بطاقة الأداء المتوازن للأمن السيبراني: دليل كيفية الاستخدام مع أمثلة لمؤشرات الأداء الرئيسية

مثال على بطاقة أداء استراتيجية مع مؤشرات الأداء التي تعالج الاتجاهات الناشئة في الأمن السيبراني.

المبادئ التوجيهية لخريطة استراتيجية الأمن السيبراني. المصدر: بطاقة أداء أمان البيانات.

المواضيع الرئيسية للمقال:

نقطة البداية: دراسات أمن البيانات

الدراسات المنتظمة حول أمن البيانات وحماية البيانات تقدم لنا فكرة جيدة عن السبب الجذري لانتهاكات البيانات وطرق الوقاية منها. في هذا المقال، سنناقش مثالًا حول كيفية دمج هذه النتائج في استراتيجية شاملة للأمن السيبراني يمكن قياسها بواسطة مؤشرات الأداء الرئيسية (KPIs).

إليكم التقارير التي سنستخدمها كمرجع:

• تقرير تكلفة خرق البيانات من IBM¹ مع الدراسات التي أجرتها مؤسسة بونيمون هو أحد المعايير في عالم أمن تكنولوجيا المعلومات.
• تقرير تحقيقات خرق البيانات من فيريزون² يضيف منظورًا مختلفًا حول مخاطر الأمن السيبراني وطرق معالجتها.
• استبيان الأمن المعلوماتي العالمي من EY³ يشارك أفضل الممارسات التي تطبقها المؤسسات لمعالجة مخاطر أمن البيانات.
• تقرير FireEye M-TRENDS⁴ يسلط الضوء على تهديدات أمن البيانات وتطورها مع مرور الوقت.

المصطلحات: الأمن السيبراني، أمن البيانات، حماية البيانات، خصوصية البيانات

لنبدأ بمناقشة الفرق بين مصطلحات أمن البيانات/المعلومات وحماية البيانات (خصوصية البيانات).

• أمن البيانات/المعلومات يتعلق بالحفاظ على بنية آمنة لإدارة البيانات. فكر في النسخ الاحتياطي المنتظم، وتحديث برامج الأمان، وحقوق الوصول، وتنفيذ برامج DLP، وغيرها.
• حماية البيانات تتعلق بالاستخدام الأخلاقي والقانوني للبيانات – الحصول على الموافقة والالتزام بالالتزامات التنظيمية.

هذا الفرق مهم. على سبيل المثال، في حالة فيسبوك-كامبريدج أناليتيكا، تم إدارة البيانات بأمان (تم تشفيرها وتخزينها على خادم آمن)، ولكنها لم تُدار بمسؤولية وفقًا للوائح حماية البيانات.

يستخدم مصطلح حماية البيانات بشكل رئيسي في أوروبا وآسيا، بينما في الولايات المتحدة يُطلق على نفس المفهوم خصوصية البيانات. شاركت فرانسواز جيلبرت تفسيراً جيداً للفروق في مدونتها.

أخيرًا، من المفترض أن يغطي مصطلح الأمن السيبراني مجموعة أوسع من الأفكار، بما في ذلك ليس فقط أمن البيانات ولكن أنظمة الأمان الأخرى. في الممارسة العملية، غالبًا ما يستخدم بالتبادل مع مصطلح أمن البيانات.

لماذا نحتاج إلى مؤشرات الأداء الرئيسية للأمن السيبراني والاستراتيجية؟

بما يتجاوز الأفكار الواضحة، مثل معرفة كيفية أداء مؤسستك وفهم الاتجاه الذي يجب التحرك نحوه، أود أن أذكر هذه الأسباب:

• القدرة على دعم الحجج ببعض البيانات عند تقديم حلول أمنية جديدة إلى أصحاب المصلحة.
• يساعد وجود سياق عمل مصاغ على مواءمة مبادرات الأمن السيبراني مع أجزاء أخرى من الاستراتيجية، على سبيل المثال، مع بطاقة الأداء الخاصة بالمواهب، بطاقة الأداء لتكنولوجيا المعلومات، أو بطاقة الأداء لحوكمة الشركات.
• تحويل بعض الأفكار الغامضة مثل “بيئة عمل آمنة للغاية تعتمد على أحدث تقنيات تكنولوجيا المعلومات” إلى شيء أكثر ملموسية مع مؤشرات أداء محددة.

