5 من أبرز التحديات في برامج حوكمة الأمن السيبراني

وقت القراءة 7 دقيقة

حوكمة الأمن السيبراني 5 من أبرز التحديات في برامج حوكمة الأمن السيبراني مجموعة ريناد المجد لتقنية المعلومات RMG

في ظل العصر الرقمي الذي نعيشه والتهديدات السيبرانية متزايدة التعقيد التي تواجهها المؤسسات باستمرار، تكافح العديد من المنظمات في تنفيذ وفرض برامج حوكمة فعالة للأمن السيبراني، وعلى الرغم من إدراك قادة المؤسسات أن الأمن السيبراني الناضج ضروري للازدهار في الاقتصاد الرقمي اليوم، فإنهم غالبًا ما يفتقرون إلى الرؤى والبيانات التي تمكن مؤسساتهم من إدارة المخاطر الإلكترونية بكفاءة وفعالية.

وفقاً لاستطلاعات فإنه من المتوقع أن تكلف الأضرار الناجمة عن الجرائم الإلكترونية العالم 6 تريليونات دولار سنويًا بحلول عام 2021، ارتفاعًا من 3 تريليونات دولار في عام 2015 ، إضافة لأن ما تقارب نسبته 87٪ من المتخصصين في C Suite وأعضاء مجلس الإدارة يفتقرون إلى الثقة في قدرات الأمن السيبراني لشركتهم، لذلك يتمثل أول طلب عمل لمعظم المؤسسات في تمكين برامج حوكمة الأمن السيبراني.

فهم حوكمة الأمن السيبراني

لنبدأ مقالنا اولاً في التعرف على معنى حوكمة الأمن السيبراني، فماذا نقصد به؟

يعرّف معيار ISO / IEC 27001، من المنظمة الدولية للتوحيد القياسي (ISO) واللجنة الكهروتقنية الدولية (IEC) ، حوكمة الأمن السيبراني على أنها: “النظام الذي توجه وتتحكم المنظمة من خلاله في إدارة الأمن، ويحدد إطار المساءلة ويوفر الإشراف على ضمان التخفيف من المخاطر بشكل مناسب، بينما تضمن الإدارة تنفيذ الضوابط للتخفيف من المخاطر “.

حوكمة الأمن السيبرانييحتاج الأمن السيبراني إلى الانتقال من وظيفة تشغيلية في المكتب الخلفي والانتقال إلى منطقته الخاصة بما يتوافق مع القانون والخصوصية ومخاطر المؤسسة، ولا بد أن يكون لكبير مسؤولي أمن المعلومات (CISO) مقعدًا على الطاولة جنبًا إلى جنب مع CIO ، COO ، CFO والمدير التنفيذي.

 

سيساعد ذلك C-suite على فهم الأمن السيبراني باعتباره قضية إدارة مخاطر على مستوى المؤسسة، إلى جانب الآثار القانونية للمخاطر السيبرانية، وليس مجرد مشكلة تقنية.

يمكن لـ C-suite بعد ذلك تحديد الأسلوب المناسب للمؤسسة، والذي يعد حجر الزاوية في أي برنامج حوكمة جيد، فتحديد الأسلوب الصحيح في الأعلى هو أكثر بكثير من مجرد تمرين امتثال، فهو يضمن أن يعمل الجميع وفقًا للخطة، كفريق واحد، لتقديم أنشطة الأعمال وضمان حماية الأصول في سياق استراتيجية إدارة المخاطر والأمن.

تمتلك العديد من إدارات الأمن السيبراني وسائل حماية أمنية تقنية، مثل جدران الحماية أو كشف التسلل، ولكنها غالبًا ما تفتقر إلى سياسات وعمليات إدارة الأمن السيبراني الأساسية، وبحال وجدت فغالبًا ما تكون السياسات أو العمليات قديمة أو يتم تجاهلها.

