيذ برامج أمن إلكتروني فعالة وضمان دمج فريق الأمان بعمق في جميع عمليات الشركة، يحتاج رئيس أمان المعلومات (CISO) إلى إثبات قيمة هذا العمل للإدارة العليا بانتظام. ويتطلب ذلك التحدث بلغة الأعمال، إلا أن هناك فخًا خطيرًا ينتظر من يحاول ذلك. وغالبًا ما يستخدم متخصصو الأمان والمديرون التنفيذيون الكلمات ذاتها، لكن للتعبير عن أشياء مختلفة تمامًا. وفي بعض الأحيان، تُستخدم مجموعة من المصطلحات المتشابهة بشكل متبادل. ونتيجة لذلك، قد لا تدرك الإدارة العليا التهديدات التي يحاول فريق الأمان الحد منها، أو مستوى المرونة الإلكترونية الفعلي للشركة، أو حتى أين تُخصص الميزانية والموارد. لذا، وقبل استعراض لوحات البيانات الأنيقة أو حساب العائد على الاستثمار لبرامج الأمان، يجدر بنا توضيح هذه الفوارق الاصطلاحية الدقيقة والجوهرية.
من خلال توضيح هذه المصطلحات وبناء لغة مشتركة، يمكن لرئيس أمان المعلومات (CISO) ومجلس الإدارة تحسين مستوى التواصل بشكل كبير، مما يؤدي في نهاية المطاف إلى تعزيز الموقف الأمني الشامل للمؤسسة.
لماذا تعتبر مفردات الأمن الإلكتروني مهمة للإدارة
يتجاوز تباين تفسيرات المصطلحات كونه مجرد عقبة بسيطة؛ فالعواقب قد تكون جسيمة للغاية. ويمكن أن يؤدي غياب الوضوح بشأن التفاصيل إلى ما يلي:
- استثمارات في غير محلها. قد توافق الإدارة على شراء حلول الثقة الصفرية دون إدراك أنها مجرد جزء واحد من برنامج شامل طويل الأمد يتطلب ميزانية أكبر بكثير. ويتم إنفاق الأموال دون تحقيق النتائج التي توقعتها الإدارة. وبالمثل، فيما يتعلق بالانتقال إلى الخدمة السحابية، قد تفترض الإدارة أن هذه الخطوة تنقل جميع مسؤوليات الأمن تلقائيًا إلى مزود الخدمة، ومن ثم ترفض الميزانية المخصصة لأمان السحابة.
- القبول الأعمى للمخاطر: قد يقبل قادة وحدات الأعمال مخاطر الأمن الإلكتروني دون استيعاب كامل للأثر المحتمل الذي قد ينجم عنها.
- غياب الحوكمة: بدون فهم المصطلحات، لن تتمكن الإدارة من طرح الأسئلة الصحيحة، والصعبة، أو توزيع المسؤوليات بشكل فعال. وعند وقوع حادث أمني، غالبًا ما يتبين أن مديري الأعمال كانوا يعتقدون أن الأمان يندرج بالكامل ضمن اختصاص رئيس أمان المعلومات (CISO)، بينما يفتقر الأخير إلى السلطة الكافية للتأثير في عمليات الأعمال.
المخاطر الإلكترونية مقابل مخاطر تكنولوجيا المعلومات
يعتقد الكثير من المديرين التنفيذيين أن الأمن الإلكتروني هو مسألة تقنية بحتة يمكن إحالتها إلى قسم تكنولوجيا المعلومات. ورغم أن أهمية الأمن الإلكتروني للشركات أصبحت أمرًا لا جدال فيه، ومع تصدر الحوادث الإلكترونية لقائمة مخاطر الأعمال الرئيسية منذ فترة طويلة، إلا أن الاستطلاعات تظهر أن العديد من المؤسسات لا تزال تخفق في إشراك القادة غير التقنيين في مناقشات الأمن الإلكتروني.
