كيفية قياس مخاطر الأمن السيبراني: دليل للشركات الصغيرة والمتوسطة

وفقا لمجلس المؤتمر ، الأمن السيبراني هو الشاغل الرئيسي لكبار المديرين التنفيذيين للشركات الأمريكية.

وحقا ، من يستطيع إلقاء اللوم عليهم؟ أصبحت حوادث الأمن السيبراني أكثر انتشارًا وتتضمن الآن خسائر مالية كبيرة وتؤدي إلى فقدان ثقة المستهلك.

كيفية قياس مخاطر الأمن السيبراني: دليل للشركات الصغيرة والمتوسطة - %categories

وفقًا لـ Security Intelligence ، من المرجح أن تعاني من خرق البيانات الذي يحتوي على 10000 سجل أكثر من الإصابة . وجدت دراسة تكلفة خرق البيانات السنوية الثالثة عشرة أنه مقابل كل سجل يتم تسويته ، دفعت الشركات 148 دولارًا في المتوسط ​​في عام 2018. في المتوسط ​​، خرقت البيانات شركات تكلفة 3.86 مليون دولار العام الماضي.

بالطبع ، خروقات البيانات الأكبر غالية الثمن. دفعت الشركات التي عانت من انتهاكات البيانات التي تنطوي على أقل من 10،000 السجلات في المتوسط ​​2.2 مليون دولار لهذا الحادث. يرتفع هذا الرقم إلى أكثر من ثلاثة أضعاف ، أو 6.9 مليون دولار ، للحوادث التي تنطوي على 50000 سجل أو أكثر.

أما الانتهاكات الضخمة ، أو تلك التي تنطوي على أكثر من مليون سجل ، فتكلف الشركة ما معدله 39.49 مليون دولار. يقول التقرير أيضًا أن الانتهاك الذي يهدد معلومات 50 مليون شخص سيصفعك بفاتورة تبلغ 350.44 مليون دولار.

هذا فقط الجانب النقدي. يمكن أن يزيد فقدان ثقة المستهلك من هذه التكلفة عندما تعاني من خرق البيانات. ويشير التقرير إلى أن الشركة التي تخسر أقل من واحد في المائة من عملائها الحاليين ستخسر 2.8 مليون دولار بسبب الخرق. في أربعة في المئة ، يمكنك أن تخسر 6 ملايين دولار أخرى ، في المتوسط.

هل تحتاج حقًا إلى تحديد مخاطر الأمن السيبراني؟

نعم.

السبب الأكبر الذي يجعلك يجب أن تحدد حجم مخاطر الأمن السيبراني هو مساعدتك في إنشاء ميزانية تكنولوجيا لمعلومات أكثر فاعلية. مع كل خروقات البيانات الكبيرة مع فرض عقوبات كبيرة على الأخبار في الوقت الحالي ، فإننا نفهم سبب زيادة الإنفاق على التكنولوجيا في الشركات. يمكنك أن تفكر في الجنون بأنها تساعد في توفير المال عندما لا تكون مغطى بكل المخاطر.

بالإضافة إلى ذلك ، مع الأمن السيبراني ، فإن الهدف هو عدم وجود نتائج سلبية ، مثل عدم وجود لخروقات في البيانات أو هجمات القرصنة. هذا الموقف يجعل من الصعب رؤية عوائد استثماراتك في الأمن السيبراني.

تبرير استثمارات تكنولوجيا المعلومات الخاصة بك

من ناحية أخرى ، يمكن أن يساعدك تحديد حجم مخاطر الأمن السيبراني على دفع المزيد من الاستثمارات في مجال تكنولوجيا المعلومات إلى الأماكن التي تفتقر إليها. إن معرفة أنواع المخاطر التي يجب أن تكون متنبهاً لها سيساعدك على تبرير تكلفة البرامج أو الأجهزة أو موظفي تكنولوجيا المعلومات الجدد.

اقرأ أيضا:  هل يجب عليك شراء iPhone مباشرة من Apple أم من شركة معتمدة؟

الحصول على رؤية أفضل للأمن

يمكن أن يوفر لك تحديد حجم مخاطر الأمن السيبراني لشركتك صورة كاملة لعدة أشياء. ستعرف الأجهزة والبرامج والأجهزة المتصلة بشبكتك.

ستعرف ما إذا كانت هذه الموارد يتم تحديثها أم لا . ستعرف ما إذا كانت هناك موارد لم تعد مستخدمة.

ستعرف مكان كل شيء ، وأنواع الملفات المخزنة و أين، وما تحتاج إلى إلغاء تنشيطه أو إيقافه.

