ما إدارة المخاطر السيبرانية؟

أصبحت إدارة المخاطر السيبرانية جزءًا حيويًا من جهود إدارة المخاطر المؤسسية الأوسع نطاقًا. تعتمد الشركات في مختلف الصناعات على تكنولوجيا المعلومات لتنفيذ وظائف الأعمال الرئيسية اليوم، ما يعرضها للمجرمين الإلكترونيين ولأخطاء الموظفين والكوارث الطبيعية وغيرها من تهديدات الأمن السيبراني. يمكن أن تؤدي هذه التهديدات إلى إيقاف الأنظمة الحساسة عن العمل أو إلحاق الدمار بطرق أخرى، ما يؤدي إلى فقدان الإيرادات وسرقة البيانات والإضرار بالسمعة على المدى الطويل والغرامات التنظيمية.

لا يمكن القضاء على هذه المخاطر، ولكن يمكن لبرامج إدارة المخاطر السيبرانية أن تساعد على تقليل تأثير التهديدات واحتماليتها. تستخدم الشركات عملية إدارة مخاطر الأمن الإلكتروني لتحديد التهديدات الأكثر حساسية واختيار الإجراءات الأمنية المناسبة لتكنولوجيا المعلومات لحماية أنظمة المعلومات من الهجمات الإلكترونية والتهديدات الرقمية والمادية الأخرى بناءً على أولويات أعمالهم والبنية التحتية لتكنولوجيا المعلومات ومستويات الموارد.

من الصعب تقييم المخاطر السيبرانية بيقين تام. فنادرًا ما يكون لدى الشركات رؤية كاملة للأساليب التي يتبعها مجرمو الإنترنت أو الثغرات الأمنية في شبكاتهم أو المخاطر التي لا يمكن التنبؤ بها مثل الطقس القاسي وإهمال الموظفين. بالإضافة إلى ذلك، فقد يكون لأنواع الهجمات الإلكترونية نفسها عواقب مختلفة بين الشركات. بلغت تكلفة اختراقات أمن البيانات في قطاع الرعاية الصحية 10.10 ملايين دولار أمريكي في المتوسط، بينما بلغت تكلفة اختراقات أمن البيانات في قطاع الضيافة 2.9 مليون دولار أمريكي، وذلك وفقًا لتقرير IBM عن تكلفة خرق البيانات.

ولهذه الأسباب، تقترح هيئات مثل المعهد الوطني الأمريكي للمعايير والتقنية (NIST) التعامل مع إدارة المخاطر السيبرانية بصفتها عملية مستمرة ومتكررة بدلاً من النظر إليها كحدث لمرة واحدة. تسمح إعادة النظر في العملية بانتظام للشركة بدمج معلومات جديدة والاستجابة للتطورات الجديدة في التهديد الأوسع نطاقًا وفي أنظمة تكنولوجيا المعلومات الخاصة بها.

ولضمان أن قرارات المخاطر تأخذ في الاعتبار أولويات المؤسسة بأكملها وتجربتها، تتم معالجة العملية عادةً من خلال مزيج من الأطراف المعنية. قد تضم فرق إدارة المخاطر السيبرانية مديرين وقادة تنفيذيين مثل شاغل منصب CEO والمدير التنفيذي لأمن المعلومات وأعضاء فريقي تكنولوجيا المعلومات والأمن، بالإضافة إلى أعضاء الفريق القانوني والموارد البشرية والممثلين من وحدات الأعمال الأخرى.

يمكن للشركات استخدام العديد من منهجيات إدارة المخاطر السيبرانية، بما في ذلك إطار عمل NIST للأمن السيبراني (NIST CSF) وإطار عمل NIST لإدارة المخاطر (NIST RMF). في حين أن هذه الطرق تختلف قليلاً، إلا أنها تتبع جميعها مجموعة متشابهة من الخطوات الأساسية.

تأطير المخاطر هو عملية تحديد السياق الذي يتم فيه اتخاذ القرارات المتعلقة بالمخاطر. ومن خلال تأطير المخاطر في البداية، يمكن للشركات مواءمة إستراتيجيات إدارة المخاطر الخاصة بها مع إستراتيجيات أعمالها الشاملة. تساعد هذه المواءمة على تجنب الأخطاء غير الفعالة والمكلفة، مثل نشر الضوابط التي تتداخل مع وظائف العمل الرئيسية.

لتأطير المخاطر، تعرف الشركات مفاهيم مثل ما يلي:

نطاق العملية: ما الأنظمة والأصول التي سيتم فحصها؟ ما أنواع التهديدات التي سيتم النظر فيها؟ ما الجدول الزمني الذي تعمل عليه العملية (على سبيل المثال، المخاطر في الأشهر الستة المقبلة والمخاطر في العام المقبل وما إلى ذلك)؟

مخزون الأصول وتحديد الأولويات: ما البيانات والأجهزة والبرامج والأصول الأخرى الموجودة في الشبكة؟ أي من هذه الأصول هي الأكثر حساسية بالنسبة إلى المؤسسة؟

الموارد والأولويات التنظيمية: ما أنظمة تكنولوجيا المعلومات والعمليات التجارية الأكثر أهمية؟ ما الموارد، المالية وغيرها، التي ستلتزم بها الشركة تجاه إدارة المخاطر السيبرانية؟

المتطلبات القانونية والتنظيمية: ما القوانين أو المعايير أو التفويضات الأخرى التي يجب على الشركة الامتثال لها؟

تعطي هذه الاعتبارات وغيرها الشركة إرشادات عامة عند اتخاذ قرارات المخاطر. كما أنها تساعد الشركة على تحديد تحملها للمخاطر—أي أنواع المخاطر التي يمكن أن تتعامل معها والأنواع التي لا يمكنها التعامل معها.

