أدم أتوم

بحلول عام 2027، يتوقع أن تكلف الجريمة الإلكترونية الاقتصاد العالمي ما يقرب من 24 تريليون دولار. إذ غالبًا ما تجد الشركات نفسها في الطرف الحاد من هذا التحدي، وعلى هذا النحو، يعد الأمن السيبراني جانبًا مهمًا في مشهد الأعمال الحديث.

تتضاعف التهديدات السيبرانية وتشكل تحديات مالية وقانونية وسمعة خطيرة للمنظمات. وتتطلب الإدارة الحديثة والفعالة للأمن السيبراني أكثر من مجرد إدارة مخاطر التكنولوجيا؛ إذ تشمل إدارة مخاطر الأعمال أيضًا. لذا، يجب أن تدرك المؤسسات أن الأمن السيبراني ضرورة استراتيجية مدمجة في إطار عمل إدارة المخاطر الشامل، ويمكن القيام بذلك على مستوى مجلس الإدارة. ويمكن للمجالس تحديد مدى تقبل المخاطر في المؤسسة، والإشراف على عمليات إدارة المخاطر، وتخصيص الموارد وضمان الاستعداد للاستجابة للتهديدات السيبرانية. كما يمكنها ضمان تقديم تقارير دقيقة وفي الوقت المناسب من الإدارة حول المخاطر والحوادث كجزء من دورها الأوسع في إدارة المخاطر.

النهج القائم على المخاطر للأمن السيبراني

يجب أن تفهم الإدارة العليا والتنفيذية أنه يمكن للمؤسسات اعتماد نهجين رئيسيين لتعزيز الأمن السيبراني؛ هما: المنهج المستند على النضج، والمنهج القائم على المخاطر. وتستخدم المنظمات على نطاق واسع النهج القائم على النضج لتعزيز وضع الأمن السيبراني لديها. وهو منهج ينطوي على اعتماد مجموعة من أفضل الممارسات أو المعايير الموضوعة في الصناعة لتحقيق مستوى أعلى من نضج الأمن السيبراني. ومع ذلك، فإنها تواجه بعض القيود؛ إذ تعتمد بشكل كبير على التقييمات الذاتية التي يمكن أن تتأثر بعوامل مثل مهارات الاتصال والتحيز وخبرة المقيم. ثم إن تحقيق مستوى معين من النضج لا يضمن الحماية من التهديدات الإلكترونية وقد يخلق إحساسًا زائفًا بالأمان. وربما لا يعالج النهج القائم على النضج بشكل كافٍ ملف المخاطر الفريد للمؤسسة، مما يجعلها عرضة للهجمات المستهدفة. إذ يمكن أن تكون كثيفة الاستخدام للموارد، وتحول الموارد من أنشطة الأمن السيبراني الأخرى. ويعد النهج القائم على المخاطر للأمن السيبراني مرنًا وقابلاً للتخصيص لتلبية الاحتياجات والمخاطر المحددة للمؤسسة. إذ يؤكد على تحديد وترتيب أولويات مخاطر الأمن السيبراني الأكثر أهمية، ثم يليه تطبيق الضوابط للتخفيف منها. ويتضمن هذا النهج المراقبة المستمرة وإعادة التقييم لضمان أن تظل الضوابط فعالة وذات صلة في مواجهة التهديدات السيبرانية دائمة التطور.

ثم إنه منهج فعال لأنه يسمح للمؤسسات بمواءمة استراتيجيتها للأمن السيبراني مع ملف المخاطر الفريد الخاص بها، مما يمكنه من التركيز على أهم التهديدات ونقاط الضعف. ويعزز هذا النهج أيضًا ثقافة الأمن السيبراني الاستباقية من خلال التقييم المستمر للمخاطر ومعالجتها، إضافة إلى تقليل تأثير الحوادث السيبرانية. ونتيجة لذلك، يمكن للمؤسسات اتخاذ قرارات مستنيرة حول مكان تخصيص موارد الأمن السيبراني الخاصة بها وتحديد أولويات جهود الأمن السيبراني بناءً على أصولها ونقاط ضعفها الأكثر أهمية.

إنشاء شبكة مخاطر كمية

يمكن للمنظمات استخدام منهجيات تقدير المخاطر مثل التحليل الكمي للمخاطر ونماذج المحاكاة مثل نموذج “فير”FAIR  لقياس التأثيرات المحتملة للمخاطر السيبرانية وتحديد أولويات جهود التخفيف من المخاطر. ومن خلال دمج تقدير المخاطر السيبرانية في المنهج القائم على المخاطر للأمن السيبراني، يمكن للمؤسسات فهم هذه المخاطر بشكل أفضل وتحديد أولويات الموارد واتخاذ قرارات مستنيرة بشأن إدارة المخاطر. ويمكن أن يساعد ذلك في تحقيق إدارة مخاطر مؤسسية أكثر فعالية وكفاءة، مما يؤدي في النهاية إلى تحسين نتائج الأمن السيبراني.