كيفية قياس شيء لم يحدث بعد

قد يبدو أن أمن البيانات هو شيء غير ملموس ويصعب قياسه وتقديره، حيث لا نعرف مسبقًا ما نوع اختراق البيانات الذي ستواجهه المؤسسة. تشارك الدراسات التجريبية المذكورة في البداية (انظر، على سبيل المثال، تقرير IBM Security) وجهة نظر مختلفة.

معظم اختراقات البيانات تحدث بسبب عوامل معروفة مثل:

• بيانات الاعتماد المخترقة (19%)
• التصيد الاحتيالي (14%)
• سوء تكوين السحابة (19%)

هذا يعطينا فكرة عن أين يجب أن تركز جهود الأمن السيبراني.

بينما لا يمكننا منع جميع اختراقات البيانات، تُظهر البيانات أننا نستطيع تقليل تأثيرها على المنظمة عبر:

• تنفيذ أتمتة الأمن،
• وجود فريق استجابة وخطة استجابة جاهزة،
• تثقيف الموظفين، و
• اختبار بيئة العمل باستخدام أساليب مثل اختبار الفريق الأحمر.

بالنسبة لأهم الوظائف والأصول التجارية، سنحدد نقطة الاستعادة وأهداف وقت الاستعادة، والتي يمكن صياغتها في بطاقة الأداء لاستعادة الكوارث ومواءمتها مع بطاقة أداء الأمن السيبراني.

ما هي أطر العمل التجارية المطبقة لأمان البيانات؟

قبل ذلك، ناقشنا مختلف أطر العمل التجارية التي تساعد المنظمات في توضيح وتنفيذ استراتيجياتها. ما هي الأطر المطبقة في مجال الأمن السيبراني؟

للحصول على أفضل النتائج، نحتاج إلى دمج مختلف الأطر:

• سنستخدم تحليل PESTEL للكشف عن وتحليل العوامل الجديدة للبيئة الخارجية (انظر الأهداف من منظور التعلم والنمو). يمكن أن تكون هذه التغييرات في التشريعات، مثل قوانين حماية البيانات، أو التغييرات المدمرة التي رأيناها بعد كوفيد-19، على سبيل المثال، اتجاه العمل عن بُعد.
• سنتحدث كثيرًا عن التركيز على جهود الاستجابة. في هذا السياق، ستساعد مختلف أطر الأولويات.
• عند العمل على استراتيجية أمان البيانات، نحتاج إلى أخذ في الاعتبار الإجراءات المطلوبة اليوم، في المستقبل القريب، وبعض المبادرات للمستقبل البعيد. في هذا السياق، سيساعد إطار العمل ثلاثي الآفاق في إجراء مناقشات منضبطة.
• لتحويل كل تلك الأفكار المنفصلة إلى استراتيجية متماسكة، سنستخدم إطار بطاقة الأداء المتوازن.

دعونا نستخدم أطر العمل التجارية المذكورة وتقارير البحث المشار إليها في البداية لإنشاء مثال على استراتيجية أمان البيانات.

المنظور المالي. تقدير التأثير المالي لأمن البيانات

مؤشرات الأداء المالي (KPI) لأمن البيانات ضرورية عند تقديم المبادرات الأمنية إلى أصحاب المصلحة. تبدو العرض أكثر إثارة للإعجاب عند توفير معايير الصناعة ذات الصلة.

تقرير فيرايزون، وكذلك تقرير آي بي إم (الذي أجراه معهد بونيمون)، يشاركان بعض الرؤى في هذا السياق. في بعض الأحيان، تكون البيانات متناقضة. على سبيل المثال، ستجد أن تكاليف اختراق البيانات لكل سجل تتفاوت بشكل كبير. تقرير آي بي إم يعطي نطاقًا من 150 دولارًا إلى 175 دولارًا، بينما وفقًا لتقرير فيرايزون (راجع تقرير تحقيقات اختراق البيانات، 2015)، فهي حوالي 0.58 دولارًا. شارك كين سبينر بعض التفسيرات حول الموضوع في TeachBeacon.

