في عالم اليوم المحوسب، تظهر مخاطر جديدة كل ساعة من كل يوم. يفتح الاتصال بالإنترنت إمكانية استهداف أحد المتطفلين لمؤسستك. أصبحت الجريمة السيبرانية من الشركات الكبرى والمخاطر السيبرانية محط تركيز المنظمات والحكومات على مستوى العالم. تكون المخاطر المالية والمتعلقة بالسمعة عالية إذا لم يكن لدى المؤسسات خطة أمان إلكترونية مناسبة.
كشفت "دراسة خرق الأمن السيبراني لعام 2018" أن أكثر من أربعة من كل عشرة (43٪) شركات واثنتين من كل عشر (19٪) جمعيات خيرية في المملكة المتحدة تعرضت لهجوم إلكتروني. وجد الاستطلاع أن 38٪ من الشركات الصغيرة لم تنفق شيئًا على الإطلاق لحماية نفسها من تهديدات الأمن السيبراني. كما وجد استطلاع منفصل أن ثلث الشركات الصغيرة في المملكة المتحدة تخاطر بأمانها على الإنترنت من خلال العمل عند "خط الفقر الأمني" أو تحته. كانت أكثر أنواع النشاط الإجرامي الإلكتروني شيوعًا هي إرسال رسائل بريد إلكتروني احتيالية وانتحال صفة المنظمات عبر الإنترنت. تم العثور على رسائل البريد الإلكتروني الضارة أيضًا على أنها أكثر أنواع الهجمات الإلكترونية شيوعًا في تقرير الأمن والتهديدات على الإنترنت. تعد عواقب الجريمة الإلكترونية باهظة التكلفة حيث بلغ متوسط التكلفة الإجمالية لخرق البيانات في عام 2019 3.92 مليون دولار في البحث الذي أجراه معهد بونيمون.
ما هو الأمن السيبراني؟
يتأكد الأمن السيبراني من أن بيانات مؤسستك في مأمن من الهجمات من الجهات السيئة الداخلية والخارجية. يمكن أن يشمل مجموعة من التقنيات والعمليات والهياكل والممارسات المستخدمة لحماية الشبكات وأجهزة الكمبيوتر والبرامج والبيانات من الوصول غير المصرح به أو التلف. الهدف من أي استراتيجية للأمن السيبراني هو ضمان السرية وتكامل البيانات وتوافرها.
هناك العديد من الوسائل الأساسية التي يمكن أن تؤثر بها مشكلات الأمن السيبراني (أو حتى تدمر) المؤسسة وسمعتها. هناك خطر أن يحصل المتسلل على معلومات حساسة مثل تفاصيل الحساب المصرفي أو تفاصيل بطاقات الائتمان. هناك أسواق مفتوحة لمثل هذه المعلومات على "الويب المظلم". إذا قام الآخرون بالوصول إلى مثل هذه المعلومات الحساسة، فقد تجد المنظمة أن مرافقها المصرفية أو بطاقات الائتمان مسحوبة أو تنتهك قوانين الخصوصية. كل شهر يتم الإبلاغ عن انتهاكات أمنية رفيعة المستوى تؤثر على البيانات الفردية على مستوى العالم.
المشكلة الثانية ولكنها ذات صلة هي أنه عندما يحصل المتسلل على معلومات حساسة حول المنظمة، قد نجد سمعتها قد تدمرت. يمكن لعدد قليل من المؤسسات الصغيرة النجاة من الضرر الذي يلحق بسمعتها والذي قد تسببه مثل هذه البيانات المفقودة. قد يكون الضرر الذي يلحق بالسمعة والشهرة أكثر تعقيدًا من فقدان البيانات الفعلي نفسه. قد يؤدي فقدان بيانات العميل إلى اتخاذ إجراء قانوني أو تنظيمي ضد المنظمة. قد يقوم طرف ثالث برفع دعوى ضد منظمة لأنها تكبدت هي نفسها خسارة. قد تخضع المنظمات أيضًا لعقوبات كبيرة و / أو إجراءات قانونية ناشئة عن انتهاكات قوانين الخصوصية في العديد من الولايات القضائية.
