تابعنا على لينكد إن

جريغ بيل
في كل عام أخوض في نقاشات حول أمن الإنترنت مع مئات المدراء التنفيذيين، والخطأ الأكبر الذي لاحظته هو أنّ الشركات تتعامل مع أمن الإنترنت على أنّه قضيّة تقنيّة تنحصر مسؤولية حلّها بأقسام تقنية المعلومات. ولكنّ الأمر بخلاف ذلك، فهذه قضيّة بالغة الأهمّية لا بدّ من التنبّه إليها على مستوى المؤسّسة بأكملها.
في حال كان الهدف هو الوقاية من وقوع أمر سيئ، فإنّ الشركات في العادة تضيّع الوقت والمال في محاولات عقيمة لبناء جدار لا يمكن اختراقه من أنظمة الحماية. وحتّى لو كان من الممكن بناء جدار آمن بنسبة مئة بالمئة، فإنّه سيبقى عاجزاً عن حماية الحجم المتزايد بسرعة من البيانات التي تتدفّق خارج الجدار الناري عبر أجهزة وأنظمة تقع خارج نطاق التحكّم المباشر للشركة.
إنّ الأمر الأكثر أهمّية يمكن في التركيز على أمرين اثنين: تحديد الأصول المعلوماتيّة ذات الأهمية الإستراتيجية للشركة وحمايتها، بالإضافة إلى التحديد بشكل مسبق للسبل الخاصّة بالحدّ من الأضرار عند وقوع أي هجوم.

