ملخص: لمجالس الإدارة دور مهم في مساعدة مؤسساتها على التصدي لمشكلة تهديدات الأمن السيبراني وهي لا تضطلع بمسؤوليات إدارية يومية، لكن تقع على عاتقها مسؤوليات رقابية وائتمانية. ولا يجب أن تؤجل الإجابة عن أي سؤال حول مواطن الضعف الخطِرة إلى الغد. لذا، قد يؤدي طرح أسئلة ذكية في اجتماع مجلس الإدارة التالي إلى الحيلولة دون أن يتحول أي اختراق أمني إلى كارثة حقيقية.
نقدم في هذه المقالة 7 أسئلة يجب طرحها للتأكد من أن مجلس إدارتك يفهم الكيفية التي تدير بها مؤسستك المسائل المتعلقة بأمنها السيبراني. فمجرد طرح هذه الأسئلة سيؤدي إلى رفع الوعي بأهمية الأمن السيبراني، والحاجة إلى ترتيب الأولويات لاتخاذ الإجراءات اللازمة.
ما هي إلا مسألة وقت حتى يجد ذوو النوايا الخبيثة طريقة لاختراق أي تكنولوجيا جديدة يخترعها المتخصصون في الأمن السيبراني. لذا، فنحن بحاجة إلى نُهج قيادة جديدة بينما ننتقل إلى المرحلة القادمة من تأمين مؤسساتنا. وبالنسبة إلى مجالس الإدارة، يتطلب ذلك إيجاد طرق جديدة للاضطلاع بمسؤوليتها الائتمانية تجاه المساهمين، ومسؤوليتها الرقابية عن إدارة المخاطر التجارية. إذ لم يعد بإمكان أعضاء مجالس الإدارة التنازل عن مسؤولية الرقابة على الأمن السيبراني أو ببساطة تفويضها إلى مدراء العمليات. كما يجب أن يكونوا قادة واسعي الاطلاع يعطون الأولوية للأمن السيبراني ويبرهنون على التزامهم بذلك شخصياً. وهذه أمور يعرفها العديد من أعضاء مجالس الإدارة، لكنهم ما زالوا يحاولون معرفة كيفية تطبيقها.
أجرينا استبياناً لنفهم على نحو أفضل كيفية تعامل مجالس الإدارة مع الأمن السيبراني. وسألنا أعضاء مجالس الإدارة عن الوتيرة التي يناقش بها مجلس الإدارة المسائل المتعلقة بالأمن السيبراني، ووجدنا أن 68% فقط من المشاركين قالوا إن ذلك يتم بانتظام أو باستمرار. وللأسف، قال 9% إن مجلس إدارتهم لم يناقش هذه المسائل.
وفيما يتعلق بفهم دور مجلس الإدارة، كانت هناك وجهات نظر كثيرة؛ فقد قال 50% من المشاركين إنه كان هناك نقاش حول دور مجلس الإدارة، دون توافق حول الشكل الذي ينبغي أن يكون عليه هذا الدور. ورأى 41% من المشاركين أن دور مجلس الإدارة هو تقديم التوجيه لمدراء العمليات أو القادة في الإدارة التنفيذية العليا، وذكر 14% من المشاركين أن دوره هو المشاركة في تدريب محاكاة نظري، وذكر 23% أن المجلس يجب أن يكون على دراية عامة أو "أن يكون على أهبة الاستعداد للاستجابة عندما تكون هناك حاجة إليه". لكن قال أيضاً 23% من المشاركين إنه لا توجد لدى مجلس الإدارة خطة أو استراتيجية.
بناءً على النتائج التي توصلنا إليها، وضعنا التوصيات التالية بشأن ما تحتاج مجالس الإدارة إلى معرفته، والخطوات العملية التي يمكن لأعضاء مجالس الإدارة اتخاذها، والأسئلة الذكية التي يجب أن تطرحها في اجتماعك المقبل.