يعد برنامج الفدية أحدث جوانب الأمن السيبراني وأكثرها إثارة للقلق والذي يسبب مشاكل كبيرة للمؤسسات. في وقت مبكر من عام 2012، اعتمدت تقارير حملات الفدية نماذج أعمال تركز على التجارة. في كثير من الحالات، يتم إخفاء جزء من البرامج الضارة وإدراجها في نوع آخر من المستندات فقط في انتظار أن يتم تنفيذه من قبل المستخدم المستهدف. عند التنفيذ، قد تقوم البرامج الضارة بتشفير بيانات المؤسسة بمفتاح تشفير سري 2048 بت أو الاتصال بخادم قيادة وتحكم مركزي لانتظار التعليمات التي ينفذها الخصم. بمجرد الإصابة، لا يزال يتعذر الوصول إلى بيانات المؤسسة حيث تقوم بتشفير البيانات باستخدام مفتاح تشفير المهاجمين. بمجرد تشفير جميع البيانات التي يمكن الوصول إليها، بما في ذلك في كثير من الحالات البيانات والأنظمة الاحتياطية، سيتم إرشاد المنظمة حول كيفية دفع فدية في غضون أيام، أو سيقوم الخصم بإزالة مفتاح التشفير وستفقد البيانات. حرفيًا، يحتفظ الخصم بالبيانات للحصول على فدية. مفتاح التشفير قوي بما يكفي بحيث يكون كسر المفتاح بدلاً من دفع الفدية أمرًا غير اقتصادي -يقدر البعض أن متوسط الكمبيوتر المكتبي قد يستغرق خمسة كوادريليون سنة لفك تشفير البيانات بدون المفتاح في بعض الحالات، يمكن أن تأمل المنظمة المستهدفة أن يأمل بعض الباحثين أن ربما اكتشف طريقة لفك تشفير البيانات بناءً على عيب في التصميم. وبخلاف ذلك، سيتعين على المنظمة النظر في استعادة الأنظمة والبيانات من نسخة احتياطية آمنة أو التفكير في دفع الفدية. ضع في اعتبارك أنه حتى استعادة البيانات لا تقضي على خطر عدم إعادة تمكين برامج الفدية أو إرجاعها بناءً على سلامة البيئة المعرضة للخطر.
حوكمة الأمن السيبراني
يجب وضع برنامج لإدارة الأمن السيبراني وإدارة المخاطر يتناسب مع حجم المؤسسة. يجب اعتبار مخاطر الأمن السيبراني على أنها مخاطر تجارية كبيرة من قبل المالكين والمديرين. يجب أن يكون هذا في نفس مستوى الامتثال والمخاطر التشغيلية والمالية والسمعة مع معايير القياس المناسبة والنتائج التي يتم رصدها وإدارتها.
هناك أطر طوعية يمكن استخدامها للنظر في تقييم المخاطر وأفضل الممارسات ذات الصلة. على سبيل المثال، يشتمل إطار عمل الأمن السيبراني للمعهد الوطني للمعايير والتكنولوجيا (NIST) على خمس وظائف متزامنة ومستمرة:
- تحديد: تطوير فهم تنظيمي لإدارة مخاطر الأمن السيبراني للأنظمة والأفراد والأصول والبيانات والقدرات.
- الحماية: تطوير وتنفيذ الضمانات المناسبة لضمان تقديم الخدمات الحيوية.
- الكشف: تطوير وتنفيذ الأنشطة المناسبة لتحديد وقوع حدث الأمن السيبراني.
- الاستجابة: تطوير وتنفيذ الأنشطة المناسبة لاتخاذ الإجراءات المتعلقة بحادث الأمن السيبراني المكتشف.
- الاسترداد: قم بتطوير وتنفيذ الأنشطة المناسبة للحفاظ على خطط المرونة واستعادة أي قدرات أو خدمات تعطلت بسبب حادثة الأمن السيبراني.
