إن أمن تكنولوجيا المعلومات لا يتعلق فقط بالأجهزة والبرامج. يقدم الخبراء وجهة نظرهم حول المكان الذي تتوقف فيه المسؤولية حقًا.
يستمر التهديد الأمني في النمو ويكافح قادة تكنولوجيا المعلومات للتعامل معه خطر متزايد. ومع ذلك، فإن التهديد السيبراني، على الرغم من أهميته، لا يشكل سوى عنصر واحد من عناصر أمن الشركات. إذن من الذي يجب أن يكون مسؤولاً عن الأمن وكيف يمكن للشركات تبني موقف أكثر استباقية تجاه التهديدات التي تواجهها؟ خمسة من خبراء تكنولوجيا المعلومات يقدمون وجهات نظرهم.
1. جعل الأمن مسؤولية كل موظف
"الرئيس التنفيذي - وكل شخص آخر"، يقول ديفيد أليسون، عندما سئل عن المسؤول عن الأمن داخل المنظمة. يقول رئيس أنظمة الأعمال في شركة Aggregate Industries إن الرئيس التنفيذي يجب أن يكون مسؤولاً عن الأمن، ولكن يجب على كل موظف أن يتحمل المسؤولية الشخصية.
يقول أليسون: "الأمن لا يتعلق بالإغلاق والوقاية"، على الرغم من أن جدران الحماية وبرامج مكافحة الفيروسات وغيرها من تكنولوجيا المعلومات يجب اتخاذ التدابير كأمر مسلم به، "الأمن العظيم يتعلق بالتعليم والوعي والفرد مسؤولية."
ويقول إن الرئيس التنفيذي يحتاج إلى الاهتمام شخصيًا بالتأكد من أن لديه الفريق المناسب لتدريب الموظفين القوى العاملة في مجموعة واسعة من المجالات، مثل التعامل مع رسائل البريد الإلكتروني ومراقبة الروابط المشبوهة وإنشاء كلمة المرور الممارسات.
يقول أليسون: "يجب أن يكون الأمن ثقافة متأصلة داخل المنظمة". "الرئيس التنفيذي يضع هذه الثقافة في مكانها الصحيح. يقوم كبير مسؤولي أمن المعلومات (CISO) بتصميم وتنفيذ الإستراتيجية لتلبية هذه الحاجة - وكل موظف مسؤول عن ضمان اعتماد الممارسات المطلوبة واتباعها."
2. لا تعتمد على منتجات التكنولوجيا
يقول تيم هولمان، رئيس جمعية أمن أنظمة المعلومات في المملكة المتحدة (ISSA-UK)، إن المساءلة داخل الشركة تقع دائمًا على عاتق أصحاب الشركة أو مجالس إدارتها. قد تجعل بعض المجالس مدير تكنولوجيا المعلومات أو رئيس أمن المعلومات أو مدير تكنولوجيا المعلومات مسؤولاً عن الأمن، ولكن لا يمكن مساءلة هؤلاء الأفراد أبدًا.
يقول هولمان: "تحتاج الشركات إلى إدراك حجم التهديد الذي تواجهه من ممارسة الأعمال التجارية عبر الإنترنت، أو وضع البيانات في السحابة". "على الرغم من أن الشركات قد تجعل مدير تكنولوجيا المعلومات مسؤولاً عن تنفيذ الحلول السحابية، إلا أن الشركة ستتحمل المسؤولية دائمًا إذا حدث خطأ ما."
ويقول إن الشركات يجب أن تبدأ في تطوير موقف استباقي تجاه تهديدات الأمن السيبراني - ويمكنها القيام بذلك من خلال تحليل بسيط للمخاطر، أو اتباع معايير مثل IASME أو أساسيات السيبرانية. يقول هولمان إن الفهم ينمو عندما يقضي وقتًا مع الرئيس التنفيذي أو مجلس الإدارة، ويشرح بعبارات بسيطة مخاطر ممارسة أعمال الشركة عبر الإنترنت.
ويقول: "لا يمكن حل التهديد السيبراني عن طريق شراء المنتجات". "نهج منطقي لتقليل كمية البيانات الحساسة المخزنة، واستبعاد الموردين غير الآمنين، وتقييد الوصول إلى المعلومات والحصول على المعلومات السيبرانية غالبًا ما يكون غطاء المسؤولية أكثر فعالية بعشر مرات وأرخص بعشر مرات من الجيل التالي من الأجهزة الأمنية ذات الأضواء الوامضة التي يبيعها لك الخبراء الباعة."
3. إدارة مخاطر ملكية الجهاز المحمول
يقول ديفيد ريد، رئيس خدمات المعلومات والبنية التحتية في رابطة الصحافة (PA)، إن تعتبر المناقشة حول الأمن مناقشة معقدة، لكنه يرى في النهاية أن المسؤولية تتوقف عند حدها أعلى من ذلك. ويقول: "إذا لم تكن قادرًا، بوصفك مديرًا لتقنية المعلومات، على تمثيل مخاطر الفشل في البقاء في صدارة اللعبة عندما يتعلق الأمر بالأمن، فأنت لا تقوم بعمل جيد بما فيه الكفاية".
