كل عام، أخوض في نقاشات حول أمن الإنترنت مع مئات المدراء التنفيذيين، وأكبر خطأ لاحظته هو أن الشركات تتعامل مع أمن الإنترنت على أنه قضية تقنية تنحصر مسؤولية حلها بأقسام تقنية المعلومات. ولكن الأمر بخلاف ذلك، فهذه قضية بالغة الأهمية يجب الانتباه إليها على مستوى المؤسسة بأكملها.
إذا كان الهدف هو منع حدوث شيء سيئ، فعادة ما تضيّع الشركات الوقت والمال في محاولات عقيمة لبناء جدار لا يمكن اختراقه من أنظمة الحماية. وحتى لو كان من الممكن بناء جدار آمن بنسبة 100%، فإنه سيظل عاجزاً عن حماية الحجم المتزايد بسرعة من للبيانات المتدفقة خارج جدار الحماية من خلال أجهزة وأنظمة خارج سيطرة الشركة المباشرة.
يمكن أن تركز المسألة الأكثر أهمية على أمرين اثنين: تحديد الأصول المعلوماتية ذات الأهمية الستراتيجية للشركة وحمايتها، بالإضافة إلى التحديد المسبق للسبل الخاصة للحد من الأضرار عند وقوع أي هجوم.
حدّد الجوانب التي يلزم حمايتها
نحن نعيش في عالم ترتبط الكثير من المنتجات فيه بالإنترنت، ولم يعد الأمر مقتصراً على الحواسيب والهواتف، بل انتقل إلى الأجهزة المنزلية وأنظمة الإنذار وبوابة المرأب. وسواء أدرك الناس ذلك أم لم لا، فإنهم في الواقع يشاركون قدراً كبيراً من معلومات الاستخدام والبيانات الشخصية كلما استخدموا أي منتج أو خدمة مرتبطة بالإنترنت.
ويجب على الشركات المؤتمنة على هذه البيانات إدراك أن أمن المعلومات وحماية البيانات لم يعودا خطرين مرتبطين بأقسام تقنية المعلومات فحسب، بل إنهما خطران استراتيجيان جسيمان يهددان العمل بأكمله، وبوسعهما التأثير على سمعة المؤسسات والعلامات التجارية وأرباحها. ويعلم الرؤساء التنفيذيون هذا الأمر بمستوى معين. فوفق دراسة أجريناها تبين أن أمن المعلومات هو أكثر ما يقلق الرؤساء التنفيذيين من الأخطار في الفترة الحالية. ولكن رغم ما يبدو من إدراك قادة الشركات بأن الاستراتيجية بذاتها هي سلسلة من الاختيارات-بخصوص ما يمكن أن تتميز به الشركة وتحديد متى يكون التنافس أمراً غير مجد- إلا أنهم يتعاملون مع قضية أمن المعلومات بمنهجية واحدة في أقسام الشركة كافة.
ويدفعني هذا إلى التأكيد على قيمة الإطار الخاص بإدارة مخاطر الإنترنت، والذي يبدأ بالتركيز على العوامل المسؤولة عن ازدهار العمل والأرباح وينتهي بالبنية التحتية الخاصة بالتقنية. وهذه المنهجية هي عكس المنهجية التقليدية، ولكنها أكثر فعالية. فليس من الممكن التعامل مع الاستثمارات في مجال أمن المعلومات بطريقة واحدة، لأنها ببساطة غير متساوية في الأهمية.
لقد علمت مؤخراً أن مدير أمن المعلومات في شركة تأمين كبيرة قضى معظم وقته في تخصيص ملايين الدولارات لحماية شبكة وسطاء الشركة، وهي مجموعة من آلاف الوسطاء الذين تربطهم علاقة مباشرة بحملة عملاء الشركة. إن الوسطاء ليسوا موظفين في الشركة، والأنظمة التي يستخدمونها ليست تحت سيطرتها، على الرغم من أنهم يجمعون ويعالجون بيانات عملائها. وهذه معضلة حقيقية يواجهها الكثير من المختصين في مجال أمن المعلومات: كيف يمكن حماية شيء ليس في بيئتي ولكنه قد يؤثر على علامتي التجارية وثقة العملاء بنا؟
ما لم يعرفه مدير أمن المعلومات حينها هو أن شركته هذه كانت تخطط لتغيير نموذج أعمالها وكانت عازمة على تفكيك شبكة الوسطاء خلال بضع سنوات، مما يعني أن كثيراً مما كان يفعله لن تكون له أي قيمة بعد فترة وجيزة.