الحماية من البرامج الضارة والهجمات الخارجية
تستمر التهديدات الجديدة في الظهور وتحتاج كل منظمة إلى التأكد من أنها مجهزة للتعامل مع مشهد التهديد الديناميكي. فيما يلي بعض أدوات النظام والحلول الأكثر أهمية المستخدمة للمساعدة في التخفيف من هذه الهجمات الضارة:
- جدران الحماية\ Firewall عبارة عن برامج (وأيضًا أجهزة) مصممة لحماية النظام من الهجوم من الأشخاص الذين يصلون إلى أنظمة المؤسسة عبر روابط الاتصال الداخلية والخارجية.
- تحمي حلول الحماية من البرامج الضارة-Malware/spyware / حلول حماية بروكسي الويب-web proxy protection solutions من التعليمات البرمجية للبرامج التي قد تكون من النوافذ المنبثقة أو ذات نوايا خبيثة، مثل تسجيل أسماء المستخدمين وكلمات المرور لأغراض احتيالية.
- يحمي برنامج مكافحة البريد العشوائي صناديق البريد الإلكتروني من الانسداد بسبب البريد الإلكتروني المرسل غير المرغوب فيه.
- تحمي برامج مكافحة التصيد الاحتيالي المستخدمين الذين يزورون مواقع الويب المصممة لاعتراض معلومات المستخدم التي يمكن استخدامها بعد ذلك لأغراض احتيالية.
جميعها إلزامية لأي نظام جيد الإدارة يستخدم استراتيجية دفاع جيدة. يمكن أن تكون تكلفة الهجوم كبيرة، بما في ذلك فقدان البيانات والاحتيال وتكلفة إعادة بناء الأنظمة ويجب تحليلها مقابل تكلفة الحماية ضد مثل هذه التهديدات.
يوصى باستخدام مورد معروف وحسن السمعة. تزعم بعض الشركات أنها توفر هذه المرافق ولكن في الواقع يمكن أن تكون الأدوات نفسها برامج ضارة. كن حذرًا بشأن استخدام برامج أو برامج مجانية من بائع غير معروف. بشكل عام، من الأفضل استخدام المرافق التي أوصت بها مؤسسة تكامل أنظمة الأعمال (الدعم الفني)، حيث ستكون مسؤولة عن التثبيت والتكوين والصيانة.
صيانة هذه التطبيقات أمر بالغ الأهمية. برمجيات خبيثة جديدة تظهر كل يوم. يوفر معظم بائعي البرامج تحديثًا تلقائيًا يوميًا على الأقل لقواعد البيانات الخاصة بهم لضمان استمرار حماية النظام بشكل فعال. يعد ضمان تنفيذ هذه التحديثات بشكل صحيح أمرًا ضروريًا.
خطط صيانة الأجهزة
يجب الحفاظ على عقود الصيانة مع موردي الأجهزة بحيث يمكن تصحيح أعطال الأجهزة بسرعة. يجب أن تحدد هذه العقود مستويات الخدمة التي سيلبيها المورد في حالة الفشل. تتطلب الأجهزة المهمة مثل الخوادم والمحولات وتقنيات النسخ الاحتياطي اهتمامًا سريعًا. تحدد العديد من العقود استجابة مدتها أربع ساعات لفشل هذه المكونات. يمكن أن يكون للأجهزة الأخرى الأقل أهمية مثل محطات العمل الفردية أوقات استجابة أطول.
تشتري بعض المؤسسات، خاصة في المناطق النائية، بعض المكونات الهامة التي لديها احتمالية أكبر للفشل، مثل مزودات الطاقة، مثل قطع الغيار التي يمكن أن تحل محل المكون الفاشل بسرعة. يجب أن تضمن المنظمات التي تعتمد على عقود الصيانة أن الشركة الداعمة تحتفظ بإمدادات كافية من المكونات الاحتياطية للوفاء بالتزامات مستوى خدمة المؤسسات.
تعد جودة شركة دعم تكنولوجيا المعلومات الخارجية للمؤسسة أمرًا بالغ الأهمية لضمان تنفيذ الأنظمة ودعمها بشكل صحيح. تشمل القضايا التي يجب مراعاتها عند اختيار شركة مناسبة ما يلي:
- معرفتهم وخبرتهم بأجهزة المؤسسة وتكوين نظام التشغيل.