5 أمور يحتاج أعضاء مجالس الإدارة إلى معرفتها حول الأمن السيبراني
1. الأمن السيبراني يتعلق بما هو أكثر من مجرد حماية البيانات
في السابق، كان يُنظر إلى حماية المؤسسات من الحوادث السيبرانية على أنها تتمحور حول حماية البيانات في المقام الأول. إذ يخشى المسؤولون التنفيذيون في الشركات تسرُّب المعلومات الشخصية وسرقة قوائم العملاء واستخدام بطاقات الائتمان بطريقة احتيالية. لا تزال هذه المشكلات قائمة، لكن الأمن السيبراني يتمحور حول ما هو أكثر من مجرد حماية البيانات. نظراً إلى أننا قمنا برقمنة إجراءاتنا وعملياتنا، وربطنا مجمعاتنا الصناعية بأنظمة تحكم تتيح إدارة المعدات الكبيرة عن بُعد، كما ربطنا سلاسل التوريد الخاصة بنا بعمليات آلية للطلب والتنفيذ، فقد اكتسب الأمن السيبراني مكانة أكبر بكثير في مشهد التهديدات التي نواجهها. قد يؤدي ضعف الرقابة إلى أكثر من مجرد دفع غرامات لأن البيانات لم تكن محمية على نحو ملائم. لذا، يحتاج أعضاء مجالس الإدارة إلى صورة حقيقية للتهديدات السيبرانية المادية والرقمية التي تواجهها مؤسساتهم.
2. أعضاء مجلس الإدارة يجب أن يكونوا خبراء في مراقبة الأمن السيبراني
إن دور مجلس الإدارة هو التأكد من أن المؤسسة لديها خطة وأنها مستعدة على أكمل وجه، ولكن ليس من مسؤوليته وضع تلك الخطة. هناك العديد من الأطر المتاحة لمساعدة المؤسسات على وضع استراتيجيتها للأمن السيبراني. ونحن نفضل إطار الأمن السيبراني الذي وضعه "المعهد الوطني للمعايير والتكنولوجيا" (National Institute of Standards and Technology)؛ فهو بسيط ويساعد المسؤولين التنفيذيين وأعضاء مجالس الإدارة على التفكير ملياً في الجوانب المهمة للأمن السيبراني. لكنه يحتوي أيضاً على مستويات عديدة من التفصيل يمكن للمتخصصين في تهديدات الأمن السيبراني استخدامها لوضع الضوابط والعمليات والإجراءات. يمكن أن يؤدي تنفيذ هذا الإطار بفعالية إلى إعداد المؤسسات لمواجهة أي هجمة سيبرانية والتخفيف من آثار ما بعد الهجمات.
يضم هذا الإطار 5 جوانب: التحديد والحماية والكشف والاستجابة والتعافي. تمتلك المؤسسات المستعدة جيداً لأي هجمة سيبرانية خططاً موثقة لكل من هذه الجوانب، وتشاركها مع القادة، كما أنها تتدرب على الإجراءات التي يجب اتخاذها لبناء ذاكرة عضلية لاستخدامها في حالة تعرضها لأي هجمة.
3. مجالس الإدارة يجب أن تركز على المخاطر والسمعة واستمرارية الأعمال
عندما يضع المتخصصون في الأمن السيبراني سياسات وممارسات، فإن الأهداف الثلاثة الرئيسية المتوخاة هي: الحفاظ على سرية كل من الأنظمة والبيانات ونزاهتها وتوافرها. وهذا ضروري، لكن مناقشة هذه الأهداف ستكون مختلفة تماماً عن مناقشة الأهداف المتعلقة بالمخاطر والسمعة واستمرارية الأعمال؛ التي تمثل الاهتمامات الرئيسية لمجلس الإدارة.
بينما تميل مجالس الإدارة إلى وضع استراتيجيات حول طرق إدارة المخاطر التجارية، يركز المتخصصون في الأمن السيبراني جهودهم على المستويات التقنية والتنظيمية والتشغيلية. تختلف اللغة المستخدمة في إدارة الأعمال عن تلك المستخدمة في إدارة الأمن السيبراني، وهذا يمكن أن يحول دون فهم الخطر الحقيقي وتحديد أفضل نهج لمواجهته. قد لا يكون مجلس الإدارة على دراية كاملة بالمخاطر السيبرانية والتدابير الوقائية التي يجب اتخاذها؛ ربما لأن الأمن السيبراني مجال تقني معقد نوعاً ما، إلا أن هناك نُهجاً قابلة للتنفيذ لمعالجة هذه المشكلة.