يقول ريد إن إحدى أهم المجالات بالنسبة للسلطة الفلسطينية هي إدارة الأجهزة المحمولة. ويقول إن صحفيي الشركة يتعاملون مع معلومات حساسة للغاية وتهديد الجهاز التعرض للاختراق، على الرغم من خطورته، لا يكاد يكون منتشرًا مثل التهديد بفقدان الشخص أو ببساطة مسروق. عملت الشركة مع EE لتنفيذ إستراتيجية الهاتف المحمول COPE (المملوكة للشركة والممكنة شخصيًا)، باستخدام Samsung S4 Minis ونظام أمان Knox الخاص بالشركة.
"يمكن إنشاء حاوية داخل كل هاتف لتمكين تخزين مستندات العمل ورسائل البريد الإلكتروني وجهات الاتصال بشكل منفصل عن أي شيء شخصي. يقول ريد: "يمتلك صحفيونا بشكل أساسي منطقتين على هواتفهم - واحدة للاستخدام الشخصي والأخرى للعمل".
"في PA، نساعد الصحفيين من خلال التوصية بالتطبيقات. لقد اتبعنا هذا المبدأ الدقيق في دورة ألعاب الكومنولث لهذا العام، من خلال إرسال رسالة نصية للصحفيين المشاركين في الحدث لتنزيل تطبيق Team GB. تمت إضافة هذا التطبيق إلى القائمة البيضاء وتم تثبيته ببساطة في الحاوية."
4. حث الرئيس التنفيذي على رعاية مبادرات الحوكمة
يقول أوميد شيراجي، مدير تكنولوجيا المعلومات في شركة Working Links، إن المسؤولية عن الأمن ترتبط تمامًا بالمنظمة وطبيعة أعمالها. كما أنه غير مقتنع بالحاجة إلى CISO مخصص في معظم المؤسسات.
ويقول: "إن أمن تكنولوجيا المعلومات هو سلعة يمكنك الذهاب إليها وشراء المنتجات والخبرات من مزود الخدمة". "وينطبق الشيء نفسه على أمن الأعمال في العديد من الحالات - فالعمليات والحوكمة هي سلعة يمكنك شراؤها كخدمة مُدارة."
يقول شيراجي إنه يفضل إنفاق ميزانيته المحدودة لتكنولوجيا المعلومات على عمليات الخطوط الأمامية، ثم الاعتماد على خبرات محددة للمساعدة في حماية بياناته وتوجيه موظفيه. حصلت المنظمة مؤخرًا على اعتماد ISO 27001 وأثبت دعم الاتصالات من الرئيس التنفيذي أهميته.
ويقول: "يغير الناس سلوكهم لأنهم يسمعون الرئيس التنفيذي يتحدث عن العواقب المهمة للأنشطة غير الآمنة". "إن أمن تكنولوجيا المعلومات هو في الواقع وظيفة كل موظف ولكن يجب على الرئيس التنفيذي رعاية أي مبادرة تتعلق بالأمن والحوكمة في المؤسسة - وهذا ما حدث في Working Links."
5. خلق ثقافة عملية واعية بالمخاطر
يتبنى جوليان سيلف - وهو رئيس تنفيذي لتكنولوجيا المعلومات ذو خبرة عمل في عدد من شركات التمويل - وجهة نظر مختلفة، ويقول إن أهمية ومكانة رئيس أمن المعلومات في الأعمال التجارية مستمرة في النمو. يقول سيلف إن مهمة مدير تكنولوجيا المعلومات هي الدفاع عن فوائد المتخصص الأمني لبقية المجموعة التنفيذية.
"في عالم شديد الاتصال بالفعل، ومع ظهور إنترنت الأشياء، تنمو مهمة تأمين معلومات الأعمال يقول سيلف، الذي يقول إن مشهد التهديد لا يزال مستمرًا: "أكثر تعقيدًا بشكل لا نهائي مع تدفق المعلومات داخل وخارج العديد من الأجهزة". تطور.
"لن يكون CISO ناجحًا ما لم يكن لديهم موافقة الشركة ومشاركتها. وبدون ذلك، سوف يُنظر إليهم ببساطة على أنهم مانعون للأعمال التجارية وسيتم التحايل على جهودهم".
"في الأساس، يحتاج مدراء أمن المعلومات إلى إنشاء ثقافة عملية واعية بالمخاطر حيث يتم أخذ أمن المعلومات في الاعتبار دون وعي في جميع جوانب الأعمال. ويجب أن يسير هذا النهج جنبًا إلى جنب مع الاستجابة للحوادث بشكل متناسب وغير متناسب إثارة الذعر، وإدارة المخاطر والتخفيف من حدتها، مما يعيد في النهاية تأكيد الثقة من جانب الشركة عمل."
المزيد عن الدفاع السيبراني
- داخل سباق التسلح الرقمي السري: مواجهة التهديد المتمثل في حرب إلكترونية عالمية
- يقوم الناتو بتحديث سياسة الدفاع السيبراني حيث أصبحت الهجمات الرقمية جزءًا أساسيًا من الصراع
- اخترق قراصنة معاديون ترعاهم الدولة الشبكة الحكومية