- معرفتهم وخبرتهم مع برامج تطبيقات المنظمة.
- الشهادات التي يتم الحصول عليها مع كبرى شركات الأجهزة والبرامج، والتي توفر ضمانًا فيما يتعلق بكفاءة الأشخاص في المؤسسة.
- عدد الأشخاص داخل الشركة الذين لديهم المعرفة المطلوبة لدعم النظام -وهذا أمر بالغ الأهمية لأن الاعتماد على فرد واحد يمكن أن يؤدي إلى تأخيرات كبيرة وتكلفة في حالة عدم توفر هذا الفرد لأي سبب من الأسباب.
- قدرتهم على تقديم خدمات الدعم عن بعد لتمكين الاستجابة السريعة للقضايا بتكلفة معقولة.
- العناية الواجبة المناسبة وإدارة مخاطر البائعين للتأكد من أن الطرف الثالث يقدم الخدمات بناءً على توقعات المنظمات.
التوثيق
يجب على كل منظمة وضع خطة للتخفيف من مخاطر عدم توفر الأشخاص الرئيسيين في حالة فشل النظام. احتفظ بقائمة من تفاصيل الاتصال لفنيي النسخ الاحتياطي. قم بتوثيق تكوين الأجهزة وتطبيقات البرامج وتحديثها باستمرار حتى يتمكن الفني الجديد من إعادة بناء النظام بسرعة.
السياسات والإجراءات
تعتبر إجراءات حوكمة تكنولوجيا المعلومات المناسبة داخل المنظمة أمرًا بالغ الأهمية. تنفيذ عملية رسمية لتقييم المخاطر ووضع سياسات لضمان عدم إساءة استخدام الأنظمة والتأكد من مراجعة السياسات المعمول بها وتحديثها باستمرار لتعكس أحدث المخاطر. يتضمن ذلك تطوير سياسات وإجراءات الاستجابة للحوادث للاستجابة بشكل صحيح للحساب والمساعدة في التخفيف من تكلفة الخرق المحتمل.
يجب أن يشكل التعليم المستمر لجميع الموظفين حول مخاطر التكنولوجيا جزءًا من إطار عمل إدارة مخاطر المؤسسات، مع التخفيف من الانتهاكات الأمنية المحتملة نتيجة التعليم والسياسات التي يتم نشرها على جميع مستويات الموظفين. يجب أن تشمل السياسات على سبيل المثال لا الحصر:
- إدارة حساب المستخدم: القواعد والسياسات لجميع مستويات المستخدمين؛ إجراءات لضمان اكتشاف الحوادث الأمنية في الوقت المناسب؛ أنظمة تكنولوجيا المعلومات والبيانات السرية محمية من المستخدمين غير المصرح لهم.
- إدارة البيانات: وضع إجراءات فعالة لإدارة المستودعات، والنسخ الاحتياطي للبيانات واستعادتها، والتخلص السليم من الوسائط. تساعد الإدارة الفعالة للبيانات على ضمان جودة بيانات الأعمال وتوقيتها وتوافرها.
- أمن تكنولوجيا المعلومات وإدارة المخاطر: عملية تحافظ على سلامة المعلومات وحماية أصول تكنولوجيا المعلومات. تتضمن هذه العملية إنشاء والحفاظ على أدوار ومسؤوليات أمن تكنولوجيا المعلومات والسياسات والمعايير والإجراءات.
من المحتمل أن تكون الولايات القضائية الفردية قد سنت تشريعات قد تتطلب سياسات معينة، أو قضايا ضمن سياسة معينة، ليتم معالجتها. يتم سرد السياسات الشائعة أدناه وتغطية استخدام النظام واستخدام البريد الإلكتروني واستخدام الإنترنت والوصول عن بعد.