ست خطوات يجب على المنظمات اتباعها في برامج حوكمة الأمن السيبراني

فيما يلي ست خطوات يمكن أن تساعد المؤسسات على النمو وصقل برامج حوكمة الأمن السيبراني الخاص بها:

أولاً: حدد الوضع الحالي.

في هذه المرحلة يجب أن تعمل على إكمال عملية تقييم المخاطر الإلكترونية لفهم الثغرات الموجودة في المؤسسة وإنشاء خارطة طريق لسد تلك الفجوات.

يعد اختبار الاختراق أحد الطرق التي تساهم في الكشف عن الثغرات الموجودة في أنظمة مؤسستك من خلال محاكاة الهجمات الإلكترونية الممكن حدوثها، وبالتالي المساهمة في تعزيز الأمن السيبراني في مؤسستك، ولتعرف أكثر حول هذا الموضوع انتقل لقراءة مقال اختبار الاختراق: خيارك الأمثل لتعزيز الأمن السيبراني.

ثانياً: أكمل تقييم النضج.

في هذه المرحلة عليك أن تعمل على إنشاء، مراجعة، وتحديث جميع سياسات ومعايير وعمليات الأمن السيبراني في المؤسسة.

خذ الوقت اللازم لإنشاء هيكل وتوقعات حوكمة الأمن السيبراني، ولا تنسى بأنه عليك التعامل مع الأمن السيبراني من منظور المؤسسة.

يمكنك الاستعانة بشركات خارجية مختصة تقدم برامج متخصصة في حوكمة الأمن السيبراني وتساهم في هذه المراحل، من الكشف عن الثغرات وتقييم النضج، تعتبر شركة ريناد المجد لتقنية المعلومات RMG أحد أهم الشركات في المملكة والتي كانت لها عشرات التجارب في هذا المجال بالتعاون من نخبة من كبار مستشاري وخبراء الأمن السيبراني، يمكنك الاطلاع على خدمات الشركة في مجال الحماية والأمن السيبراني مباشرة من هنا.

ثالثاً: افهم ما هي البيانات التي يجب حمايتها.

في هذه المرحلة عليك أن تعمل على تحديد أهم البيانات التي عليك حمايتها والتي تخاف من تسريبها أو فقدانها نتيجة تلفها لحادثة طبيعية أو هجوم سيبراني ما، ويجب أن تحرص في هذه المرحلة بالإضافة لتحديد تلك البيانات على وضع خطط لإنشاء نسخ احتياطية لها للتمكن من استعادتها بحال فقدانها.حماية البيانات

احرص في هذه المرحلة على التفكير بالأسئلة التالية:

  • كيف تتماشى المخاطر السيبرانية مع إدارة مخاطر المؤسسة؟
  • ما هي الأولوية النسبية للاستثمار في الأمن السيبراني مقارنة بأنواع الاستثمارات الأخرى؟

رابعاً: زيادة الوعي والتدريب في مجال الأمن السيبراني.

احرص على زيادة وعي موظفي المؤسسة بمخاطر الهجمات السيبرانية على مستوى كل الأقسام، واعمل على توفير تدريبات متخصصة في مجال الأمن السيبراني.

العديد من إدارات الأمن السيبراني في المؤسسات تمتلك برامج تدريب وتوعية ضعيفة أو غير كافية في مجال الأمن السيبراني، والتي تفشل في التعامل مع جميع مستويات المؤسسة، وقد تطرقنا لهذا الموضوع مسبقاً على المدونة في مقالة بعنوان 5خطوات مهمة لخطة تدريب الموظفين في مؤسستك.

خامساً: إنشاء نموذج للمخاطر

في هذه المرحلة عليك التفكير بشكل جيد في كيفية نمذجة التهديدات ووضع سياق للمخاطر وتقييمها.

عندما تقوم بإنشاء نموذج المخاطر، ضع في اعتبارك جميع المخاطر التي تتعرض لها مؤسستك، سواء كانت مخاطر خارجية أو داخلية أو من طرف الثالث.