لا يلزم أن يكون أعضاء مجالس الإدارة خبراء في الأمن السيبراني (مع أنه من الجيد وجود خبير ضمن أعضاء المجلس). فمن خلال التركيز على هذين الهدفين المشتركين: إبقاء المؤسسة آمنة والحفاظ على استمرارية العمل، يمكن تقليص الفجوة بين دور مجلس الإدارة ودور المتخصصين في الأمن السيبراني. وتتمثل الخطوة الأولى التي يجب اتخاذها في إقامة اتصال واضح وثابت بهدف مشاركة المقاييس المفيدة والموضوعية للمعلومات وأدوات التحكم بالأنظمة والسلوك البشري. ويجب أيضاً إجراء مقارنات مع أفضل الممارسات والمنهجيات الحالية المستخدمة في إدارة مخاطر الأمن السيبراني لتحديد جوانب الضعف والقوة في المؤسسة. والإجراء الثالث الذي يجب اتخاذه لسد الفجوة هو أن يطرح أعضاء مجالس الإدارة أسئلة ذكية على مسؤوليهم التنفيذيين في مجال الأمن السيبراني.
4. النهج السائد تجاه الأمن السيبراني هو "الدفاع في العمق"
يمكن لمجموعة من التدابير الوقائية المتعددة المستويات حماية المعلومات القيمة والبيانات الحساسة لأنه يمكن معالجة فشل إحدى الآليات الدفاعية بآلية أخرى، ما قد يؤدي إلى صد الهجمة واكتشاف الطرق المختلفة التي يستخدمها المخترقون في الهجمات. يُشار إلى هذا النهج المتعدد المستويات عادة باسم "نهج القلعة" لأنه يعكس الدفاعات المتعددة المستويات التي كانت موجودة في قِلاع العصور الوسطى لصد أي هجمات خارجية.
غالباً ما تتضمن مستويات الدفاع: التكنولوجيا والضوابط والسياسات والآليات التنظيمية. على سبيل المثال، جدران الحماية (وتمتلك شركات كثيرة جدران حماية متعددة) وأدوات إدارة الهوية والصلاحيات والتشفير واختبارات الاختراق وغيرها الكثير، جميعها دفاعات تكنولوجية تحول دون حدوث الهجمات أو تكتشفها. وتَعد تكنولوجيات الذكاء الاصطناعي بتقوية هذه الدفاعات أمام التهديدات الجديدة والمستمرة. لكن لا يمكن للتكنولوجيا وحدها الحفاظ على أمننا بما يكفي. توفر مراكز العمليات الأمنية الرقابة والتدخل البشري لملاحظة الأشياء التي تغفلها التكنولوجيات، كما حدث في الاختراق الأمني لشركة "سولارويندز" (SolarWinds)، حيث لاحظ أحد الزملاء المخضرمين شيئاً غير عادي وحقق فيه. ولكن لا يمكن حتى لهذه المراكز الحفاظ على أمن المؤسسة بنسبة 100%.
السياسات والإجراءات ضرورية لتلبية متطلبات الرقابة والمتطلبات التي حددتها الإدارة. وبصراحة نحتاج اليوم أن يوفر كل فرد في مؤسساتنا مستوى معيناً من الدفاع. على أقل تقدير يجب أن يكون الجميع على دراية بعمليات الاحتيال ومحاولات الاختراق باستخدام الهندسة الاجتماعية لكي لا يقعوا ضحية للهجمات. وبالمناسبة، يشمل ذلك أعضاء مجالس الإدارة لأنهم مستهدفون أيضاً، ويجب أن يمتلكوا ما يكفي من المعرفة حتى لا يقعوا ضحية رسائل البريد الإلكتروني أو الإشعارات الخادعة.
5. الأمن السيبراني مشكلة تنظيمية وليس مشكلة تقنية فقط
يحدث العديد من مشكلات الأمن السيبراني بسبب خطأ بشري. فقد كشفت دراسة أجرتها جامعة "ستانفورد" أن 88% من حوادث انتهاك سرية البيانات كانت ناجمة عن أخطاء ارتكبها الموظفون. التفاف جميع الموظفين، وليس فقط فريق الأمن السيبراني، حول الممارسات والعمليات للحفاظ على أمن المؤسسة ليس مشكلة تقنية بل تنظيمية. إذ يتطلب الأمن السيبراني الوعي والعمل من جميع موظفي المؤسسة لاكتشاف أوجه الخلل وتنبيه القادة، ما سيخفف في نهاية المطاف من حدة المخاطر.