الهدف من تقليل التأثير المالي المحتمل لاختراقات البيانات يتم تقسيمه إلى مؤشرات متأخرة محددة. المصدر: بطاقة أداء أمن البيانات.

كيف يمكنك تقدير تكاليف اختراق البيانات في حالة مؤسستك؟

يمكن أن يكون ذلك بناءً على التكاليف المباشرة وغير المباشرة:

• التكاليف المباشرة تشمل تكاليف التحليل الجنائي والغرامات والتعويضات للعملاء.
• التكاليف غير المباشرة تشير إلى فقدان العملاء الحاليين والمحتملين والموظفين والشركاء الذي حدث بسبب اختراق البيانات.

على بطاقة أداء أمن البيانات، يمكننا أخذ بعض المعايير من دراسات بونيمون أو فيرايزون لمقياس تكلفة اختراق البيانات لكل سجل وضربها في عدد السجلات المعرضة للخطر.

لإجراء الحسابات، سنحتاج إلى بعض البيانات التجارية الأساسية:

• LTV (قيمة حياة العميل)
• تقدير معدل فقدان العملاء بسبب اختراق البيانات
• عدد العملاء
• عدد السجلات المعرضة للخطر
• العملاء المحتملون المفقودون

يتم حساب القيمة لمؤشر 'تكلفة اختراق البيانات' باستخدام قيم مؤشرين آخرين. المصدر: بطاقة أداء أمن البيانات.

على التوالي، يمكن حساب التأثير المباشر لاختراق البيانات على النحو التالي:

• تكاليف اختراق البيانات (التكاليف المباشرة) = تكلفة اختراق البيانات لكل سجل * عدد السجلات المعرضة للخطر

أما بالنسبة للتكاليف غير المباشرة، فيمكن تحديدها من خلال استخدام معدل فقدان العملاء بسبب اختراق البيانات وLTV:

• تكلفة فقدان العملاء = [عدد العملاء]*[LTV]*[معدل فقدان العملاء بسبب اختراق البيانات]/100

بالإضافة إلى ذلك، يمكنك تقدير عدد العملاء المحتملين الذين لم يوقعوا العقد.

• تكلفة الفرصة الضائعة = [العملاء المحتملون المفقودون] * [LTV]

منظور الزبون. قياس مخاطر الأمان.

بالنسبة لمنظور الزبون، الهدف الرئيسي يتمثل في:

• تخفيف مخاطر أمان البيانات وحماية البيانات

الهدف العام للزبون يتمثل في 'تخفيف مخاطر أمان البيانات'. يتم قياس نتائجه بواسطة فهرس 'المخاطر الموزونة'. المصدر: بطاقة أداء أمان البيانات.

يتم تحديد ذلك بواسطة هذه المؤشرات:

• مؤشر رائد الكشف المبكر والاستجابة السريعة لمخاطر البيانات وهو ناتج الأهداف من المنظور الداخلي
• مؤشر رائد جاهزية حماية البيانات
• مؤشر متأخر فهرس المخاطر الموزونة

المنطق هنا هو أن المنظمة تعمل على أنظمة الأمان الداخلية (يتم قياسها بواسطة الكشف المبكر والاستجابة السريعة لمخاطر البيانات) وتقدم التدابير الضرورية لحماية البيانات (يتم قياسها بواسطة جاهزية حماية البيانات) لتخفيف مخاطر أمان البيانات بشكل أفضل كما يتم قياسها بواسطة فهرس المخاطر الموزونة.

• عند بناء استراتيجية أمان البيانات، تأكد من أن فريقك يفهم الفرق بين المقاييس لعوامل النجاح (المقاييس الرائدة) والمقاييس للنتائج المتوقعة (المقاييس المتأخرة).

دعونا نناقش المؤشرات من منظور الزبون بالتفصيل.