سادساً: المراقبة والقياس والتحليل والإبلاغ والتحسين.

إن عملية التقييم لا يمكن أن تكون لمرة واحدة بل هي مستمرة.

قم بإنشاء فترات تقييم منتظمة، وقم بقياس ما يهم منها، ثم اعمل على تحليل البيانات وإنشاء خطة للتحسين.

بعد ذلك لا بُدَّ من تقديم تقرير إلى مجلس الإدارة حول النضج السيبراني ووضع المخاطر الإلكترونية في المؤسسة.

خمسة من أبرز التحديات في برامج حوكمة الأمن السيبراني

معظم المؤسسات اليوم تعاني من خمسة تحديات أساسية في برامج حوكمة الأمن السيبراني وهي:

  1. استراتيجية الأمن السيبراني وأهدافه
  2. العمليات الموحدة
  3. الإنفاذ والمساءلة
  4. الإشراف على القيادة العليا
  5. الموارد

1.    استراتيجية الأمن السيبراني والأهداف

لإنشاء برامج حوكمة الأمن السيبراني الفعالة، يجب على المنظمات تحديد سياسات إدارة المخاطر واستراتيجيتها وأهدافها بوضوح.

يجب على القيادة العليا تقييم نهجها الحالي في إدارة المخاطر قبل تحديد الاستراتيجية والأهداف للوضع المفضل للمؤسسة، حيث يجب أن تكون الاستراتيجية وثيقة رفيعة المستوى تحدد خارطة الطريق للمؤسسة للحفاظ على نهجها الشامل لإدارة المخاطر وتحسينه.

بمجرد الانتهاء من الاستراتيجية والأهداف، يجب تنفيذ سياسة على مستوى المؤسسة وتوزيعها في جميع أنحاء المنظمة.

تشمل المكونات الرئيسية لتطوير استراتيجية فعالة للأمن السيبراني ما يلي:

  • فهم كيفية ارتباط مخاطر الأمن السيبراني بعمليات عملك الهامة
  • تطوير الأهداف الاستراتيجية للمنظمة
  • تحديد النطاق
  • تحديد احتياجات الأمن السيبراني وتطوير الأهداف
  • إنشاء مؤشرات الأداء الرئيسية (KPIs)
  • تحديد الاحتياجات من الموارد
  • تحديد الرغبة في المخاطرة
  • تفعيل مراقبة مستمرة

بحال كنت ترغب في معرفة المزيد حول هذا الموضوع، تابع مقال خطوات بناء استراتيجية الأمن السيبراني لمؤسستك.

2.    العمليات الموحدة

من المؤكد أنه لا يمكن للمؤسسات إكمال المهام اليومية دون وجود عمليات وموظفين، ولكن يبقى موضوع إدارة تلك المهام هو أمر ليس بالهين، حيث تواجه معظم المؤسسات مشاكل بعدم إدارة مهامها دائمًا بالفعالية اللازمة.

بدون وجود العمليات المعيارية المعتمدة والقابلة للتكرار، لا يمكن للمنظمات ضمان الكفاءة أو الجودة أو الاتساق، فالاتساق أمر بالغ الأهمية لضمان فهم مشترك ونهج إداري للمخاطر في جميع أنحاء المنظمة.

يعد إنشاء عمليات قابلة للتكرار عاملاً رئيسيًا في برامج حوكمة الأمن السيبراني الشامل للمؤسسة.

باختصار، فإن برنامج حوكمة الأمن السيبراني المخصص وغير المتسق سيؤدي في النهاية إلى أوجه قصور، كما سيؤدي برنامج حوكمة الأمن السيبراني غير الفعال إلى زيادة الخروقات والهجمات الأمنية.

3.    الإنفاذ والمساءلة

يجب أن تكون العمليات في مكانها الصحيح لإنفاذ المتطلبات، أما في خلاف ذلك فسيصبح برنامج الأمن السيبراني غير متسق، وسيتم تجاهل المتطلبات، وبالتالي سيحدث الفشل.

