الأمن السيبراني هو واحد من العديد من وظائف المخاطر داخل المنظمة ، ولكن الوظائف المختلفة قد لا تعمل معًا بشكل وثيق كما ينبغي لتقليل ملف تعريف مخاطر الشركة بشكل جماعي. يجب أن تعمل فرق الأمن مع أصحاب المصلحة في مجال تكنولوجيا المعلومات والأعمال وكذلك مع وظائف المخاطر الأخرى بما في ذلك الحوكمة والامتثال وإدارة المخاطر والقانونية.
الظل تكنولوجيا المعلومات
الظل تكنولوجيا المعلومات أصابت أقسام تكنولوجيا المعلومات منذ ثمانينيات القرن الماضي عندما جلب المتطرفون المحبون لشركة Apple أجهزة كمبيوتر Macintosh للعمل. رداً على ذلك ، حظرت أقسام تكنولوجيا المعلومات التكنولوجيا الشخصية في العمل ، وأصدرت أجهزة الكمبيوتر المحمولة المملوكة للشركة ، وفي النهاية هواتف بلاك بيري المحمولة. ثم حدث BYOD وخسرت الحرب. رداً على ذلك ، قدم بائعو الأمن السيبراني إدارة الأجهزة المحمولة (MDM) وغيرها أمن نقطة النهاية برنامجًا في محاولة لتحقيق التوازن بين رغبة المؤسسة في نظام إيكولوجي مُدار لتكنولوجيا المعلومات وبين رغبة الموظفين في استخدام جهاز من اختيارهم.
وفي الوقت نفسه ، تحولت ميزانيات تكنولوجيا المعلومات من تقنية المعلومات المركزية لتشمل ميزانيات الأقسام. مسلحين بميزانياتهم الخاصة ، يمكن للإدارات وخطوط العمل أن تبرر أخيرًا شراء التكنولوجيا الخاصة بهم ، وهو ما يفعلونه ، غالبًا دون موافقة تكنولوجيا المعلومات أو تقييم الأمن السيبراني. في حين أنه من الصحيح أن لا أحد يفهم احتياجات القسم بشكل أفضل من الأشخاص الذين يعملون فيه ، فإن ما لا يميل غير التقنيين إلى إدراكه هو كيف يمكن أن تؤثر مشترياتهم التقنية على تكنولوجيا المعلومات والنظام البيئي لتكنولوجيا المعلومات وملف تعريف مخاطر الشركة وفرق الأمان. .
لا ينبغي إبلاغ الأمن السيبراني وتكنولوجيا المعلومات بمشتريات الإدارات فحسب ، بل يجب إحضارها قبل إجراء عمليات الشراء حتى يمكن إدارة المخاطر المحتملة من البداية. في الواقع ، أنشأت بعض أقسام تكنولوجيا المعلومات أسواقًا للشركة حيث يمكن للموظفين الاختيار من بين الخيارات التي تم فحصها مسبقًا لتحقيق التوازن بين تفضيل المستخدمين للاختيار وحاجة المؤسسة لإدارة المخاطر.
وبالمثل ، تقوم بعض فرق الأمن السيبراني بإشراك الأشخاص في جميع أنحاء العمل لفهم ما يحاولون تحقيقه والتقنية التي يعتقدون أنهم سيحتاجون إليها للقيام بذلك ، حتى يتمكن فريق الأمن من تحديد طريقة آمنة لمنح مستخدمي الأعمال ما هم يريدون.
الأعمال + تقنية المعلومات + عملية الأمن
تحتاج تكنولوجيا المعلومات والأمن إلى التأكد من وجهة نظر تقنية أن المعدات والبرامج والأجهزة آمنة وأن موظفي الشركة يفهمون الأساسيات النظافة الإلكترونية. ومع ذلك ، بشكل أساسي ، يجب أن يعملوا مع الشركة لإنشاء عمليات تقلل من المخاطر.
يتطلب الوصول إلى هناك عمليات يتم تحديدها بشكل تعاوني والالتزام بها وتعديلها وتحديثها. بالإضافة إلى ذلك ، يجب توثيق العمليات لتحمل تغييرات الموظفين والتدقيق. يجب أيضًا مراقبة العمليات لضمان الامتثال والإشارات التي تحتاج إلى تغيير العمليات بطريقة ما.