فهرس المخاطرة الموزونة

الهدف من هذا المؤشر هو قياس مستوى المخاطرة الحالي الذي تتعامل معه المنظمة. للقيام بذلك، سنقوم بقياس عدد الاختراقات الأمنية للبيانات المصنفة حسب مستوى التأثير:

• أحداث المخاطرة الحرجة، وزن 70%
• أحداث المخاطرة المهمة، وزن 20%
• أحداث المخاطرة المتوسطة المستوى، وزن 7%
• أحداث المخاطرة المنخفضة المستوى، وزن 3%

كما ترى، تم تطبيق مقياس وزن غير خطي. مع هذا النموذج، تتمتع الاختراقات الحرجة للبيانات بأعلى تأثير على مقياس الفهرس، بينما يكون للأحداث ذات المستوى المنخفض تأثير قليل.

يأخذ فهرس المخاطرة الموزونة في الاعتبار أحداث المخاطرة بمستويات مختلفة - من أحداث المخاطرة الحرجة (الأعلى وزنًا) إلى أحداث المخاطرة ذات المستوى المنخفض (الأقل وزنًا). المصدر: بطاقة أداء أمان البيانات.

هذه الطريقة تعالج مشكلة التلاعب بنظام القياس عندما يتم نقل مؤشر التحكم إلى المنطقة الخضراء من خلال حل القضايا الأقل أهمية. ومع ذلك، نحتاج إلى التأكد من تصنيف أحداث المخاطرة بشكل صحيح.

إذا كنت مهتمًا بمعرفة المزيد عن حساب مؤشرات الفهرس وأخذ وزن المؤشرات في الاعتبار، فالرجاء الاطلاع على المقالة ذات الصلة على موقعنا الإلكتروني.

قياس حماية البيانات أو خصوصية البيانات

كما تم توضيحه سابقًا، فإن حماية البيانات تتعلق بالاستخدام الأخلاقي والقانوني للمعلومات الشخصية المحددة (PII) والبيانات المشابهة.

تُوضَح تدابير الحماية، في هذه الحالة، بواسطة التشريعات المعمول بها. في أوروبا، هو النظام العام لحماية البيانات (GDPR)؛ وفي الولايات المتحدة، هناك قوانين مختلفة حسب مجال العمل، مثل CCPA، HIPPA، PCI DSS، GLBA.

مثال على مؤشر ثنائي (الحالات الممكنة هي 'نعم' أو 'لا' - عندما تكون القيمة 'نعم' يكون أداء هذا المؤشر 100%، وإلا يكون 0%. المصدر: بطاقة أداء أمان البيانات.

إذا أخذنا GDPR كمثال، من وجهة نظر القياس، يمكن تتبع حماية البيانات بواسطة مؤشر فهرسي، جاهزية حماية البيانات، الذي يُحسب باستخدام مقاييس مثل:

• تعيين مسؤول حماية البيانات
• تتبع الموافقة الصريحة
• إجراءات الإبلاغ عن خرق البيانات
• تنفيذ حق الوصول، التصحيح، المسح
• حق نقل البيانات

يمكن تفصيل هذه المؤشرات بشكل أكبر إلى الحالات الأكثر تحديدًا التي تنطبق على المنظمة، ومنتجاتها وخدماتها.

لـ ضمان الامتثال التنظيمي، يجب مراجعة هذه المؤشرات، بالإضافة إلى المتطلبات القانونية، بانتظام. يمكن أتمتة ذلك بواسطة وظيفة فترة التحديث للمؤشر المعني. انظر قسم الأتمتة أدناه للحصول على أمثلة أكثر تحديدًا.

المنظور الداخلي. كيفية التخفيف من مخاطر أمن البيانات

لإيجاد الأهداف ومؤشرات الأداء للمنظور الداخلي، نحتاج إلى إجراء تحليل الأسباب الجذرية والنظر في نقاط المخاطر/التكلفة المكتشفة.

ستعتمد النتائج على نطاق العمل وأنظمة الأعمال الخاصة بمنظمة معينة. ومع ذلك، هناك بعض الاتجاهات المشتركة التي تم تسليط الضوء عليها في التقارير من قبل IBM Security وVerizon. سنستخدم تلك النتائج لصياغة الأهداف ومؤشرات الأداء للمنظور الداخلي لبطاقة الأداء.

محركات استراتيجية الأمن السيبراني. الهدف 'الكشف المبكر' مدعوم بهدفين فرعيين - 'تطوير خطة لتخفيف المخاطر' و'تقليل تعقيد تكنولوجيا المعلومات' - جميعها بأدوات الأداء والمبادرات الخاصة بها. المصدر: بطاقة أداء أمن البيانات.