غالبًا ما تُدمج مخاطر أمان المعلومات مع اهتمامات تكنولوجيا المعلومات، مثل استمرارية التشغيل وتوفر الخدمة. لكن في الواقع، تُعد المخاطر الإلكترونية مخاطر إستراتيجية للأعمال، مرتبطة باستمرارية العمل والخسائر المالية وتضرر السمعة.
تعد مخاطر تكنولوجيا المعلومات عمومًا مخاطر تشغيلية بطبيعتها، حيث تؤثر على الكفاءة والموثوقية وإدارة التكاليف. وغالبًا ما يتم التعامل مع حوادث تكنولوجيا المعلومات بالكامل من قبل موظفي تكنولوجيا المعلومات. أما الحوادث الإلكترونية الكبرى، فلها نطاق أوسع بكثير؛ إذ تتطلب إشراك كل الأقسام تقريبًا، ويكون لها تأثير طويل الأمد على المؤسسة في جوانب عدة – بما في ذلك السمعة والامتثال التنظيمي وعلاقات العملاء والوضع المالي العام.
الامتثال مقابل الأمان
أصبح الأمن الإلكتروني جزءًا لا يتجزأ من المتطلبات التنظيمية على كافة المستويات – بدءًا من التوجيهات الدولية مثل توجيهات أمن الشبكات والمعلومات الثانية (NIS2) واللائحة العامة لحماية البيانات (GDPR)، وصولاً إلى المعايير القطاعية العابرة للحدود مثل معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS)، بالإضافة إلى المتطلبات الخاصة بكل قطاع. ونتيجة لذلك، غالبًا ما تنظر إدارة الشركات إلى تدابير الأمن الإلكتروني على أنها مجرد قوائم مراجعة للامتثال، معتقدة أنه بمجرد استيفاء المتطلبات التنظيمية، يمكن اعتبار قضايا الأمن الإلكتروني قد حُسمت. وقد ينبع هذا النهج من محاولة واعية لتقليل الإنفاق على الأمان (“لن نفعل أكثر مما هو مطلوب منا”)، أو من سوء فهم صادق للواقع (“لقد اجتزنا تدقيق ISO 27001، لذا نحن محصنون ضد الاختراق”).
في الواقع، يقتصر الامتثال على استيفاء الحد الأدنى من متطلبات المدققين والجهات الرقابية الحكومية في وقت محدد. وللأسف، يثبت تاريخ الهجمات الإلكترونية واسعة النطاق على المؤسسات الكبرى أن “الحد الأدنى” من المتطلبات لم يحمل هذا الاسم عبثًا. ولتحقيق حماية حقيقية ضد التهديدات الإلكترونية الحديثة، يتعين على الشركات تحسين إستراتيجياتها وتدابيرها الأمنية باستمرار وفقًا للاحتياجات الدقيقة للقطاع الصناعي الذي تعمل فيه.
التهديد والثغرات الأمنية والمخاطر
غالبًا ما تُستخدم هذه المصطلحات الثلاثة كمرادفات، مما يؤدي إلى استنتاجات خاطئة من قبل الإدارة، مثل: “هناك ثغرة أمنية خطيرة في خادمنا؟ وهذا يعني أننا نواجه خطرًا جسيمًا.” ولتجنب حالة الذعر، أو على العكس من ذلك، حالة التراخي، من الضروري استخدام هذه المصطلحات بدقة وفهم كيفية ارتباطها ببعضها البعض.
الثغرة الأمنية هي نقطة ضعف، أو “باب مفتوح”. وقد تكون عيبًا في التعليمات البرمجية، أو خادمًا تم تكوين إعداداته بشكل خاطئ، أو غرفة خوادم غير مقفلة، أو حتى موظفًا يفتح كل مرفقات البريد الإلكتروني التي تصله.
يمثل التهديد سببًا محتملاً لوقوع حادث. وقد يكون جهة معادية، أو برنامجًا ضارًا، أو حتى كارثة طبيعية. والتهديد هو كل ما قد “يمر عبر هذا الباب المفتوح”.