يشير بحثنا الذي أجريناه في معهد "ماساتشوستس للتكنولوجيا" إلى أن أفضل طريقة للقيام بذلك هي إرساء ثقافة للأمن السيبراني. نعرّف "ثقافة الأمن السيبراني" بأنها بيئة مليئة بالمواقف والمعتقدات والقيم التي تحفز السلوكيات المتصلة بالأمن السيبراني . وبموجب هذه الثقافة لا يلتزم الموظفون بأوصافهم الوظيفية فحسب، بل يتصرفون على الدوام لحماية أصول المؤسسة. وهذا لا يعني أنه ينبغي لكل موظف أن يصبح خبيراً في الأمن السيبراني؛ بل يعني أن يصبح كل موظف مسؤولاً عن الرقابة والتصرف كمدافع عن أمن المؤسسة. فهذا يضيف طبقة حماية بشرية لتجنب أي سلوك يمكن أن يستغله ذوو النوايا الخبيثة واكتشافه والإبلاغ عنه.
يحدد القادة الطريقة التي سيتم بها إعطاء الأولوية لهذا النوع من الثقافة، لكنهم أيضاً يعززون القيم والمعتقدات ويجسدونها لاتخاذ الإجراءات. ولمجلس الإدارة دور في هذا أيضاً؛ فمن خلال طرح أسئلة حول تهديدات الأمن السيبراني يشير أعضاء مجلس الإدارة ضمناً إلى أنه موضوع مهم بالنسبة إليهم، وهذا بدوره يرسل رسالة مفادها أنه يجب أن يكون أولوية بالنسبة إلى المسؤولين التنفيذيين.
الأسئلة التي يحتاج مجلس إدارتك إلى سماعها
فيما يلي قائمة من 7 أسئلة يجب طرحها للتأكد من أن مجلس إدارتك يفهم الكيفية التي تدير بها مؤسستك المسائل المتعلقة بأمنها السيبراني. فمجرد طرح هذه الأسئلة سيؤدي إلى رفع الوعي بأهمية الأمن السيبراني، والحاجة إلى ترتيب الأولويات لاتخاذ الإجراءات اللازمة.
1. ما هي أهم أصولنا وكيف نحميها؟
نعلم أننا لن نتمكن من الحفاظ على أمننا بنسبة 100%. لذا، يجب اتخاذ قرارات صعبة، ويجب أن يتأكد مجلس الإدارة من أن أهم أصول المؤسسة آمنة على أعلى مستوى معقول. فهل أهم أصولك هي بيانات عملائك أم أنظمتك وعملياتك التشغيلية أم عنوان بروتوكول الإنترنت الخاص بك؟ إذ تتمثل إحدى الخطوات المهمة في السؤال عما يتم حمايته وما يجب حمايته. وإذا لم يكن هناك اتفاق بشأن ما يجب حمايته، ستصبح بقية استراتيجية الأمن السيبراني موضع نقاش.
2. ما هي طبقات الحماية التي وضعناها؟
يتم توفير الحماية من خلال طبقات متعددة من الدفاعات والإجراءات والسياسات ونُهج أخرى لإدارة المخاطر. لا تحتاج مجالس الإدارة إلى اتخاذ قرار بشأن كيفية تنفيذ كل طبقة من هذه الطبقات، لكنها تحتاج إلى معرفة طبقات الحماية الموجودة ومدى الحماية التي توفرها كل طبقة للمؤسسة.
3. كيف نعرف ما إذا كنا قد تعرضنا لاختراق أمني؟ وكيف نكتشفه؟
سيكون مجلس الإدارة قد تجاهل جزءاً مهماً من مسؤوليته الائتمانية إذا لم يكفل أن يكون لدى المؤسسة القدرة على حماية نفسها من الاختراقات الأمنية والكشف عنها. ونظراً إلى أن اختراقات كثيرة لا تُكتشف فور حدوثها، فيجب على مجلس الإدارة التأكد من أنه يعرف كيفية اكتشاف الاختراقات والموافقة على مستوى المخاطر الذي ينطوي عليه هذا النهج.