الاكتشاف المبكر والاستجابة السريعة لمخاطر البيانات

إذا حدث اختراق للبيانات، فإن الاستجابة السريعة من حيث الكشف والاستجابة ستقلل بشكل كبير من التكاليف.

في بطاقة الأداء، يتم قياس ذلك من خلال مؤشرين متأخرين:

• متوسط الوقت للكشف
• متوسط الوقت للاستجابة

المؤشرات المتأخرة تقيس ما حدث بالفعل. كيف يمكن للمؤسسة التأثير على هذه المؤشرات؟ تقترح التقارير نفسها بعض الإجراءات التي تؤدي عادةً إلى استجابة أفضل لأمن البيانات.

مثال على عامل النجاح - 'تشكيل فريق استجابة للحوادث' هو عامل نجاح في تقليل تأثير الاختراقات. المصدر: بطاقة أداء أمن البيانات.

في قالب بطاقة الأداء، ستجد سجلين متوائمين مع هدف الاكتشاف المبكر والاستجابة السريعة:

• تم تشكيل فرق استجابة للحوادث. تم تحديد هذا السجل كعامل نجاح. وفقًا لتقرير IBM Security، فإنه يعد أحد الأسباب الجذرية لتقليل تأثيرات اختراق البيانات.
• الكشف عن الوصول إلى البيانات عالية المخاطر. مع هذه المبادرة، يمكن لفريقك أن يُعطي الأولوية لجهودهم وفقًا لتأثير أنواع معينة من الوصول إلى البيانات. إذا كنت تبحث عن نهج أكثر نظامية للأولويات، فاطلع على المقالة حول أطر عمل الأولويات.

هناك مؤشرين رائدين إضافيين في سياق هدف الاكتشاف المبكر والاستجابة السريعة. كلاهما يعتمد على نتائج تقارير أمن البيانات المذكورة أعلاه:

• تطوير خطة لتخفيف المخاطر
• تقليل تعقيدات تكنولوجيا المعلومات

دعونا نناقشهم بالتفصيل.

تطوير خطة لتخفيف المخاطر

امتلاك خطة لتخفيف المخاطر هو عامل نجاح للاستجابة السريعة لانتهاكات البيانات.

كيف يمكننا التأكد من أن الخطة الحالية لأمن البيانات جيدة؟

يجب أن تكون مبنية على نموذج مخاطر محدث يعكس الطريقة التي تدار بها البيانات في المنظمة. في بطاقة الأداء الاستراتيجية، يتم قياس ذلك من خلال عمليات تدقيق أمان البيانات المنتظمة كمؤشر رائد يُشرح في مناظير التعلم والنمو.

كيف نعرف أن خطة الاستجابة للمخاطر المقترحة فعالة بالفعل؟

مع التحديثات المنتظمة لخطة المخاطر، يمكننا اختبار تطبيق الخطة المطورة في الممارسة. يتم قياس ذلك من خلال المؤشر المتأخر، اختبار استجابة الحوادث.

تقليل تعقيد تكنولوجيا المعلومات والبيانات

تسمي الدراسات التجريبية عدة عوامل أخرى تساعد في تصغير تكاليف خرق البيانات، مثل:

• تعقيد بنية تكنولوجيا المعلومات
• تعقيد مخطط البيانات
• الأتمتة

على خريطة الاستراتيجية، قمنا بصياغة هذه العوامل ضمن هدف تقليل تعقيد تكنولوجيا المعلومات والبيانات.

تشرح الأهداف الفرعية كيفية تحقيق الهدف العام. المصدر: بطاقة أداء أمن البيانات.