الخطر هي الخسارة المحتملة. وهي التقييم التراكمي لاحتمالية وقوع هجوم ناجح، وما قد تخسره المؤسسة نتيجة لذلك (التأثير).
يمكن شرح الروابط بين هذه العناصر بشكل أفضل من خلال معادلة بسيطة:
الخطر = (التهديد × الثغرة الأمنية) × التأثير
يمكن توضيح ذلك على النحو التالي: تخيل اكتشاف ثغرة أمنية حرجة ذات تصنيف خطورة أقصى في نظام قديم. ومع ذلك، النظام معزول تمامًا عن جميع الشبكات، وموضوع في غرفة مغلقة، ولا يتعامل معه سوى ثلاثة موظفين تم فحصهم أمنيًا. وهنا، تكون احتمالية وصول المهاجم إليه شبه منعدمة. وفي المقابل، فإن غياب المصادقة ثنائية العوامل (2FA) في أنظمة المحاسبة يخلق خطرًا حقيقيًا ومرتفعًا، نتيجة لكل من الاحتمالية العالية لوقوع هجوم والأثر التدميري الكبير المتوقع.
الاستجابة للحوادث والتعافي من الكوارث واستمرارية الأعمال
غالبًا ما يتسم تصور الإدارة للأزمات الأمنية بالتبسيط المفرط، حيث يسود اعتقاد مفاده: “إذا تعرضنا لهجوم من برامج طلب الفدية، فسنقوم ببساطة بتفعيل خطة التعافي من الكوارث التقنية واستعادة البيانات من النسخ الاحتياطية”. ومع ذلك، فإن الخلط بين هذه المفاهيم – والعمليات المرتبطة بها – يعد أمرًا في غاية الخطورة.
تُعد الاستجابة للحوادث (IR) مسؤولية فريق الأمان أو المقاولين المتخصصين. وتتمثل مهمتهم في تحديد موقع التهديد، وطرد المهاجم من الشبكة، ومنع الهجوم من الانتشار.
يُعد التعافي من الكوارث (DR) مهمة هندسية تقع على عاتق قسم تكنولوجيا المعلومات. وهو عملية استعادة الخوادم والبيانات من النسخ الاحتياطية بعد الانتهاء من مرحلة الاستجابة للحادث.
تُعد استمرارية الأعمال (BC) مهمة إستراتيجية تقع على عاتق الإدارة العليا. وهي الخطة التي تحدد كيفية استمرار الشركة في خدمة عملائها، وشحن البضائع، ودفع التعويضات، والتحدث إلى الصحافة، بينما لا تزال أنظمتها الأساسية متوقفة عن العمل.
إذا ركزت الإدارة على عملية التعافي فقط، فستفتقر الشركة إلى خطة عمل تغطي الفترة الأكثر حرجًا، وهي فترة توقف الأنظمة.
الوعي الأمني مقابل الثقافة الأمنية
يفترض القادة على جميع المستويات أحيانًا أن مجرد إجراء تدريبات أمنية يضمن تحقيق النتائج، معتقدين أن: “الموظفين قد اجتازوا الاختبار السنوي، لذا لن يقوموا الآن بالنقر على روابط التصيد الاحتيالي”. وللأسف، فإن الاعتماد حصرًا على التدريب الذي ينظمه قسما الموارد البشرية وتكنولوجيا المعلومات لن يجدي نفعًا. وتتطلب الفاعلية تغييرًا في سلوك الفريق، وهو أمر مستحيل دون مشاركة فعلية من إدارة الشركة.
الوعي معرفة. ويدرك الموظف ماهية التصيد الاحتيالي، ويعي أهمية استخدام كلمات مرور معقدة.