حدّد الجوانب التي يلزم حمايتها
نحن نعيش في عالم ترتبط الكثير من المنتجات فيه بشبكة الإنترنت، ولم يعد الأمر مقتصراً على الحواسيب والهواتف، بل انتقل إلى الأجهزة المنزلية وأنظمة الإنذار وبوابة المرأب. وسواء أدرك الناس ذلك أم لم يدركوا، فإنّهم في واقع الأمر يشاركون قدراً كبيراً من معلومات الاستخدام والبيانات الشخصيّة كلّما استخدموا أي منتج أو خدمة مرتبطة بالإنترنت.
ويجب على الشركات المؤتمنة على هذه البيانات أن تدرك أن أمن المعلومات وحماية البيانات لم يعودا خطرين مرتبطين بأقسام تقنية المعلومات وحسب، بل إنّها أخطار إستراتيجية جسيمة تهدّد العمل بأكمله، وبوسعها التأثير على سمعة المؤسسات والعلامات التجارية وأرباحها. ويعلم الرؤساء التنفيذيون هذا الأمر بمستوى معيّن. فوفق دراسة أجريناها تبيّن أنّ أمن المعلومات هو أكثر ما يقلق الرؤساء التنفيذيين من الأخطار في الفترة الحالية. ولكن رغم ما يبدو من إدراك قادة الشركات بأنّ الإستراتيجية بذاتها هي سلسلة من الاختيارات-بخصوص ما يمكن أن تتميّز به الشركة وتحديد متى يكون التنافس أمراً غير مجدٍ- إلا أنّهم يتعاملون مع قضيّة أمن المعلومات بمنهجية واحدة في كافّة أقسام الشركة.
وهذا ما يدفعني إلى التأكيد على قيمة الإطار الخاص بإدارة مخاطر الإنترنت والذي يبدأ بالتركيز على العوامل المسؤولة عن ازدهار العمل والأرباح وينتهي بالبنية التحتية الخاصّة بالتقنية. وهذه المنهجيّة هي عكس المنهجيّة التقليديّة، ولكنّها أكثر فعالية. فليس من الممكن التعامل مع الاستثمارات في مجال أمن المعلومات بطريقة واحدة، لأنّها ببساطة غير متساوية في الأهمّية.
لقد علمت مؤخّراً أنّ مدير أمن المعلومات في شركة تأمين كبيرة كان يمضي معظم وقته ويخصص ملايين الدولارات من أجل حماية شبكة وسطاء الشركة، وهي مجموعة من آلاف الوسطاء الذين تربطهم علاقة مباشرة بحاملي بعملاء الشركة. إنّ الوسطاء ليسوا موظفين في الشركة، والأنظمة التي يستخدمونها ليست تحت سيطرتها، على الرغم من أنّهم يجمعون ويعالجون بيانات عملائها. وهذه معضلة حقيقيّة يواجهها الكثير من المختصين في مجال أمن المعلومات: كيف يمكن حماية شيء ليس في بيئتي ولكنّه قد يؤثّر على علامتي التجاريّة وعلى الثقة التي يملكها العملاء بنا؟
ما لم يعرفه مدير أمن المعلومات حينها هو أنّ شركته هذه قد كانت تخطّط لتغيير نموذج أعمالها وكانت عازمة على تفكيك شبكة الوسطاء خلال بضع سنوات، ممّا يعني أنّ كثيراً مما كان يقوم به لن تكون له أي قيمة بعد فترة وجيزة.
أمّا الشركات التي بوسعها الحديث عن التغييرات المستقبليّة والتخطيط المسبق لها فإنّها تكون قادرة على بناء إستراتيجيّات مرنة لأمن المعلومات وذكيّة وفعّالة في آنٍ معاً.
وعلى الرغم من أنّ واحداً من بين كل رئيس تنفيذي أشار في استبيان أجرته شركة كي بي أم جي إلى أنّه غير مطمئنٍّ إلى المستوى الذي صارت فيه مهمّة الحدّ من مخاطر المعلومات جزءاً من مسؤولياته، إلا أنّ أحد أهمّ الأولويّات لديهم لا بدّ أن تكون متعلّقة بإيجاد ارتباط أكبر بين وحدات الأعمال لديهم وقسم تقنية المعلومات بشكل أكبر مما هو قائم اليوم.
ويجب على المدراء التنفيذيين، كما هي الحال في أي إستراتيجية لإدارة المخاطر، النظر عبر المؤسسة بأكملها لتقييم الأصول المعلوماتية فيها، ولاسيما الاستثمارات المتعلقة بالأنظمة التقنية والمختصّين ذوي المهارة العالية المسؤولين عن تشغيلها. ويجب الحرص على أن تكون هذه الاستثمارات مرتبطة بحاجات الشركة الراهنة وكيفية تطوّر نموذج العمل في السنوات الثلاثة أو الخمسة المقبلة.
كن متأهّباً لخطر الاختراق
بعد أنّ يتم تحديد المخاطر الأكبر التي قد تهدّد الأصول المعلوماتية في الشركة وعملياتها فإنّه من المهم الوصول لأحكام دقيقة ومسؤولة من الناحية الماليّة بخصوص ما يمكن إصلاحه وما يمكن مراقبته عن كثب وبشكل متواصل. ورغم أنّه من الصعب تقبّل ذلك، إلا أنّ أنظمة الحماية لديك لا بدّ أن تتعرض للاختراق في مرحلة ما، ومن الأفضل أن يكون لديك خطة جاهزة لاتخاذ الإجراءات المناسبة عند رصد اختراق ما.
إنّ التدريب في مجال أمن المعلومات يتطوّر بشكل مستمرّ بناء على ظروف متغيّرة ولا بدّ لذلك من تطوير أدوار الموظفين. فمن الضروريّ أن يعرف كل موظف أفضل الممارسات في هذا الصدد وأن يكون قادراً على تحديد البرمجيّات الخبيثة أو محاولات الاختراق. والواقع أنّ العديد من الشركات قد فشلت في إدراك أهمّية تقديم التدريب المناسب لموظفيها في هذا المجال.
كما يلزمك القيام بإجراءات تقييم دوريّة لمخاطر المعلومات، مع التركيز على أهمّ البيانات الخاصّة للشركة وأولويّات الأعمال، وإجراء تدريبات افتراضيّة للتعامل مع حالات الاختراق لمعرفة كيف ستتعامل الشركة والموظفون مع ذلك. ويجب تحديد الهرمية الإدارية في حالة حدوث هجوم إلكتروني على الشركة، وتحديد كيفية التواصل مع وسائل الإعلام والعملاء في حادثة كهذه.
لقد وجدنا في استبيان أجريناه مؤخراً أنّ هذا النوع من التخطيط للحالات الطارئة ليس موجوداً في العديد من الشركات، عداك عن تخصيص أيّ تمويل له. فقد أشار ثلث المدراء التنفيذيين الذين قابلناهم (31%) إلى أنّ شركاتهم تفتقر إلى مسؤول محدّد عن قضايا أمن المعلومات في الشركة بشكل حصريّ، بينما أشار 49% منهم إلى أنّهم لم يستثمروا في مجال أمن المعلومات خلال السنة الماضية.
وفي ظل ما نراه من إحجام الشركات عن الاستثمار في عمليات حماية معلوماتها وعدم تخصيص مسؤول لهذه الغاية فإنّ هذا يعني أنّ قضايا أمن المعلومات لا يجري التعامل معها بطريقة سليمة رغم إدراك قادة الشركات لحساسيتها.
إن العملاء يدركون القيمة في الشركات التي توفّر قدراً أكبر من الشفافية والتثقيف والتواصل بخصوص جهود حماية المعلومات وفعاليتها. والشركات التي تنجح بأداء ذلك ستكون أقدر على المنافسة في السوق كما أنّها ستكون أقدر على مواجهة أي محاولة اختراق في المستقبل.
جريغ بيل، مدير قسم أمن المعلومات في شركة كي بي أم جي في الولايات المتحدة الأمريكية.

تنويه: إن نسخ المقال أو إعادة نشره بأي شكل وفي أي وسيلة دون الحصول على إذن مسبق يعتبر تعدياً على حقوق الملكية الدولية ويعرض صاحبه للملاحقة القانونية.

ﺟﻣﯾﻊ اﻟﺣﻘوق ﻣﺣﻔوظﺔ ﻟﺷرﻛﺔ ھﺎرﻓﺎرد ﺑزﻧس ﺑﺑﻠﯾﺷﻧﻎ، ﺑوﺳطن، اﻟوﻻﯾﺎت اﻟﻣﺗﺣدة اﻷﻣﯾرﻛﯾﺔ - 2018

اترك تعليق

قم بـ تسجيل الدخول لتستطيع التعليق
avatar
  شارك  
التنبيه لـ
error: المحتوى محمي !!