قد تكون أكبر مخاطر الأمن السيبراني داخل مؤسستك
اليوم أكثر من 300 مليون شخص يعملون عن بعد – إنشاء البيانات والوصول إليها ومشاركتها وتخزينها أينما ذهبوا – ويمكن أن تكلف انتهاكات البيانات الناشئة عن التهديدات الداخلية والحوادث البسيطة الشركات في المتوسط 7.5 مليون دولار سنويًا. في النهاية ، لا يهم إذا كان الخرق متعمدًا أو عرضيًا. يجب أن تكون برامج المخاطر الداخلية جزءًا من استراتيجية أمان كل شركة. لتحقيق النجاح ، يجب على المؤسسات أن تقود موظفيها كشركاء في الجهود وأن تكمّل برنامجهم بأدوات متقدمة تكتشف المخاطر الداخلية وتقلل منها أينما ظهرت. يقدم المؤلف أربعة دروس تعلمها بصفته مسؤول أمن المعلومات الرئيسي في Microsoft.
مع استمرار نمو العالم الرقمي ، يزداد حجم وتنوع وسرعة التهديدات والهجمات السيبرانية. العالم غارق في البيانات ، وهناك دائمًا من يحاول تحويلها إلى عملته الافتراضية الخاصة.
اليوم ، تصيب البرامج الضارة وبرامج الفدية كل شيء من هواتفنا المحمولة الشخصية إلى البنية التحتية المهمة وسلاسل التوريد. سواء كان ذلك من خلال التصيد الاحتيالي أو التصيد الاحتيالي أو التصيد الاحتيالي ، فإن المهاجمين أصبحوا أكثر تعقيدًا أيضًا ، باستخدام تفاصيل حول حياتنا الشخصية والعملية لإغراءنا بمشاركة بياناتنا.
ولكن في عالم يكون فيه الجميع مستهدفًا ، تحتاج الشركات أيضًا إلى فهم تعرضها للمخاطر التي تأتي من داخل منظماتهم. اليوم أكثر من 300 مليون شخص يعملون عن بعد – إنشاء البيانات والوصول إليها ومشاركتها وتخزينها أينما ذهبوا – ويمكن أن تكلف انتهاكات البيانات الناشئة عن التهديدات الداخلية والحوادث البسيطة الشركات في المتوسط 7.5 مليون دولار سنويًا. ضع في اعتبارك خرق البيانات لعام 2022 لتطبيق Cash App ، حيث تمكن موظف سابق من الوصول إلى التقارير المالية للعملاء بعد إنهاء الخدمة. من المحتمل أن يكون الاختراق قد أثر على 8.2 مليون عميل حالي وسابق.
في النهاية ، لا يهم ما إذا كان الخرق متعمدًا أم عرضيًا. يجب أن تكون برامج المخاطر الداخلية جزءًا من استراتيجية أمان كل شركة. لتحقيق النجاح ، يجب على المؤسسات أن تقود موظفيها كشركاء في الجهود وأن تكمّل برنامجهم بأدوات متقدمة تكتشف المخاطر الداخلية وتقلل منها أينما ظهرت.
فيما يلي أربعة دروس تعلمتها بصفتي CISO في Microsoft ، لإدارة برنامج المخاطر الداخلية الخاص بنا حيث نما من مبادرة داخلية صغيرة إلى وحدة أعمال تقدم تقاريرها إلى الرئيس التنفيذي.
1. إعطاء الأولوية لثقة وخصوصية الموظفين
هذه النقطة تأتي أولاً لسبب ما. في العمل وفي الحياة ، الثقة هي مفتاح أي علاقة فاعلة. تؤكد أفضل برامج المخاطر الداخلية على التوازن بين خصوصية الموظف وأمن الشركة. من الأهمية بمكان التوصل إلى ضوابط وسياسات الخصوصية التي تحافظ على الثقة بل وتعززها.
إن إعداد أدوات للتدقيق العشوائي في أنشطة الموظفين بحثًا عن مخالفات ليس فقط غير فعال ويؤدي إلى نتائج عكسية – إنه مجرد خطأ واضح. إنه انتهاك للخصوصية يؤدي إلى القلق ويؤدي إلى تآكل العلاقة. تحتاج المنظمات إلى أن تكون قادرة على اكتشاف المخاطر الداخلية ، لكن يتعين عليها القيام بذلك بالطريقة الصحيحة ، والعمل بشفافية وضمن نطاق محدد بدقة لإظهار الاحترام وتوسيع الثقة للموظفين.
يتيح إعداد ضوابط الخصوصية التي تحمي الهويات في العمل – حتى أثناء التحقيقات – للأشخاص معرفة أنك تحميهم أيضًا. يساعد استخدام الوصول المستند إلى الأدوار لأدوات إدارة المخاطر الداخلية أيضًا على ضمان قيام الشخص المناسب بمراجعة تنبيهات الامتثال ، مما يمنع الشك غير المبرر من التسلل إلى المؤسسة.
2. التعاون عبر الوظائف
بينما تقود مجموعات تكنولوجيا المعلومات والأمن الطريق ، فإن المخاطر الداخلية هي مشكلة تجارية تشمل الشركة بأكملها. في Microsoft ، تعلمنا ذلك بمرور الوقت. ما بدأ كمبادرة في منظمتنا الأمنية تطور إلى جهد موحد عبر مجموعات الأعمال ، بما في ذلك الشؤون القانونية ، والموارد البشرية ، والقيادة العليا.