تستخدم الشركات تقييمات مخاطر الأمن الإلكتروني لتحديد التهديدات والثغرات الأمنية وتقدير آثارها المحتملة وتحديد أولويات المخاطر الأكثر حساسية.

تعتمد كيفية إجراء الشركة لتقييم المخاطر على الأولويات والنطاق وتحمل المخاطر المحددة في خطوة التأطير. تقيم معظم التقييمات ما يلي:

التهديدات هي الأشخاص والأحداث التي يمكن أن تعطل نظام تكنولوجيا المعلومات أو تسرق البيانات أو تعرِّض أمن المعلومات للخطر بطرق أخرى. تتضمن التهديدات الهجمات الإلكترونية المتعمدة (مثل برامج الفدية أو التصيد الاحتيالي) وأخطاء الموظفين (مثل تخزين المعلومات السرية في قواعد بيانات غير آمنة). يمكن للكوارث الطبيعية، مثل الزلازل والأعاصير، أن تهدد أيضًا أنظمة المعلومات.

الثغرات الأمنية هي العيوب أو نقاط الضعف في النظام أو العملية أو الأصل التي يمكن للتهديدات استغلالها لإحداث الضرر. قد تكون الثغرات الأمنية تقنية، مثل جدار حماية تمت تهيئته بشكل خاطئ ويسمح للبرامج الضارة بالدخول إلى الشبكة أو خطأ في نظام التشغيل يمكن للمخترقين استخدامه للسيطرة على الجهاز عن بُعد. وقد تنشأ الثغرات الأمنية أيضًا من سياسات وعمليات ضعيفة، مثل سياسة متساهلة للتحكم في الوصول تسمح للأشخاص بالوصول إلى أصول أكثر مما يحتاجون إليه.

التأثيرات هي ما يمكن أن يسببه التهديد في الشركة. قد يتسبب التهديد السيبراني في تعطيل الخدمات الحيوية، ما يؤدي إلى فترة تعطل وفقدان للإيرادات. يمكن للمتسللين سرقة البيانات الحساسة أو تدميرها. يمكن للمحتالين استخدام هجمات اختراق البريد الإلكتروني الخاص بالشركات لخداع الموظفين ليقوموا بإرسال الأموال إليهم.

يمكن أن تنتشر آثار التهديد إلى ما هو أبعد من المؤسسة. فالعملاء الذين تمت سرقة معلومات التعريف الشخصية الخاصة بهم أثناء اختراق أمن البيانات هم أيضًا ضحايا للهجوم.

ولأنه قد يكون من الصعب تحديد تأثير تهديد الأمن السيبراني بشكل دقيق، فغالبًا ما تستخدم الشركات بيانات نوعية مثل الاتجاهات التاريخية وقصص الهجمات على المؤسسات الأخرى لتقدير التأثير. تُعد حساسية الأصل عاملاً آخر: كلما كان الأصل أكثر حساسية، كانت الهجمات ضده أكثر تكلفة.

المخاطر تقيس مدى احتمالية تأثير تهديد محتمل على المؤسسة ومقدار الضرر الذي قد يسببه هذا التهديد. التهديدات التي من المحتمل أن تحدث والتي من المحتمل أن تسبب أضرارًا جسيمة هي الأكثر خطورة، في حين أن التهديدات غير المحتملة التي قد تسبب أضرارًا طفيفة هي الأقل خطورة.

أثناء تحليل المخاطر، تأخذ الشركات في الاعتبار عوامل متعددة لتقييم مدى احتمالية حدوث تهديد ما. قد تؤثر الضوابط الأمنية القائمة وطبيعة الثغرات الأمنية لتكنولوجيا المعلومات وأنواع البيانات التي تحتفظ بها الشركة في احتمالية التعرض للتهديدات. فحتى مجال الشركة قد يلعب دورًا في تحديد ذلك: لقد وجد مؤشر X-Force Threat Intelligence Index أن المؤسسات في قطاعي التصنيع والتمويل تواجه هجمات إلكترونية أكثر من المؤسسات في قطاعي النقل والاتصالات.

يمكن أن يعتمد تقييم المخاطر على مصادر البيانات الداخلية، مثل أنظمة المعلومات الأمنية وإدارة الأحداث (SIEM) واستعلامات التهديدات الخارجية. قد ينظرون أيضًا إلى التهديدات والثغرات الأمنية في سلسلة التوريد الخاصة بالشركة، حيث يمكن أن تؤثر الهجمات التي يتعرض لها البائعون في الشركة.