أما الشركات التي بوسعها الحديث عن التغييرات المستقبلية والتخطيط المسبق لها، فهي قادرة على بناء استراتيجيات مرنة لأمن المعلومات وذكية وفعالة في آنٍ معاً.
وعلى الرغم من أن واحداً من بين كل رئيس تنفيذي أشار في استبيان أجرته شركة "كيه بي إم جي" (KPMG)، إلى أنه غير مطمئن إلى المستوى الذي صارت فيه مهمة تقليل مخاطر المعلومات جزءاً من مسؤولياته، فإن إحدى أولوياتهم القصوى، يجب أن تكون إنشاء رابط أكبر بين وحدات الأعمال لديهم وقسم تقنية المعلومات مما هو موجود اليوم.
كما هو الحال مع أي استراتيجية لإدارة المخاطر، يجب على المدراء التنفيذيين، النظر عبر المؤسسة بأكملها لتقييم الأصول المعلوماتية فيها، لا سيما الاستثمارات المتعلقة بالأنظمة التقنية والمتخصصين من ذوي المهارة العالية المسؤولين عن تشغيلها. ويجب الحرص على أن تكون هذه الاستثمارات مرتبطة بحاجات الشركة الراهنة وكيفية تطور نموذج العمل في السنوات الثلاث إلى الخمس المقبلة.
كن متأهباً لخطر الاختراق
بعد تحديد أكبر المخاطر التي قد تهدد الأصول المعلوماتية في الشركة وعملياتها، من المهم الوصول إلى أحكام دقيقة ومسؤولة مالياً حول ما يمكن إصلاحه وما يمكن مراقبته عن كثب وباستمرار. على الرغم من صعوبة تقبل ذلك، فإن أنظمة الأمان الخاصة بك لا بد أن تتعرض للاختراق في مرحلة ما، ومن الأفضل أن يكون لديك خطة جاهزة لاتخاذ الإجراء المناسب عند اكتشاف أي خرق.
يتطور التدريب في مجال أمن المعلومات باستمرار وفقاً للظروف المتغيرة، وبالتالي يجب تطوير أدوار الموظفين. من الضروري أن يعرف كل موظف أفضل الممارسات في هذا الصدد وأن يكون قادراً على تحديد البرامج الضارة أو محاولات الاختراق. في الواقع، فشلت العديد من الشركات في إدراك أهمية توفير التدريب المناسب لموظفيها في هذا المجال.
تحتاج أيضاً إلى إجراء إجراءات دورية لتقييم مخاطر المعلومات، مع التركيز على أهم بيانات الشركة وأولويات العمل، وإجراء تمارين افتراضية للتعامل مع الانتهاكات لمعرفة كيف ستتعامل الشركة والموظفون معها. يجب تحديد التسلسل الهرمي الإداري في حالة وقوع هجوم إلكتروني على الشركة، وكيفية التواصل مع وسائل الإعلام والعملاء في مثل هذا الحادث.
لقد وجدنا في استبيان أجريناه مؤخراً، أن هذا النوع من التخطيط للحالات الطارئة ليس موجوداً في العديد من الشركات، عداك عن تخصيص أي تمويل له. فقد أشار ثلث المدراء التنفيذيين الذين قابلناهم (31%) إلى أن شركاتهم تفتقر إلى مسؤول محدد عن قضايا أمن المعلومات حصرياً في الشركة، بينما أشار 49% منهم إلى أنهم لم يستثمروا في مجال أمن المعلومات خلال السنة الماضية.
وفي ظل ما نراه من إحجام الشركات عن الاستثمار في عمليات حماية معلوماتها وعدم تخصيص مسؤول لهذه الغاية، فإن هذا يعني أن قضايا أمن المعلومات لا يتم التعامل معها بطريقة سليمة رغم إدراك قادة الشركات لحساسيتها.
إن العملاء يدركون القيمة في الشركات التي توفر قدراً أكبر من الشفافية والتثقيف والتواصل بخصوص جهود حماية المعلومات وفعاليتها. والشركات التي تنجح بأداء ذلك ستكون أقدر على المنافسة في السوق، وستكون أقدر على مواجهة أي محاولة اختراق في المستقبل.