في هذه الحالة:

• تقليل تعقيدات البيانات وتكنولوجيا المعلومات هو مبرر للهدف
• تقييد الوصول إلى البيانات الأكثر قيمة هو أحد عوامل النجاح لتقليل تعقيد الحلول المطلوبة لتكنولوجيا المعلومات
• أتمتة اختبار الثغرات والامتثال هو مبادرة واسعة لأتمتة تكنولوجيا المعلومات في الأمن

وأخيرًا، إذا تم تسمية تقليل التعقيد كأحد عوامل استجابة أفضل لخرق البيانات، كيف يمكننا قياسها؟

الإجابة فردية وتعتمد على مشهد تكنولوجيا المعلومات في مؤسستك. لهذه البطاقة، هناك مثال على مؤشر تعقيد أمن البيانات الذي يتكون من مؤشرات مثل:

• عدد المستخدمين الذين لديهم أعلى مستوى وصول. وظيفة التحسين لهذا المؤشر تم ضبطها على “تصغير خطي”، حيث أن تقليل عدد المستخدمين الذين لديهم وصول إلى البيانات الحساسة سيحسن الأداء العام للمؤشر.
• الوقت اللازم لتعطيل بيانات اعتماد تسجيل الدخول. 7٪ من خروقات البيانات سببها الأساسي هو شخص داخلي خبيث. تعطيل بيانات اعتماد تسجيل الدخول بسرعة هو أحد تدابير الأمن لتكنولوجيا المعلومات التي يمكن أن تقلل هذه النسبة. الفاصل الزمني المقبول، في هذه الحالة، قصير جدًا. لتعكس هذه الفكرة في بطاقة الأداء، وظيفة التحسين لهذا المؤشر هي انحلال أسي.

تم ضبط وظيفة الأداء لهذا المؤشر على 'انحلال أسي'. كما يظهر على مخطط القياس، المنطقة الخضراء لهذا المقياس صغيرة نسبيًا، مما يعني أن الوقت المقبول لتعطيل بيانات اعتماد المنطق هو بضع ساعات، وليس أيام. المصدر: بطاقة أداء أمن البيانات.

• % من البيانات الحساسة التي تسيطر عليها برمجيات منع فقدان البيانات (DLP). حلول منع فقدان البيانات هي إحدى الطرق لأتمتة أمن تكنولوجيا المعلومات. طالما تتعامل المؤسسات مع بيانات جديدة، من المهم مراجعة نماذج البيانات بانتظام للتأكد من أن البيانات الحساسة يمكن الوصول إليها بواسطة أدوات DLP (منع فقدان البيانات).
• تشفير البيانات والنسخ الاحتياطي مؤتمت. مشابه للمؤشر السابق، نحن مهتمون بالحصول على نموذج بيانات محدث والتأكد من أن البيانات الحساسة تدار بشكل صحيح.
• % من برامج الأمان المحدثة. يبدو هذا المقياس بسيطًا، لكن الدراسات تقول قصة مختلفة. السبب الجذري لـ 16٪ من خروقات البيانات هو الضعف في برامج طرف ثالث. يقوم بائعو البرامج بانتظام بإصدار تحديثات تصحح الثغرات. تثبيت أحدث التحديثات هو أحد عوامل النجاح في تقليل المخاطر الأمنية.
• تغطية الأتمتة، % المؤشر يقارن مستوى الأتمتة الممكن مع المستوى الحالي للأتمتة. الأتمتة العالية تقلل من تأثير العوامل البشرية وتقلل من التعقيد لأصحاب المصلحة.

مثال على كيفية قياس التعقيد بمؤشر على شكل فهرس، حيث تساهم المؤشرات الفرعية في الفهرس بأوزان مختلفة. المصدر: بطاقة أداء أمن البيانات.

هذه مجرد أمثلة لبعض المقاييس التي يمكن أن تقيس التعقيد في حالة أمن البيانات. يجب أن تشمل مقاربة أكثر قوة للتعقيد تحليلًا أعمق لأصحاب المصلحة، واكتشاف نقاط التعقيد السيئة وصياغة استراتيجية لتقليل التعقيد. في المقالة السابقة، ناقشنا مقاييس التعقيد وطرق تطبيقها في الممارسة العملية.

منظور التعلم والنمو

في هذا المنظور، لدينا هدفان كبيران:

• التدقيقات المنتظمة لأمن البيانات هدف يساعد على التركيز على البنية التحتية المناسبة لأمن البيانات.
• تدريب الموظفين على أمن البيانات هدف يركز على تزويد فريقك بالمعرفة والمهارات الحديثة اللازمة لمنع خروقات البيانات أو تقليل تأثيرها.