نهج استخدام النظام
تحدد سياسة استخدام النظام بشكل عام القواعد التي يمكن من خلالها استخدام أنظمة تكنولوجيا المعلومات الخاصة بالمؤسسات. تشمل العناصر النموذجية التي يجب مراعاتها في هذه السياسة ما يلي:
- الاستخدام الإلزامي لكلمات المرور على جميع الأنظمة، مثل الهواتف والأجهزة اللوحية، بما في ذلك الحاجة إلى تغيير كلمات المرور بانتظام وحظر توفير كلمات المرور لأعضاء الفريق الآخرين أو الأطراف الثالثة.
- حظر نسخ بيانات المنظمة وإزالة البيانات من المكتب دون موافقة.
- تشفير الذاكرة / USB.
- الأمن المادي للمعدات.
- استخدام النظام خلال ساعات العمل.
- قواعد الاستخدام الخاص للنظام، إذا كان مسموحًا به، خارج ساعات العمل.
- المصادقة متعددة العوامل -استخدام أكثر من طريقة مصادقة من فئات مستقلة لبيانات الاعتماد للتحقق من هوية المستخدم لتسجيل الدخول.
سياسة استخدام البريد الإلكتروني
تتضمن العناصر النموذجية التي يجب مراعاتها في سياسة استخدام البريد الإلكتروني ما يلي:
- حظر استخدام حسابات البريد الإلكتروني الشخصية في الأمور التجارية.
- منع فتح مرفقات البريد الإلكتروني من مصادر غير معروفة (لأنها قد تحتوي على برامج ضارة).
- منع الوصول إلى حسابات البريد الإلكتروني لأفراد آخرين.
- يحظر مشاركة كلمات مرور حساب البريد الإلكتروني.
- حظر الاستخدام الشخصي المفرط للبريد الإلكتروني للمؤسسة.
- إخطار أن المنظمة ستراقب البريد الإلكتروني.
سياسة استخدام الإنترنت
تتضمن العناصر النموذجية التي يجب مراعاتها في سياسة استخدام الإنترنت ما يلي:
- قصر استخدام الإنترنت على الأغراض التجارية.
- إخطار بقدرة المنظمة على تتبع استخدام الإنترنت.
- حظر الوصول إلى المواقع التي تسيء إلى جنس الشخص أو ميوله أو دينه أو جنسيته أو سياسته.
- التأكد من أن التنزيلات تتم فقط من موقع ويب آمن وحسن السمعة.
- يحظر تقديم عنوان البريد الإلكتروني للنشاط التجاري للمستخدم من أجل الحد من احتمالية وجود رسائل غير مرغوب فيها.
- عواقب الانتهاك.
نهج الوصول عن بُعد
تتضمن العناصر النموذجية التي يجب مراعاتها في نهج الوصول عن بُعد ما يلي:
- الموافقات المطلوبة للوصول الخارجي.
- سداد تكاليف الوصول الخارجي.
- إجراءات الأمان (بما في ذلك الكشف عن كلمات المرور، واستخدام الطرف الثالث للنظام، والانفصال عن الشبكات الأخرى أثناء الوصول إلى أنظمة المؤسسة، واستخدام جدران الحماية وتثبيت البرامج المناسبة لحماية النظام البعيد من الهجمات الضارة والمصادقة متعددة العوامل).
- الأمان المادي للمعدات التي توفرها المؤسسة مثل أجهزة الكمبيوتر المحمولة.
- الإبلاغ عن أي خرق محتمل للأمن أو الوصول غير المصرح به أو الكشف عن بيانات المنظمات.
- الاتفاق على أن المنظمة يمكنها مراقبة أنشطة المستخدم الخارجي لتحديد أنماط الاستخدام غير العادية أو الأنشطة الأخرى التي قد تبدو مشبوهة.
- عواقب عدم الامتثال.
التأمين
يجب أن يغطي التأمين المناسب تكلفة استبدال البنية التحتية المتضررة بالإضافة إلى تكاليف العمالة للتحقيق في الحادث وإعادة بناء الأنظمة واستعادة البيانات. ضع في اعتبارك أيضًا التأمين على خسارة الإنتاجية الناتجة عن فشل كبير في النظام أو حدث كارثي.