4. ما هي خطط الاستجابة في حالة وقوع أي هجمة؟
في حالة طلب فدية، ما هي سياستنا بشأن دفعها؟ مع أنه من المستبعد أن يكون مجلس الإدارة جزءاً من خطة الاستجابة المفصلة نفسها، فإنه يجب أن يتأكد من وجود خطة. أي من المسؤولين التنفيذيين والقادة تتضمنهم خطة الاستجابة؟ وما هو دورهم؟ وما هي خطط التواصل (كيف سنتواصل إذا اختُرقت الأنظمة أو أصبحت غير موثوقة؟). مَن الذي يجب أن يحذّر المسؤولين؟ ومَن هم المسؤولون الذين يجب تحذيرهم؟ ومَن يجب أن يتحدث إلى الصحافة وعملائنا وموردينا؟ وجود خطة أمر بالغ الأهمية للاستجابة على نحو ملائم. من المستبعد أن تُنفّذ الخطة كما صُممت بالضبط، لكن لا ينبغي الانتظار إلى أن يحدث الاختراق لبدء التخطيط لكيفية الاستجابة.
5. ما هو دور مجلس الإدارة في حالة وقوع هجمة؟
سيكون من المفيد لمجلس الإدارة معرفة دوره والقيام به. فهل دور مجلس الإدارة هو اتخاذ قرار بشأن دفع فدية، والتحدث إلى أكبر العملاء، وأن يكون متاحاً لعقد اجتماعات طارئة مع المسؤولين التنفيذيين في المؤسسة لاتخاذ قرارات آنية؟ ناقش مقال سابق من تأليفنا أهمية التدرب على الاستجابات. يبدو أن استخدام التدريبات على التعامل مع المواقف غير المتوقعة وتدريبات المحاكاة النظرية لبناء ذاكرة عضلية ضرباً من الترف، ولكن إذا تعرضت شركتك لاختراق، يجب أن تكون متأكداً من أن عضلات الاستجابة جاهزة للعمل.
6. ما هي خططنا لإعادة نشاط الأعمال في حالة وقوع هجمة سيبرانية؟
لم يختبر العديد من المسؤولين التنفيذيين الذين أجرينا مقابلات معهم خطط إعادة نشاط الأعمال. يمكن أن تكون هناك اختلافات كبيرة فيما يتعلق بإعادة نشاط الأعمال بعد تعطلها بسبب هجمة سيبرانية. إذ قد تكون طريقة استرجاع البيانات مختلفة إذا تم تدمير جميع السجلات أو إتلافها على يد أحد أصحاب النوايا الخبيثة الذين يشفرون الملفات أو يتلاعبون بها. يجب على مجالس الإدارة معرفة مَن سيتولى مهمة إعادة نشاط الأعمال، وما إذا كانت هناك خطة لتحقيق ذلك، وما إذا تم اختبارها في ضوء هجمة سيبرانية معينة.
7. هل نستثمر بما يكفي في الأمن السيبراني؟
لا يمكنك استثمار ما يكفي لتكون آمناً بنسبة 100%، ولكن نظراً إلى أنه يجب وضع ميزانية، فمن الضروري أن تضمن الشركات وجود فريق أمني ممتاز لديها يتمتع بالخبرة المناسبة لمعالجة المشكلات التقنية ويفهم نقاط الضعف داخل الوظائف الأساسية ذات الأهمية البالغة للأعمال. ومن خلال القيام بذلك، ستكون الشركة أكثر استعداداً لتخصيص الاستثمارات حيث هناك حاجة ماسة إليها. ينبغي للشركات تقييم درجة حمايتها وتحملها للمخاطر قبل القيام باستثمارات جديدة. وهناك طريقتان للقيام بذلك: من خلال محاكاة الهجمات السيبرانية، واختبارات الاختراق/نقاط الضعف. إذ تكشف هذه الإجراءات عن نقاط الضعف، ما يؤدي إلى تقليل الأضرار المحتملة حسب الأولوية ومدى التعرض للمخاطر والميزانية، وفي النهاية تضمن الاستثمار المناسب للوقت والمال والموارد.
لمجالس الإدارة دور مهم في مساعدة مؤسساتها على التصدي لمشكلة تهديدات الأمن السيبراني وهي لا تضطلع بمسؤوليات إدارية يومية، لكن تقع على عاتقها مسؤوليات رقابية وائتمانية. ولا يجب أن تؤجل الإجابة عن أي سؤال حول مواطن الضعف الخطِرة إلى الغد. لذا، قد يؤدي طرح أسئلة ذكية في اجتماع مجلس الإدارة التالي إلى الحيلولة دون أن يتحول أي اختراق أمني إلى كارثة حقيقية.