تقييم أنواع الهجمات المختلفة

ما يجعل قياس مخاطر الأمن السيبراني أكثر صعوبة هو أن الأمن السيبراني يمكن أن يكون معقدًا للغاية. لا يقتصر الأمر على ظهور تقنيات جديدة فحسب ، بل هناك أيضًا أنواع مختلفة من التهديدات.

على سبيل المثال ، يمكنك الحصول على أحدث البرامج ، والتدريب ، والتقنيات التي تساعدك في محاربة عمليات الاحتيال الخداعية عبر البريد الإلكتروني. لكن هذه الاحتياطات لا تعني أنك في مأمن من هجمات DDoS أو من هجوم سلسلة التوريد.

يمكن أن يساعدك تحديد حجم مخاطر الأمن السيبراني على معرفة موارد تكنولوجيا المعلومات التي لديك وأنواع الهجمات المحتملة باستخدام هذه الموارد. ستساعدك هذه المعرفة بدورها في الحصول على الأدوات والخبرات والتقنيات التي يمكن أن تساعدك في محاربة جميع الهجمات المحتملة.

عند القيام بذلك ، ستكون قادرًا على زيادة كفاءة أدوات وسياسات وموارد الأمن السيبراني لديك. سوف تكون قادرًا على توجيه الاستراتيجيات الأكثر فاعلية إلى أهم الأنظمة والمعلومات الأكثر حساسية.

في حالة الشركات الصغيرة ، ستتمكن من تخصيص الموارد حيثما تكون هناك حاجة إليها بالفعل ، في حين لا تزال تدرك إمكانات الهجوم المحتملة في أجزاء أخرى من شركتك.

أسباب أخرى – لماذا يجب عليك تحديد مخاطر الأمن السيبراني الخاص بك

تتمثل أهم أسباب تقدير مخاطر الأمن السيبراني في التأكد من قدرتك على استخدام ميزانيات تكنولوجيا المعلومات الخاصة بك بشكل أكثر كفاءة أثناء الاطلاع على نظرة سريعة على عملك ومخاطر الإنترنت التي تواجهها.

ومع ذلك ، هناك أسباب أخرى تجعلك تفعل ذلك ، وكذلك:

  • انخفاض التكاليف على المدى الطويل. “عندما تحدد التهديدات المحتملة ، يمكنك التخفيف بشكل استباقي من المخاطر التي تواجهها ومنع الحوادث الأمنية” ، يوضح سيد جافيرني ، المؤسس المشارك والرئيس التنفيذي في زيجورو. “وهذا يعني أنك سوف تتجنب مواجهة غرامة تنظيمية (علاوة على التكاليف الأخرى لانتهاك البيانات) والتي يمكن أن تصل إلى مئات الآلاف أو الملايين من الدولارات.”
  • يمكنك الحصول على نموذج للتقييمات في المستقبل. تحديد مخاطر الأمن السيبراني الخاص بك ليست صفقة لمرة واحدة. ستحتاج إلى إجراء تقييم منتظم للتأكد من أنك لا تزال تتمتع بالحماية الكافية من أحدث التهديدات. والخبر السار هو أن القيام بذلك في المرة الأولى سوف يوفر لك نموذجًا للتقييمات المستقبلية.
  • الوعي الذاتي. لا حرج في أن تكون مدركا لذاتك. في الواقع ، فإن جميع الشركات الناجحة تحمل هذه الصفة. يمكن أن يساعدك تحديد مخاطر الأمن السيبراني على معرفة أين تكمن نقاط القوة والضعف لديك. على هذا النحو ، فأنت تعرف أين تحتاج إلى المزيد من الاستثمار حتى تتمكن من سد الثقوب.
  • يحسن التواصل. إن تقدير مخاطر الأمن السيبراني لمؤسستك ليس وظيفة رجل واحد. ستحتاج إلى مدخلات من مختلف الموظفين والإدارات ، بغض النظر عن حجم أعمالك. على هذا النحو ، سوف يساعد التمرين في بدء وتسهيل الاتصال بين اثنين من الموظفين أو الإدارات.
  • الامتثال للوائح. اعتمادًا على الصناعة التي تعمل فيها ، قد يُطلب منك قانونًا تحديد مخاطر الأمن السيبراني أو إجراء تقييم لمخاطر الإنترنت. على سبيل المثال ، يتطلب قانون قابلية التأمين الصحي والمساءلة (HIPAA) من المستشفيات والكيانات الأخرى المشمولة القيام بذلك. يجب أن تلتزم الشركات الأخرى بمتطلبات PCI-DSS ، فضلاً عن القوانين المحلية والولائية والاتحادية.
  • الحصول على التأمين الإلكتروني. هل تعلم أن شركتين من أصل ثلاثة أعمال تعتقدان أنهما سوف يغلقان متجرًا أو سيغلقان نشاطهما التجاري إذا تعرض لهما قرصان أو يعانيان من خرق البيانات؟ الحصول على التأمين يمكن أن تساعد. “تمامًا مثل الصحة وأشكال التأمين الأخرى ، سيضمن وجود التأمين على الإنترنت أنك لا تواجه صعوبات مالية في حالة فشل أنظمة الأمن السيبراني وتعرضك لانتهاك البيانات” ، يشرح غافيرنيني.
اقرأ أيضا:  الخط الفاصل بين ChatGPT و Bing Chat غير واضح

كيف يمكنك قياس مخاطر الأمن السيبراني؟

لا يكفي أن نقول فقط ، “لم يكن لدينا أي خروقات في البيانات في العام الماضي ، وبالتالي فإن استثماراتنا للأمن السيبراني تعمل”.

والخبر السار هو أن هناك العديد من الطرق لتقدير مخاطر الأمن السيبراني ، مثل إجراء تقييمات داخلية أو عمليات تدقيق طرف ثالث ، واختبارات الاختراق ، وأكثر من ذلك.

كيفية القيام بالتقييمات الداخلية

ليس من السهل تقدير حجم مخاطر الأمن السيبراني ، ولكن ليس من المستحيل القيام به. كل ما تحتاجه هو اختيار إطار أمان موثوق به يمكنك أن تبني عليه تقييمات المخاطر الخاصة بك.

تعتبر إرشادات المعهد الوطني للمعايير والتكنولوجيا بداية جيدة.

ابدأ بمراجعة البيانات

ستحتاج دائمًا إلى البدء بمراجعة البيانات ، والتي ستمنحك رؤية واضحة للمعلومات التي تجمعها شركتك ومخازنها. ستعرف أيضًا كيف تقوم بتوثيق وحماية البيانات التي تجمعها. أخيرًا ، يجب أن تعرف المدة التي تحتفظ بها بالبيانات وما تفعله عندما لا تعود مفيدة لك.

تحديد المعلمات

يجب أن تعرف دائمًا ما تحاول تحقيقه قبل البدء في تحديد مخاطر الأمان السيبراني. على سبيل المثال ، يجب أن يكون الغرض من التقييم ونطاقه واضحين. يجب عليك أيضًا معرفة ما إذا كان لديك أولويات أو قيود قد تؤثر على التقييم. يجب عليك أيضًا تحديد الأشخاص الرئيسيين الذين يجب أن يشاركوا في العملية.

تحديد مصادر التهديد

يجب أن تعرف من أين ستأتي ثغرات الأمن السيبراني المحتملة. يمكن أن يكون الموظفون ، المطلعون ، المتسللون ، والأفراد الآخرون. يمكن أن يكون كيانًا أجنبيًا أو جهات خارجية أخرى. أو قد يكون منافسيك يتجسسون عليك. لديك أيضًا تهديدات غير عدائية ، مثل المستخدمين العاديين للأنظمة أو موقع الويب الخاص بك.

معرفة أحداث التهديد

ستمنحك الأطر المختلفة ، مثل NIST ، شرحًا أكثر شمولًا عن ماهية أحداث التهديد وكيف يتم تنفيذها وكيفية إيقافها. على سبيل المثال ، يسرد NIST بعض التهديدات الأكثر شيوعًا ، مثل الوصول غير المصرح به والتهديدات من الداخل وتسريبات البيانات وفقدان البيانات وتعطيل عملياتك. يجب أن تعرف أيضًا نقاط الضعف الموجودة في نظامك وكيف يتم استغلالها.

تحديد مدى احتمال حدوث هذه الأحداث

بعد تحديد التهديدات وجمع معلومات أخرى ، يجب أن تكون قادرًا على تحديد مدى احتمال حدوث هجوم معين.

اقرأ أيضا:  ما هو وقت الشاشة؟

التعرف على التأثير المحتمل

شيء آخر يجب أن تعرفه هو التأثير المحتمل للهجوم.

كل هذه المعلومات سوف تساعدك على تحديد مخاطر الأمن السيبراني الخاص بك. على هذا النحو ، فإن خطر الأمن السيبراني الخاص بك هو مزيج من مدى احتمال حدوث الحدث والخسائر المحتملة التي قد تتكبدها في حالة حدوثها.

