استراتيجية قياس المخاطر السيبرانية
إن استراتيجية قياس المخاطر السيبرانية تتنافس في الوقت الحالي مع ازدياد التهديدات السيبرانية، حيث يجابه أخصائي أمن تكنولوجيا المعلومات ورئيس مكافحة جرائم الإنترنت المزيد من التحديات بشكل أكبر من أي وقتٍ مضى. تتضمن هذه التهديدات البرامج الضارة وبرامج الفدية والهجمات المستمرة من نوع DDoS واستغلال الثغرات الأمنية، وتستمر المخاطر في الازدياد، لذا، كيف يمكن التعرف على المخاطر التي يجب التعامل معها في المقام الأول؟
وأين ينبغي تركيز استثماراتك في مجال الأمن السيبراني؟ وفي هذا السياق، سنتحدث في هذا المقال عن كافة استراتيجية قياس المخاطر السيبرانية.
استراتيجية قياس المخاطر السيبرانية
يقوم الأسلوب التقليدي بتصنيف جميع المخاطر المواجهة على أنها عالية أو متوسطة أو منخفضة، ولكن يمكن تفسير هذه التصنيفات بأشكال مختلفة من قبل أفراد مختلفين، فمن الممكن أن يعتقد شخص ما أن المخاطر المتوسطة تحتاج إلى المزيد من التخفيف. بينما يمكن أن يجادل فريق الإدارة بأنه يمكن قبول هذه المخاطر، ومن الصعب أن ندافع عن وجهة نظرنا الخاصة، لأن مصطلح “مخاطرة متوسطة” يبدو غامضًا تمامًا.
يتعقد الأمر باستراتيجية قياس المخاطر السيبرانية عندما تكون مُواجهًا لمخاطر متعددة (من 2 إلى 3) وجميعها ذات تصنيف متوسط، فعلى أي مخاطر تركز أولًا؟ هل تخصص الكم نفسه من الوقت والموارد لإدارة كل المخاطر الثلاثة؟ فمن الصعب تحديد ذلك بثقة. ولكن ماذا لو قيل لك أن تكلفة هجوم برمجي ضار على مؤسستك تقدر بـ 3 ملايين دولار؟ وهل هناك احتمالية 60٪ لحدوث هذه المصيبة؟ فقد أصبحت الأمور أكثر وضوحًا الآن، سواء بِالنسبة لفريق أمن تكنولوجيا المعلومات أو للشركة.
مفهوم استراتيجية قياس المخاطر السيبرانية
عملية قياس المخاطر المالية لتكنولوجيا المعلومات والإنترنت، تساهم في تحديد الأولويات وتحديد الموارد المخصصة للأمن السيبراني لتحقيق أقصى تأثير، وعادةً ما تستخدم تقنيات نمذجة متطورة في دليل اختيار استراتيجية قياس المخاطر السيبرانية.
مثل محاکاة مونت كارلو، لتقدیر القيمة المعرضة للخطر (VaR) أو التقدیر المتوقع للخسارة نتيجة التعرض للمخاطر، بواسطة قیاس تأثير الحدث الخطر بالدولار، یمكنك الإجابة بثقة على أسئلة مثل “كم یجب أن تستثمر في الأمن السیبراني؟” و “ما هو العائد على الاستثمار؟” و “هل لدینا تأمین إلکتروني کاف؟”
يمكن أن يكون تقدير المخاطر مفيدًا للعديد من أصحاب المصلحة، يكتسب رؤساء أمن المعلومات (CISOs) فهمًا أعمق لتأثير المخاطر الذي يساعدهم على اتخاذ القرارات المبنية على البيانات. وتحظى ايضا المجالس بمزيد من الوضوح بشأن ما يعنيه النشاط التجاري من حيث القيمة بالعملة الورقية، يمكن للمديرين التنفيذيين تحديد أولويات استثمارات الأمن السيبراني بفاعلية،مما يؤدي إلى تحقيق التوافق بين البرامج الإلكترونية وأهداف العمل.
يمكن لنصف المديرين التنفيذيين على مستوى C استخدام أدوات قياس المخاطر لتتبع وتقييم قراراتهم الاستثمارية في مجال الأمن السيبراني تبعا لاستراتيجية قياس المخاطر السيبرانية.
أسباب استخدام استراتيجية قياس المخاطر السيبرانية
الاهتمام المتزايد بتقدير حجم المخاطر ليس أمراً جديداً ولكنه يشهد زيادة في الأيام الحالية لأسباب عدة، كالتالي:
- تتزايد تعقيدية وخطورة الهجمات الإلكترونية يومًا بعد يوم، حيث أعلنت الأمم المتحدة عن زيادة بنسبة 600٪ في رسائل البريد الإلكتروني الخبيثة خلال جائحة كوفيد-19.
- توسع وسائل الهجوم: تتجاوب الشركات بشكل متزايد مع استخدام التكنولوجيا الحيوية، وإنترنت الأشياء، والتكنولوجيا المحتلة، والتطبيقات السحابية.
- وتقنياتها الرقميـة لتحقيق أهداف أعمالها، ولكن ذلك يعمق أكثر فرصة مجرمي الإنترنت لاختراق الشبكات الحسّاسة، إذا أردنا أن نحافظ على الريادة.
- القياسات الكمية ليست دائمًا كافية: حتى الآن، تم تقديم التقارير حول المخاطر السيبرانية بعبارات نوعية مثل “من المحتمل أن تحدث” أو “من المحتمل إلى حد ما أن تؤثر على الأعمال التجارية”،ومع ذلك، فإن هذه الجمل غالبا ما تولد أسئلة أكثر من تقديم إجابات.