تُشير الثقافة الأمنية إلى الأنماط السلوكية. وهي ما يفعله الموظف في المواقف العصيبة أو حين لا يراقبه أحد. ولا تتشكل هذه الثقافة عبر الاختبارات، بل من خلال بيئة عمل تجعل من الإبلاغ عن الأخطاء أمرًا آمنًا، ويصبح فيها رصد المواقف الخطيرة ومنعها أمرًا معتادًا. وإذا خشي الموظف العقاب، فسيعمد إلى إخفاء الحادث. أما في ظل ثقافة صحية، فسيقوم بالإبلاغ عن رسائل البريد المشبوهة إلى مركز العمليات الأمنية (SOC)، أو ينبه زميلاً نسي قفل الكمبيوتر الخاص به، ليتحول بذلك إلى حلقة فعالة في سلسلة الدفاع.
الاكتشاف مقابل المنع
غالبًا ما يفكر قادة الأعمال وفق عقلية “أسوار القلاع” التي عفا عليها الزمن، مفترضين أنه: “طالما اشترينا أنظمة حماية باهظة الثمن، فلا سبيل لاختراقنا. وإذا وقع حادث، فهذا يعني فشل مدير أمان المعلومات”. والناحية العملية، فإن منع الهجمات بنسبة 100% أمر مستحيل تقنيًا ومكلف اقتصاديًا بشكل باهظ. لذا، تُبنى الإستراتيجيات الحديثة على التوازن بين الأمن الإلكتروني وفاعلية الأعمال. وفي نظام متوازن، تعمل المكونات المخصصة لاكتشاف التهديدات جنبًا إلى جنب مع تلك المخصصة لمنعها.
تصد إجراءات المنع الهجمات الآلية وواسعة النطاق.
تساعد أدوات الاكتشاف والاستجابة في تحديد وتحييد الهجمات الأكثر احترافية واستهدافًا، التي تنجح في تجاوز أدوات المنع أو استغلال الثغرات الأمنية القائمة.
لم يعد الهدف الرئيسي لفريق الأمن الإلكتروني اليوم هو ضمان الحصانة المطلقة، بل رصد الهجوم في مراحله الأولى وتقليل آثاره على العمل. ولقياس النجاح هنا، يعتمد القطاع عادةً على مقاييس أداء رئيسية مثل متوسط وقت الاكتشاف (MTTD) ومتوسط وقت الاستجابة (MTTR).
فلسفة الثقة الصفرية في مقابل منتجات الثقة الصفرية
أثبت مفهوم الثقة الصفرية – الذي يعني ضمنيًا “عدم الثقة مطلقًا، التحقق دائمًا” لجميع مكونات البنية التحتية لتكنولوجيا المعلومات – جدارته وفاعليته منذ أمد بعيد في تعزيز الأمان المؤسسي. ويتطلب هذا النهج تحققًا مستمرًا من الهوية (سواء كانت حسابات مستخدمين، أو أجهزة، أو خدمات) ومن سياق كل طلب وصول، انطلاقًا من فرضية مسبقة بأن الشبكة قد اختُرقت بالفعل.
مع ذلك، فإن وجود مصطلح “الثقة الصفرية” في اسم أي حل أمان لا يعني أن المؤسسة يمكنها تبني هذا النهج بين عشية وضحاها بمجرد شراء ذلك المنتج.
الثقة الصفرية ليست منتجًا يمكنك “تشغيله” بضغطة زر؛ بل هي إستراتيجية هندسية ورحلة تحول طويلة الأمد. ويتطلب تنفيذ نموذج الثقة الصفرية إعادة هيكلة عمليات الوصول وتحسين أنظمة تكنولوجيا المعلومات لضمان التحقق المستمر من الهوية والأجهزة. ولن يحقق شراء البرامج دون تغيير السياسات والإجراءات أي أثر ملموس.
أمان السحابة مقابل الأمان في السحابة
عند ترحيل خدمات تكنولوجيا المعلومات إلى البنية التحتية السحابية مثل AWS أو Azure، غالبًا ما يتولد وهم بنقل المخاطر بالكامل؛ حيث يسود اعتقاد: “بما أننا ندفع للمزود، فقد أصبح الأمان مسؤوليته وحده”. هذا المفهوم خاطئ وخطير، كما أنه يمثل سوء فهم لما يُعرف بنموذج المسؤولية المشتركة.