مجرد أن يدرك أولئك الذين لديهم مسؤوليات أو يلاحظون أن المساءلة وحوكمة الأمن السيبراني غير موجودة، فسوف يتوصلون إلى طريقتهم الخاصة في القيام بالأشياء، وهو ما يتعارض مع إنشاء عمليات موحدة.

يجب أن تكون حوكمة الأمن السيبراني قابلة للقياس والإنفاذ، ويجب أن تكون هناك مساءلة عن الامتثال عبر جميع مستويات الموظفين.

يوصي المعهد الوطني للمعايير والتكنولوجيا (NIST) بإطار إدارة المخاطر (RMF) باتباع نهج متدرج لإدارة المخاطر ويعزز تطوير قدرات الأمان والخصوصية في أنظمة المعلومات طوال دورة حياة تطوير النظام (SDLC).

يمكن تحقيق هذا النهج من خلال المراقبة المستمرة لتلك الأنظمة للحفاظ على الوعي الظرفي لأمنها وخصوصية الموقف، كما يجب أيضًا تقديم المعلومات إلى كبار القادة والمديرين التنفيذيين لتسهيل القرارات المتعلقة بقبول المخاطر للعمليات التنظيمية والأصول والأفراد والمنظمات الأخرى.

4.    الإشراف على القيادة العليا

نظرًا لأن حوكمة الأمن السيبراني هي مصدر قلق للمؤسسات، يجب أن يأتي التركيز والتوجيه لبرنامج الأمن السيبراني من الأعلى لضمان أن العملية تحقق أهدافها.دور القيادة في برامج حوكمة الأمن السيبراني

ما لم تدعم القيادة العليا حوكمة الأمن السيبراني بنهج قوي، فمن المرجح أن تفشل جهود إدارة المخاطر في المؤسسة.

يجب أن تظل القيادة العليا ملتزمة طوال دورة حياة البرنامج، حيث تساعد هذه المشاركة على ضمان أن المنظمة بأكملها لا تفهم فقط التزام القيادة العليا بحوكمة الأمن السيبراني ولكنها تقوم بتنفيذها على مستوى عالٍ.

يحتوي القسم الخامس من ISO 27001 على قائمة بمبادئ القيادة ذات الصلة بإنشاء برنامج حوكمة فعال للأمن السيبراني:

  • ضمان وضع سياسة أمن المعلومات وأهداف أمن المعلومات، وتوافقها مع التوجه الاستراتيجي للمنظمة
  • ضمان دمج متطلبات نظام إدارة أمن المعلومات في عمليات المنظمة
  • ضمان توفر الموارد اللازمة لنظام إدارة أمن المعلومات
  • إيصال أهمية الإدارة الفعالة لأمن المعلومات، والتوافق مع متطلبات نظام إدارة أمن المعلومات
  • التأكد من أن نظام إدارة أمن المعلومات يحقق النتائج المرجوة منه
  • توجيه ودعم الموظفين للمساهمة في فعالية نظام إدارة أمن المعلومات
  • تعزيز التحسينات المستمرة

يجب أن تضع الإدارة العليا سياسة للأمن السيبراني تحقق كل مما يلي:

  • مناسبة لغرض المنظمة
  • تتضمن أهداف أمن المعلومات أو إطار عمل لتحديد أهداف أمن المعلومات
  • تتضمن التزامًا بتلبية المتطلبات المعمول بها والمتعلقة بأمن المعلومات
  • تتضمن الالتزام بالتحسين المستمر لنظام إدارة أمن المعلومات

يمكن لشركة ريناد المجد لتقنية المعلومات RMG مساعدتك في تطبيق نظام إدارة أمن المعلومات- آيزو 27001 في مؤسستك بكل احترافية، ويمكنك الحصول على استشارة مجانية من الشركة حول هذا المعيار مباشرة من هنا.