بجانب ذلك يمكن تطبيق المخاطر السيبرانية الكمية في مواقف الحياة الواقعية لتعيين قيمة مالية للخسائر المحتملة من حوادث الأمن السيبراني. ويساعد ذلك المؤسسات على إدارة أصولها الرقمية وتحديد أولويات جهود التخفيف من المخاطر، ويتضمن تقييم التهديدات ونقاط الضعف، وتقييم الأثر المالي للحوادث على الإنتاجية والشرعية والسمعة والتعافي. وتُمكِّن المخاطر السيبرانية الكمية قادة الأعمال من اتخاذ قرارات مستنيرة بشأن استثمارات الأمن السيبراني واتخاذ تدابير استباقية ضد التهديدات السيبرانية.

قياس النتائج واتخاذ الإجراءات

توفر مؤشرات المخاطر الرئيسية (KRI) معلومات سريعة عن مستوى المخاطر الحالي للمؤسسة. وفي الوقت نفسه، فإن مؤشرات الأداء الرئيسية تشير إلى الاتجاه نحو مستوى الرغبة في المخاطرة في المؤسسة أو البعد عنها. ومن خلال ربط هذه المخاطر بمؤشرات الأداء الرئيسية، يمكن لفرق الأمن السيبراني مساعدة المديرين التنفيذيين على المشاركة في مناقشات بناءة لتحديد المخاطر ضمن المستويات المقبولة التي تتطلب اهتمامًا فوريًا. ويتيح ذلك اتخاذ قرارات مستنيرة وحل المشكلات بفعالية على مستوى مجلس الإدارة وما دونه. ويعد النهج القائم على المخاطر نهجًا تفاعليًا، بحيث يساعد على ترجمة القرارات التنفيذية المتعلقة بالحد من المخاطر إلى تنفيذ رقابة، مما يضمن توافق المنظمة والعمل نحو هدف مشترك. فمن خلال تنفيذ الضوابط بطريقة منسقة واستراتيجية، يمكن للشركات إدارة المخاطر بشكل أكثر فعالية وتحقيق النتائج المرجوة.

ولتطبيق هذا النهج القائم على المخاطر بنجاح، يتعين على المؤسسات اعتماد خارطة طريق شاملة تتضمن إجراء تقييم شامل للمخاطر، وتطوير مؤشرات الأداء الرئيسية التي تتوافق مع أهدافها وقبولها للمخاطر، وإنشاء عمليات قوية لإدارة المخاطر والمراقبة المستمرة وتقييم وضع الأمن السيبراني. وفي هذا تعدُّ التكنولوجيا أمرًا بالغ الأهمية في أتمتة عمليات إدارة المخاطر وتبسيطها، وتنفيذ ضوابط الأمان وتتبع مؤشرات الأداء الرئيسية في الوقت الفعلي. لذا، يتعين على المنظمات إعادة تقييم استراتيجيتها للأمن السيبراني بشكل مستمر مع تطور مشهد التهديدات. فلم يعد النهج القائم على النضج فعالاً في الحماية من التهديدات الإلكترونية الحديثة. كما يساعد النهج القائم على المخاطر في تحديد المخاطر وترتيبها حسب الأولوية، مما يعني وجود برنامج أمان إلكتروني أكثر كفاءة وفعالية. ويمكن للاستثمارات في تعليم الموظفين وتدريبهم، والإدارة الفعالة للمخاطر، أن تبني موقفًا أمنيًا قويًا يحمي الأصول والسمعة والعملاء من الهجمات الإلكترونية.

ثم إن اعتماد نموذج للأمن السيبراني قائم على المخاطر يعود بفوائد تتجاوز مجرد منع الهجمات الإلكترونية. ذلك أنه يبني المرونة وخفة الحركة، وهذه الطريقة للتقييم والتكيف بشكل مستمر تجعل المنظمات أكثر انسيابية وتنافسية بشكل عام. فالأمن السيبراني ينطوي على مسؤولية مشتركة تتطلب التعاون من جميع أصحاب المصلحة لحماية المنظمات. إذ يؤدي النهج القائم على المخاطر إلى إدارة مخاطر مؤسسية أكثر فعالية وكفاءة، ويبني مؤسسات أقوى وأكثر أمانًا وقادرة على الاستجابة لمشهد المخاطر السيبرانية المتطور. ومن ثَمَّ، فإن التبني الواسع النطاق للنهج القائم على المخاطر لن يحافظ فقط على سمعة المنظمات والعملاء وأصحاب المصلحة، بل إنه سوف يخلق نظامًا بيئيًا رقميًا أكثر أمانًا للجميع.

إعداد: وحدة الترجمات بمركز سمت للدراسات

المصدر: World Economic Forum