تقع مسؤولية أمان السحابة ذاتها على عاتق المزود. وهو يتولي حماية مراكز البيانات والخوادم المادية والكابلات.
تقع مسؤولية الأمان في السحابة على عاتق العميل.
يجب دعم مناقشات ميزانيات مشاريع السحابة وجوانبها الأمنية بأمثلة من الواقع. ويحمي المزود قاعدة البيانات من الوصول غير المصرح به وفقًا للإعدادات التي يضبطها موظفو العميل. وإذا ترك الموظفون قاعدة البيانات مفتوحة، أو استخدموا كلمات مرور ضعيفة، أو لم يقوموا بتمكين خاصية المصادقة ثنائية العوامل (2FA) للوحة التحكم، فلن يتمكن المزود من منع الغرباء من تحميل البيانات – وهي قصة تتكرر كثيرًا في عناوين الأخبار. ولذلك، يجب أن تشمل ميزانية هذه المشاريع أدوات أمان السحابة وإدارة الإعدادات من جانب الشركة.
فحص الثغرات الأمنية مقابل اختبار الاختراق
غالبًا ما يخلط القادة بين الفحوصات المؤتمتة، التي تندرج تحت بند النظافة الإلكترونية، وبين تقييم صمود أصول تكنولوجيا المعلومات أمام الهجمات المعقدة، متسائلين: “لماذا ندفع للمخترقين مقابل اختبار اختراق بينما نقوم بتشغيل برامج الفحص كل أسبوع؟”
يتحقق فحص الثغرات الأمنية من قائمة محددة لأصول تكنولوجيا المعلومات للبحث عن الثغرات الأمنية المعروفة. وبتعبير بسيط، يمكن تشبيهه بحارس أمن يقوم بجولاته المعتادة للتأكد من أن جميع أبواب ونوافذ المكتب مغلقة بإحكام.
اختبار الاختراق هو تقييم يدوي يهدف إلى قياس احتمالية وقوع اختراق حقيقي من خلال استغلال الثغرات الأمنية. واستكمالاً للتشبيه السابق، فالأمر يشبه استئجار لص محترف ليحاول فعليًا اقتحام المكتب.
لا يُغني أحدهما عن الآخر؛ فلكي تدرك المؤسسة وضعها الأمني الحقيقي، هي بحاجة ماسة لكلا الأداتين معًا.
الأصول المدارة مقابل سطح الهجوم
هناك تصور خاطئ وشائع ينطوي على خطورة بالغة، ويتعلق بنطاق الحماية ومدى الرؤية الشاملة التي تمتلكها إدارتا تكنولوجيا المعلومات والأمان. وكثيرًا ما يتردد في الاجتماعات قولهم: “لدينا قائمة جرد دقيقة لجميع أجهزتنا. ونحن نحمي كل ما نملكه”.
أصول تكنولوجيا المعلومات المدارة هي تلك الأشياء التي قامت إدارة تكنولوجيا المعلومات بشرائها وإعدادها ويمكنها رؤيتها بوضوح في تقاريرها.
يمثل سطح الهجوم كل ما يمكن للمهاجمين الوصول إليه؛ أي كل نقطة دخول محتملة إلى الشركة. ويشمل ذلك تكنولوجيا المعلومات الخفية (مثل الخدمات السحابية، وتطبيقات المراسلة الشخصية، وخوادم الاختبار…)، وهي ببساطة كل ما يفعله الموظفون بأنفسهم متجاوزين البروتوكولات الرسمية لتسريع عملهم أو تبسيطه. وغالبًا ما تكون هذه الأصول “غير المرئية” هي بوابة الهجوم، إذ لا يمكن لفريق الأمان حماية ما لا يعلم بوجوده أصلاً.
النصائح