5.    الموارد

  • يجب أن تضمن القيادة العليا توفر الموارد الكافية لتلبية احتياجات حوكمة الأمن السيبراني الأساسية والامتثال بما يتناسب مع استراتيجية وأهداف الأمن السيبراني للمؤسسة
  • يجب تخصيص التمويل ليكون من أعلى الأولويات لتأمين المعلومات ونظم المعلومات المناسبة لمستويات المخاطر
  • يجب أن تتضمن الموارد أيضًا تمويلًا مخصصًا للموظفين المؤهلين وتدريبهم.
  • يجب أن تسمح الموارد بشراء أدوات كافية لقياس مؤشرات الأداء الرئيسية بشكل مناسب وكذلك الحفاظ على العمليات القابلة للتكرار.

الخلاصة، بحال كانت قائداً تسعى للتميز في مهامك المتضمنة تعزيز الأمن السيبراني في مؤسستك، فإن الخطوة الأولى في الطريق الصحيح هي وضع برنامج حوكمة قوي للأمن السيبراني، واحرص على أن تأخذ التحديات التي تواجهها برامج حوكمة الامن السيبراني والتي أشرنا إليها في هذا المقال بعين الاعتبار، ابتداءً من وضع استراتيجية قوية للأمن السيبراني، ومروراً بإنشاء عمليات قابلة للتكرار والحصول على دعم القيادة العليا، وصولا إلى الحصول على الموارد المهمة لدعم برنامج حوكمة الأمن السيبراني للمؤسسة.


الأسئلة الشائعة حول حوكمة الأمن السيبراني

ماذا تعني حوكمة الأمن السيبراني؟

يعرّف معيار ISO / IEC 27001، من المنظمة الدولية للتوحيد القياسي (ISO) واللجنة الكهروتقنية الدولية (IEC) ، حوكمة الأمن السيبراني على أنها: "النظام الذي توجه وتتحكم المنظمة من خلاله في إدارة الأمن، ويحدد إطار المساءلة ويوفر الإشراف على ضمان التخفيف من المخاطر بشكل مناسب، بينما تضمن الإدارة تنفيذ الضوابط للتخفيف من المخاطر ".

ما هي الخطوات التي تساهم في برامج حوكمة الأمن السيبراني؟

1. تحديد الوضع الحالي في المؤسسة 2. إجراء تقييم النضج في المؤسسة 3. تحديد البيانات التي يجب حمايتها 4. زيادة الوعي والتدريب في مجال الأمن السيبراني 5. إنشاء نموذج المخاطر 6. المراقبة والقياس والتحليل والإبلاغ والتحسين

ما هي التحديات التي تواجه برامج حوكمة الأمن السيبراني؟

1. استراتيجية الأمن السيبراني وأهدافه 2. العمليات الموحدة 3. الإنفاذ والمساءلة 4. الإشراف على القيادة العليا 5. الموارد

ما هي مكونات استراتيجية الأمن السيبراني؟

• فهم كيفية ارتباط مخاطر الأمن السيبراني بعمليات عملك الهامة • تطوير الأهداف الاستراتيجية للمنظمة • تحديد النطاق • تحديد احتياجات الأمن السيبراني وتطوير الأهداف • إنشاء مؤشرات الأداء الرئيسية (KPIs) • تحديد الاحتياجات من الموارد • تحديد الرغبة في المخاطرة • تفعيل مراقبة مستمرة

ما هو معيار ISO / IEC 27001؟

يعتبر معيار (ISO/IEC 27001:2013) المعيار الدولي الذي يوضح كيفية وضع نظام إدارة أمن المعلومات بشكل معتمد وتطبيقه والحفاظ عليه وتحسينه باستمرار، ضمن أطر عملية مما يسمح بالحفاظ على البيانات الحساسة والسرية بشكل آمن والتقليل من احتمال الوصول إليها بشكلٍ غير قانوني أو بدون إذن كما يسمح بإدارة المخاطر الأمنية واسترداد المعلومات وتقليل الخروقات الأمنية.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *