خطوات تكشف أبرز المخاطر السيبرانية التي قد تتعرض لها شركتك

خطوات تكشف لك أهم المخاطر السيبرانية التي قد تتعرض لها شركتك

الخطوة

التوضيح

1- توسيع نطاق القياس

- تركز معظم الشركات عادة على جانب واحد من جوانب الأمن السيبراني والتي تستطيع التعامل معه مثل حماية بيانات بطاقات الائتمان الخاصة بعملائها أو التركيز بشكل كبير على توفير خدمات تكنولوجيا المعلومات بحيث لا تتبقى موارد بعد ذلك لتطبيق خطة إدارة المخاطر السيبرانية.

- تحتاج الشركات إلى قياس كل جانب من جوانب الأمن السيبراني وليس جانب واحد فقط بما في ذلك الأشخاص والعملية والإدارة والتكنولوجيا، بالإضافة إلى جميع الأصول الرقمية التي تشمل بيانات العملاء والرواتب والأسرار التجارية، إلى جانب قياس جميع جوانب الأمن السيبراني في كل أقسام الشركة.

2- مشاركة الموظفين

- من أجل نجاح خطة إدارة المخاطر السيبرانية تحتاج الشركات إلى مشاركة الموظفين بها، وذلك من خلال إجراء مقابلات معهم واستبيانات من أجل التوصل إلى إجابات تساعد في تحسين خطة إدارة المخاطر السيبرانية.

- من المهم ألا توصل الشركة لفريقها شعورًا بأن الهدف من هذه العملية محاسبة المخطئين، وإنما جمع المعلومات لتحسين العملية.
 

3- إجراء مقابلات مع كبار الموظفين

- من المهم إجراء مقابلات مع المديرين وكبار الموظفين الآخرين في أقسام الموارد البشرية والعمليات وتكنولوجيا المعلومات، لأن أولئك يكونون على علم تام بالممارسات التي تحدث في الخطوط الأمامية للشركة وتشكل خطرًا على الأمن السيبراني.
 

4- إعداد الاستبيان
 

- يجب أن يشتمل الاستبيان الموجه للموظفين على خمسة أسئلة: كيف يمكن تحديد الأصول الرقمية والمخاطر السيبرانية؟، كيف يمكن حماية الأصول من هذه المخاطر؟، كيف يمكن اكتشاف اختراقات الأمن السيبراني؟، كيف يمكنك الاستجابة والتعامل مع هذه الاختراقات؟، وما مدى نجاح الشركة في التعافي من أضرار هذه الاختراقات؟.

- يجب ان يبدأ كل سؤال من الأسئلة بجملة "ما مدى قدرة الشركة على ..؟" وسوف يحدد الخبراء درجات الإجابات وفقًا لمقياس يتراوح بين 0 إلى 10، وتعكس الدرجات التالي:

- تعبر النقاط من 0-4 عن انعدام الأمن السيبراني إلى توافر بعض الأمن.
 

- تعبر النقاط من 5-8 عن توافر الحد الأدنى من الأمن إلى توافر درجة الأمن المثالية.

- تعبر النقاط من 9-10 عن الإفراط في الأمن لدرجة كبيرة بما يمثل إهدار للوقت والجهد والأموال.
 

5- تحديد الدرجات المستهدفة

- تتمثل هذه الخطوة في تحديد الدرجات المستهدفة من كل سؤال من الأسئلة الخمسة الخاصة بالاستبيان، فقد ترغب الشركة في تحقيق نقاط تتراوح بين 5-8 في كل الجوانب إلا أن عليها في النهاية تحديد الأولويات وفقًا لمواردها.
 

6- إجراء المقابلات

- من المهم إجراء مقابلات مع أشخاص من خارج الشركة ومنحهم استبيان مطبوع تكون الإجابة على أسئلته بنقاط محددة حتى يسهل الإجابة عليه، بحيث تكون مدة المقابلة أقل من ساعة لكل شخص، وإذا ما قام الأشخاص بتقديم أسباب لمنحهم نقاط محددة على أسئلة ما يجب التأكد من جمع هذه الإجابات.

- إذا كان من بين الأشخاص الذين تجري الشركة معهم المقابلة أشخاص يقولون إنهم لا يعرفون شيئًا عن الأمن السيبراني، يجب تذكيرهم بأنهم خبراء في مجالهم، وأن الشركة تريد جمع درجاتهم على كل سؤال حتى وإن كان ذلك مبني على تصورهم أو معلومات جزئية فقط.
 

7- وضع متوسط الدرجات

- الخطوة التالية بعد إجراء المقابلات وتسجيل النقاط لكل سؤال تتمثل في تحديد متوسط الدرجات ومقارنتها بالدرجات المستهدفة، وتستهدف هذه العملية تحليل الفجوة بين متوسط الدرجات والنقاط المستهدفة لكل هدف من الأهداف الخمسة للاستبيان، ومن ثم تحديد أهم مخاطر الأمن السيبراني وتحديد الأولوية التي يجب التعامل معها.
 

8- فحص المعلومات وتحديد أهم المخاطر السيبرانية

- من المهم فحص المعلومات التي تم التوصل إليها جيدًا والعمل على أساسها لعلاج المخاطر السيبرانية، إذ أن أداء معظم الشركات يكون قويًا في نقطة الحماية لكنه يكون ضعيفًا في الجانب الخاص بالكشف عن الاختراقات.

- كما تُظهر معظم الشركات أداءً ضعيفًا في الجانب الخاص بالتعافي من أضرار الاختراقات السيبرانية، لأن معظم الشركات ليست معتادة على مواجهة الاختراقات التي يتم الكشف عنها أمام الجمهور وبالتالي لم تطور هذه الشركات طريقة لتفسير أسباب فشل تقنياتها للجمهور، لذلك من المهم أن تفحص الشركات نتائج استبيانها بدقة وتحدد ما الذي يجب أن تفعله حيال ذلك.