أحد الأسباب التي تجعل من المهم تنظيم العمليات بين الأعمال وتكنولوجيا المعلومات والأمن هو أنه ضروري للغاية في بيئة اليوم من الهجمات الإلكترونية والحرب الإلكترونية والإرهاب السيبراني. بالإضافة إلى ذلك ، ترتبط مؤسسات اليوم بأطراف ثالثة بما في ذلك الموردين والموزعين والبائعين والعملاء. يعتبر نموذج "المشروع الموسع" هذا آمنًا بقدر أضعف رابط له. نتيجة لذلك ، قد تتأثر الأطراف الثالثة سلبًا بالهجوم. على العكس من ذلك ، يمكن أن تكون الأطراف الثالثة هي نقطة الانطلاق للهجوم.
نظرًا لكل التعقيدات والمخاطر المحتملة ، يجب على المؤسسات تحديد مخاطرها بحيث يمكن للأعمال وتكنولوجيا المعلومات والأمن أن تعمل بشكل متزامن من وجهة نظر السياسة والعمليات. يتعين على الشركات أن تكون واضحة بشأن قابليتها للمخاطر ، والتهديدات التي تواجهها ، وكيفية تطور حوادث الأمن السيبراني ، والتكلفة التي قد تنعكس في الأرقام.
من الحكمة أيضًا إشراك أصحاب القبعات البيضاء الذين يمكنهم المساعدة في تحديد نقاط الضعف التي فاتتها فرقهم الداخلية ، مثل اختبار الاختراق وتمارين الهندسة الاجتماعية.
على سبيل المثال ، أسقطت إحدى شركات استشارات الأمن السيبراني محركات أقراص الإبهام في ساحة انتظار سيارات العميل لإثبات مدى سهولة خداع الموظف ، حتى لو كان يدرك جيدًا الحاجة إلى النظافة الإلكترونية. لزيادة احتمالية قيام الأفراد بإدخال محركات الأقراص المصغرة في أجهزة الكمبيوتر الخاصة بهم ، قام المستشارون بتسمية الأجهزة بمعلومات سرية مثل "رواتب الموظفين" أو "رواتب المديرين التنفيذيين".
إدارة مخاطر الطرف الثالث
خلقت المؤسسة الموسعة الحاجة إلى حلول إدارة مخاطر الطرف الثالث (TPRM). وفقًا لـ Gartner ، 60٪ من المؤسسات لديها 1,000،80 بائع أو أكثر و XNUMX٪ من قادة القانون والامتثال يقولون إنهم لم يكتشفوا مخاطر الطرف الثالث إلا بعد انضمام الأطراف الثالثة.
في تقرير Gartner Magic Quadrant لعام 2020 الخاص بأدوات إدارة مخاطر مورّدي تكنولوجيا المعلومات ، تم تسمية Prevalent و ServiceNow باسم Visionaries. يشمل القادة Galvanize و MetricStream و NAVEX Global و OneTrust و ProcessUnity و RSA و SAI Global.
تتجه بعض الشركات إلى شركات الخدمات المهنية والاستشارات الأمنية السيبرانية للمساعدة في فهم وإدارة مخاطر الطرف الثالث. على سبيل المثال، تقدم EY مجموعة من أربع خدمات TPRM. واحد منهم هو TPRM كخدمة.
يُنظر إلى مخاطر سلسلة التوريد ، وهي موضوع آخر تابع لجهة خارجية ، بشكل مختلف إلى حد ما بعد حادثة قناة السويس الأخيرة حيث أوقفت سفينة الشحن Ever جيفن تدفق حركة المرور لمدة ستة أيام عن طريق الوقوع في الوحل. ومن المتوقع أن يؤثر الحادث على التجارة لأسابيع أو شهور. ومع ذلك ، من وجهة نظر أمنية، هناك قلق من أن الإرهابيين يمكن أن يلحقوا ضررا مماثلا، على نطاق أوسع ، من خلال إغلاق الطرق الضيقة مثل قناة السويس وقناة بنما في وقت واحد من خلال الوسائل المادية أو الإلكترونية.
كوينسمارت. Beste Bitcoin-Börse في أوروبا
المصدر: https://www.cshub.com/executive-decisions/articles/risk-management-strategy-fundamentals