من خلال تقييم جميع هذه العوامل، يمكن للشركة بناء ملف تعريف المخاطر الخاص بها. يوفر ملف تعريف المخاطر كتالوجًا للمخاطر المحتملة للشركة، مع تحديد أولوياتها بناء على مستوى حساسية تلك المخاطر. كلما كان التهديد أكثر خطورة، زادت حساسيته بالنسبة إلى المؤسسة.

تستخدم الشركة نتائج تقييم المخاطر لتحديد كيفية استجابتها للمخاطر المحتملة. المخاطر التي تعتبر احتمالية وقوعها منخفضة للغاية أو المخاطر ذات التأثير المنخفض يمكن ببساطة قبولها، وذلك لأن الاستثمار في التدابير الأمنية قد يكون أكثر تكلفة من الخطر نفسه.

عادة ما تتم معالجة المخاطر والمخاطر المحتملة ذات التأثيرات العالية. تشمل الاستجابات المحتملة للمخاطر ما يلي:

تراقب المؤسسة ضوابطها الأمنية الجديدة للتحقق من أنها تعمل على النحو المنشود وتفي بالمتطلبات التنظيمية ذات الصلة.

تراقب المؤسسة أيضًا المشهد الأوسع نطاقًا للتهديدات والنظام البنائي لتكنولوجيا المعلومات الخاص بها. يمكن للتغيرات في أي منهما—مثل ظهور تهديدات جديدة أو إضافة أصول جديدة لتكنولوجيا المعلومات—أن تؤدي إلى ظهور ثغرات أمنية جديدة أو تؤدي إلى تقادم الضوابط التي كانت فعالة في السابق. ومن خلال الحفاظ على المراقبة المستمرة، يمكن للشركة تعديل برنامج الأمن السيبراني وإستراتيجية إدارة المخاطر في الوقت الفعلي تقريبًا.

نظرًا إلى أن الشركات أصبحت تستخدم التكنولوجيا في كل شيء بدءًا من العمليات اليومية ووصولاً إلى العمليات الحساسة للأعمال، فقد أصبحت أنظمة تكنولوجيا المعلومات الخاصة بها أكبر وأكثر تعقيدًا. لقد أدى انتشار الخدمات السحابية وظهور العمل عن بُعد والاعتماد المتزايد على مزودي خدمات تكنولوجيا المعلومات من طرف ثالث إلى زيادة عدد الأشخاص والأجهزة والبرامج في شبكات الشركات العادية. ومع نمو نظام تكنولوجيا المعلومات، تنمو أيضًا أسطح الهجوم الخاصة به. توفر مبادرات إدارة المخاطر السيبرانية للشركات طريقة لتخطيط أسطح الهجوم المتغيرة وإدارتها وتحسين الوضع الأمني.

كما يتطور مشهد التهديدات الأوسع نطاقًا باستمرار. كل شهر، تتم إضافة ما يقرب من 2,000 ثغرة أمنية جديدة إلى قاعدة بيانات الثغرات الأمنية الوطنية لـ NIST. يتم اكتشاف آلاف المتغيرات من البرامج الضارة الجديدة كل شهر—وهذا نوع واحد فقط من التهديدات السيبرانية.

سيكون من غير الواقعي والمستحيل من الناحية المالية أن تحاول أي شركة إغلاق كل الثغرات الأمنية ومواجهة كل التهديدات. يمكن أن توفر إدارة المخاطر السيبرانية للشركات طريقة عملية أكثر لإدارة المخاطر من خلال تركيز جهود أمن المعلومات على التهديدات والثغرات الأمنية التي من المرجح أن تؤثر فيها. وبهذه الطريقة، لا تطبق الشركة ضوابط مكلفة على الأصول منخفضة القيمة وغير الحساسة.

كما يمكن لمبادرات إدارة المخاطر السيبرانية أن تساعد المؤسسات على الامتثال للائحة العامة لحماية البيانات وقانون إخضاع التأمين الصحي لقابلية النقل والمساءلة ومعيار أمن بيانات صناعة بطاقات الدفع وغيرها من اللوائح. أثناء عملية إدارة المخاطر السيبرانية، تأخذ الشركات في الاعتبار هذه المعايير عند تصميم برامجها الأمنية. يمكن أن تساعد التقارير والبيانات التي تم إنشاؤها خلال مرحلة المراقبة الشركات على إثبات أنها قامت بالعناية الواجبة أثناء عمليات التدقيق والتحقيقات بعد الاختراق.

في بعض الأحيان، قد يطلب من الشركات اتباع أطر عمل محددة لإدارة المخاطر. يجب أن تلتزم الوكالات الفيدرالية الأمريكية بكلٍ من إطار عمل NIST لإدارة المخاطر (NIST RMF) وإطار عمل NIST للأمن السيبراني (NIST CSF). قد يحتاج المتعاقدون الفيدراليون أيضًا إلى الامتثال لهذه الإطارات، حيث إن العقود الحكومية غالبًا ما تستخدم معايير NIST لتحديد متطلبات الأمن السيبراني.