تساعد هذه المشاركة الواسعة في ضمان مشاركة أوسع وتوفر وجهات نظر وموارد إضافية ، مثل القسم القانوني الذي يعطي الأولوية للوائح الناشئة والموارد البشرية التي تسهل برامج التدريب والاستطلاعات. يمكن أن تساعد لجنة المخاطر الداخلية أو أمين المظالم في بدء المحادثة. يجب أن تكون إحدى مهامهم الأولى إنشاء خطة استجابة تحدد كيفية مشاركة المعلومات ، ومتى وماذا تساهم كل مجموعة ، ومن يتخذ القرارات ، ومن المسؤول.
من المهم أيضًا أن يكون لديك أهداف مشتركة مع معايير واضحة للنجاح. يمكنك ضبط العملية عن طريق تحديد المقاييس الرئيسية مثل عدد الحالات التي أثيرت ، والعلامات الإيجابية الحقيقية والخاطئة ، والإجراءات المتخذة كنتيجة للنتائج. إذا كان لديك عدد كبير من الإيجابيات الكاذبة ، فإنك تخاطر بإثقال كاهل فريق الموارد البشرية والفرق القانونية لديك بتحقيقات غير ضرورية ومكلفة.
3. ندرك أن الموظفين هم خط الدفاع الأول والأخير
قد يكون إقناع الموظفين بالمشاركة في التدريب على حماية البيانات والامتثال أمرًا صعبًا ، ولكن من المهم أن يعرفوا كيفية التخفيف من مخاطر الأمان ولماذا يمثل ذلك أولوية. تظهر التدريبات التي تؤكد على الإشراف على البيانات أن المنظمة توسع ثقتها للموظفين أثناء خدمتهم للأعمال.
قم بتدريب الأشخاص على كيفية التعامل مع بيانات المؤسسة بشكل صحيح ، وكرر هذه الرسالة بانتظام حتى تكون حديثة دائمًا. كما أنه يساعد على جعلها شخصية. يفهم معظم الأشخاص على الفور كيفية حماية بيانات الرعاية المالية والصحية الخاصة بهم ويتفاعلون معها. إن غرس جانب شخصي في التدريب يربط النقاط حول أهمية حماية البيانات للأعمال أيضًا.
إن تدريب الأشخاص على مبدأ “انظر شيئًا ما ، قل شيئًا” بطريقة خالية من المخاطر هو قدرة حاسمة لبرنامج من الداخل. من خلال تحسين التعليم والتدريب في مجال أمن البيانات ، يمكن للشركات تمكين الموظفين كخط دفاع أول وأخير تكمله أدوات الكشف.
4. استخدم أدوات التعلم الآلي لإنجاز المزيد بموارد أقل
تعرّف شركة Gartner إدارة المخاطر الداخلية على أنها “الأدوات والإمكانيات اللازمة لقياس واكتشاف واحتواء السلوك غير المرغوب فيه للحسابات الموثوقة داخل المؤسسة”. وقد أصبحت أدوات إدارة المخاطر الداخلية أكثر دقة وفعالية في السنوات الأخيرة.
تميل الأدوات القديمة إلى التغاضي عن المؤشرات الدقيقة التي يمكنها تحديد الفاعل السيئ الذي يحاول إخفاء مساراته. غالبًا ما تتميز أيضًا بضوابط صارمة للغاية تقلل الإنتاجية وتشجع الحلول البديلة. اليوم ، تظهر سلالة جديدة من أدوات إدارة المخاطر من الداخل بقدرات أمنية تكيفية يمكنها اكتشاف الأنشطة الخطرة وتخفيف أي تأثير محتمل مع الابتعاد عن الطريق والحفاظ على خصوصية معلومات المستخدم.
عندما لا يُظهر نشاط مثل طباعة ملف سري النية ، فإن سلسلة من الأنشطة المتصلة مثل إعادة تسمية الملف ثم حذفه بعد الطباعة يمكن أن تشير إلى شيء أكثر خطورة. باستخدام التعلم الآلي ، يمكن لهذه الأدوات فصل الإشارة عن الضوضاء وتحديد الإجراءات الدقيقة ، مما يقلل من الإيجابيات الخاطئة التي يمكن أن تعيق المنظمة.
يركز برنامج المخاطر الداخلية الناجح على الأشخاص والعمليات والتقنيات
تعد إدارة المخاطر الداخلية والخارجية أمرًا حيويًا لأمن أي مؤسسة. يأتي كل منها مع تحدياته الخاصة ، ولكن ما يجعل إدارة المخاطر الداخلية صعبة بشكل خاص هو الحاجة إلى تحقيق التوازن بين الأشخاص والعمليات والتقنيات.
يمكن أن تساعد الأدوات القوية في إعاقة واكتشاف والاستجابة للمخاطر الداخلية – لكنها لن تعالج الأسباب الجذرية. هذا هو المكان الذي يكون فيه الإعداد التفصيلي ، والتدريبات الأمنية ، وتمارين بناء الفريق ، وبرامج التوازن بين العمل والحياة مفيدة. يساعد بناء بيئة عمل صحية في تقليل مخاطر انخراط الموظف عمدًا في سلوك خطير. ولكن في نهاية المطاف ، فإن تحقيق التوازن بين الناس والتكنولوجيا هو الأهم من ذلك كله. يجب أن تكون إدارة المخاطر استباقية ومستمرة ، وتتطلب الثقة والشفافية والتعاون للحفاظ على تشغيل هذا المحرك. هذه الفلسفة – الأشخاص أولاً ، المدعومون بتكنولوجيا قوية – هي الطريقة الوحيدة لمنع الحوادث قبل وقوعها ، واكتشافها إذا حدث ذلك ، والاستجابة لها بسرعة وفعالية.