من الذي يجب أن يحدد حجم مخاطر الأمن السيبراني؟

على الرغم من أن الجميع يجب أن يكونوا على متن الطائرة عندما يتعلق الأمر بهذا التمرين ، إلا أنه في النهاية يقع على عاتق فريق أو فرد الذي سينفذ المهمة بالفعل. يجب أن يكون لدى الفريق المسؤول أو الفرد فهم شامل لكيفية عمل الشبكة والبنية التحتية الرقمية.

يجب أن يكون لديه فهم شديد لكيفية تدفق المعلومات من إدارة إلى أخرى ، وحتى المعلومات الأخرى من الجانب التجاري للأشياء التي قد تكون مفيدة للتقييمات.

ومع ذلك ، إذا لم يكن لديك الموظفين لذلك ، يمكنك دائمًا الاستعانة بمصادر خارجية. هناك شركات وأفراد يمكنهم تقديم تقييمات مخاطر الإنترنت لك. قال ذلك ، يجب أن تسأل عن التوصيات. يمكنك التحقق من أقرانهم والشركات الأخرى التي عينت مستشارًا أو شركة لنفس الغرض.

بمجرد تحديدك بالفعل لبعض العملاء المتوقعين ، يجب عليك دائمًا التدقيق في شركة أو مستشار محتمل. تحقق من الاستعراضات عبر الإنترنت أو الحصول على تعليقات من العملاء السابقين. يمكنك الحصول على فكرة عن كيفية عملهم بدقة وكفاءتهم المهنية وأخلاقيات عملهم وكفاءتهم. باختصار ، ستعرف أي منهم يقوم بعمل رائع حقًا وأي منهم يحاول فقط إكمال التقرير ثم يحلبك من إيراداتك التي تحققت بشق الأنفس.

أخيرًا ، اطلب عرض أسعار. هذا سيساعدك على التخلص من الأسعار والتكاليف. سيساعدك ذلك أيضًا على معرفة نطاق العمل الذي سيقومون به.

المشاكل والقيود

هذه الخيارات لها حدودها وعيوبها. فهي كثيفة الاستخدام للموارد. قد لا تكون قادرًا على تكريس فريق تقنية المعلومات لديك أو استئجار شركة لمراجعة أمانك السيبراني من خلال التدفق النقدي المتاح لديك.

أكثر من ذلك ، هذه الخيارات جيدة فقط لفترة زمنية محددة. قد يكون برنامج مكافحة الفيروسات الخاص بك قادرًا على صد رسالة بريد إلكتروني مصابة أثناء إجراء الاختبارات ، لكن هذا لا يضمن أنه سيكون قادرًا على اعتراض كل شيء في المستقبل.

اختبارات الاختراق والتدقيق الداخلي والجهات الخارجية هي أيضا ذاتية للغاية. غالبًا ما ينتجون مقاييس تقنية قد يتعذر على صاحب العمل فهمها.

إجمالاً ، السيناريو الذي تراه معظم الشركات الصغيرة هو: أنها تحتاج إلى اتخاذ قرار اليوم ، لكنها لا تستطيع الاعتماد على الاختبارات التي أجريت خلال الربع الأخير. إنهم بحاجة إلى إجراء تدقيق آخر ، لكن آخر عملية استغرقت أكثر من شهر وأن تكون صادقة ، كانت مكلفة للغاية. على هذا النحو ، بالنسبة لمعظم الشركات الصغيرة التي تختار القيام بهذه العمليات لتحديد مخاطر الأمن السيبراني الخاصة بها ، فإنه يشكل تحديًا على الأقل.

تحديد مخاطر الأمن السيبراني: ليس سهلاً ولكنه ضروري

كل شيء يستحق القيام به سيستغرق الكثير من العمل. والخبر السار هو أن عملية تحديد مخاطر الأمن السيبراني هي واحدة من تلك الأشياء. التي يصبح الأمر بها أسهل في الوقت المناسب ، ولكن في المرة الأولى التي تقوم فيها بذلك ، سيتطلب ذلك الكثير من الجهد.

هناك فوائد لجعله يستحق كل هذا العناء. يساعدك في الحصول على عرض كامل لمخاطر تكنولوجيا المعلومات والدفع الخاصة بك ، كما أنه يساعد في توفير المال على المدى الطويل. ليس عليك حتى الانتظار ، حيث يمكنك استخدام الرؤى التي تحصل عليها من تحديد مخاطر الأمان السيبراني لمساعدتك على تخصيص ميزانية أمان تكنولوجيا المعلومات لديك بشكل أكثر كفاءة.

قد يعجبك ايضا