- ماذا يعنى “على الأرجح”؟ وما الفرق بين ذلك وبين “محتمل إلى حد ما”؟ وفي حالة استخدام الموارد لتقييم المخاطر “المحتملة”.
- أي المخاطر التي يمكن أن تحدث، فما هو المستوى الذي ستصل إليه هذه المخاطر؟ للإجابة على هذه الأسئلة، نحتاج إلى المزيد من البيانات الكمية.
كيف يمكن تقييم المخاطر السيبرانية والتعامل معها؟
إن استراتيجية قياس المخاطر السيبرانية مهمة ضخمة ومستمرة للغاية، لهذا السبب، يتطلب تخصيص الوقت والموارد لتعزيز الأمان، وتحديد التهديدات المحتملة، وإنشاء إطار يمنع حدوث أي عراقيل قد تؤثر على أداء التطبيقات. بالإضافة إلى ذلك من الضروري إجراء التقييم بشكل متواصل للتعامل مع ظهور التهديدات الجديدة ودخول الأنشطة الجديدة. من الناحية المثالية، يتفهم موظفو تقنية المعلومات في جهتك الشركة طريقة عمل بنيتك التحتية، بالإضافة إلى المدراء الذين يدركون تدفق المعلومات، الآن دعونا ننظر إلى الخطوات التي يجب اتخاذها لإتمام تقييم شامل لمخاطر السيبيرانية.
الخطوة الأولى: تحديد قيمة المعلومات
لا يمكن أن تحمي ما لا تعرفه، لذا الخطوة الأولى هي تحديد البيانات واكتشاف البنية التحتية التي تملكها وتقدير قيمة هذه البيانات. تساعد تلخيص هذه المعلومات في فهم المخاطر التي تتعرض لها فرق الأمان في تحديد أفضل السلوكيات لتجنب هذه المخاطر. نظرًا لعدم توفر موارد مالية كبيرة لدى أغلب المؤسسات لإدارة مخاطر المعلومات، يجب عليك تحديد نطاق عملك للتركيز على الأصول الأكثر أهمية، قد تحتاج أيضًا للتعاون مع جهة متخصصة ثالثة في تقييم المخاطر لمساعدتك في ذلك.
الخطوة الثانية: تحديد أولويات الأصول
بعد تحديد الأصول وتقييم المخاطر، ستكون قادرًا على تحديد الأولويات فيما يتعلق بالأصول التي يجب تقييمها،
وبالتالي ستحتاج إلى التعاون مع رجال الأعمال والإدارة لإنشاء قائمة لجرد الأصول، فهذه القائمة تعتبر طريقة ممتازة لتصوّر العلاقات المرتبطة بين الأصول والعمليات. سوف يوجد بعض التهديدات في كل تقييم للمخاطر، وتتضمن هذه التهديدات الوصول غير المصرح به إلى المعلومات أو سوء استخدامها أو تسربها.
الخطوة الثالثة: تحليل المخاطر
ذلك حاجة إلى تقدير احتمالية وجود تهديد خطر يمكن أن يؤدي إلى إلحاق الضرر بالمنظمة نتيجة استغلال ثغرة في الأمان، لذلك، يجب أن تتوفر لديك إجراءات أمان قوية للتكنولوجيا المعلوماتية.
بما في ذلك النسخ الاحتياطي للبيانات وتعيين كلمات مرور قوية وما إلى ذلك،
بالإضافة إلى المتسللين والبرامج الضارة، هناك العديد من التهديدات الأخرى مثل الكوارث الطبيعية، وفشل النظام، وخطأ الإنسان.
الخطوة الرابعة: تحديد نقاط الضعف
الثغرة الأمنية تمثل تهديدًا يمكن استغلاله للإضرار بمنظمتك وسرقة بياناتها، ويتم اكتشافها عن طريق تحليل نقاط الضعف وتقارير البائعين وتحليل الأمان. يمكنك الحد من تهديدات البرامج من خلال إدارة التصحيحات الصحيحة عن طريق التحديثات الإجبارية التلقائية، ومع ذلك تنخفض فرصة وصول أي شخص إلى نظام المنظمة عن طريق البطاقة الرئيسية.
الخطوة الخامسة: تحليل الضوابط
من الضروري الآن توضيح احتمالية الاستغلال، مع مراعاة البيئة التي يعمل فيها المؤسسة، فيمكنك دراسة الضوابط المتاحة للحد من الثغرات أو تنفيذ ضوابط عن طريق التشفير أو آليات كشف الاختراق أو المصادقة المزدوجة. تحاول الإجراءات الوقائية تنفيذ تشفير البيانات، ومكافحة الفيروسات ومراقبة الأمان باستمرار، وتحاول الإجراءات التحقيقية اكتشاف وقت حدوث هجوم مثل الكشف المستمر عن البيانات.
تابع المزيد: دليلك الشامل عن ضوابط الأمن السيبراني للأنظمة الحساسة
الخطوة السادسة: احسب تقييمك للمخاطر
بعد معرفتي الآن بقيمة المعلومات ونقاط الضعف والضوابط، الخطوة القادمة هي تحديد احتمالية حدوث مخاطر السرية وتأثيرها.إنها مسألة بسيطة تتعلق بمعادلة: تقييم المخاطر = التأثير (إذا تم استغلاله) × الاحتمال (للاستغلال في بيئة التحكم المقيمة).
في نهاية المقال نكون قد تحدثنا عن استراتيجية قياس المخاطر السيبرانية، وكيفية قياس المخاطر السيبرانية وتجنبها،وأهم الخطوات المتبعة في ذلك.