محركات التعلم والبنية التحتية لاستراتيجية الأمن السيبراني - 'التدقيقات المنتظمة لأمن البيانات' و'تدريب الموظفين على أمن البيانات'. هدفان مهمان مصحوبان بمبادرات ومؤشرات رائدة ومتأخرة. المصدر: بطاقة أداء أمن البيانات.

لنلقِ نظرة على كيفية صياغة هذه الأهداف على خريطة الاستراتيجية.

عمليات تدقيق أمن البيانات المنتظمة

لدينا مبرر تحليل مخاطر الأمن السيبراني المتوائم مع الهدف. ما هي تلك المخاطر النموذجية للأمن السيبراني؟ في وصف المبرر، لدينا بعض الأمثلة:

• الهجمات السيبرانية
• برمجيات الفدية
• البرمجيات الخبيثة
• التهديدات الداخلية
• فقدان/سرقة بيانات الاعتماد
• الوصول غير المصرح به
• فقدان البيانات
• فساد البيانات

تم صياغة الحاجة لتحليل منتظم لمخاطر الأمن السيبراني كمبادرة. يظهر المؤشر المتوائم 'تحليل المخاطر المنتظم' التقدم الفعلي لهذه المبادرة. المصدر: Data Security Scorecard.

توجد فرضية، العمل عن بُعد يؤثر على أمن البيانات المتوائم مع الهدف. بالنسبة للعديد من المنظمات، كان العمل عن بُعد جزءًا من استراتيجية مكافحة الأزمات استجابة لكوفيد-19.

هناك مؤشرات رائدة:

• تحليل المخاطر المنتظم – تحليل عام للمخاطر الجديدة
• تقييم المخاطر المنتظمة للبيانات الحساسة – تحليل أكثر تحديدًا في سياق البيانات الحساسة

كلا المؤشرين مهيئين ليتم تحديثهما على أساس ربع سنوي.

تم تهيئة فاصل التحديث لـ 'تقييم المخاطر المنتظمة للبيانات الحساسة' إلى أرباع. سيتحكم البرنامج في أن المؤشر يتم تحديثه بانتظام ويتم تسجيل البيانات الجديدة في التواريخ المسموح بها من خلال فاصل التحديث (اليوم الأول من الربع في هذا التكوين). المصدر: Data Security Scorecard.

هناك عدة مقاييس تساعد في قياس جهود فريق الأمن في تحليل الوضع الحالي للمخاطر والتعلم منه:

• فحص الثغرات – عادةً ما يتم الفحص الآلي من قبل فريق تقنية المعلومات
• اختبار الاختراق (اختبار القلم) – محاكاة لهجوم سيبراني
• اختبار الفريق الأحمر – اختبار أمني على نطاق أوسع يشمل المزيد من المشاركين

تم تهيئة مؤشرات الأداء الرئيسية المختلفة لفواصل التحديث المختلفة:

• يمكن إجراء فحص الثغرات الآلي أسبوعيًا أو شهريًا.
• وفقًا لنموذج المخاطر، يمكن إجراء اختبار القلم ربع سنوي.
• أخيرًا، تم تهيئة المؤشر لاختبار الفريق الأحمر الأكثر استهلاكًا للموارد إلى فاصل تحديث نصف سنوي أو سنوي.

تم تصميم إجراءات تحليل المخاطر والاختبار للعثور على النقاط الضعيفة في نظام الأمان. كيف نعرف أن الدروس المستفادة من تلك المحاكاة والاختبارات قد تم تنفيذها بفعالية؟ للعثور على الإجابة على هذا السؤال، يمكننا تتبع:

• عدد اختراقات البيانات المتكررة كمؤشر.

إذا تكرر حدوث اختراق البيانات من نفس النوع، فهذه إشارة إلى أن خطة التخفيف من المخاطر التي اقترحها فريق الأمن ليست فعالة كما هو متوقع.

تدريب الموظفين على أمان البيانات

لا يزال العامل البشري أحد أعلى المخاطر في أي نظام أمان بيانات. وفقًا لتقرير IBM Security، يرتبط حوالي 36% من الاختراقات الضارة للبيانات بالسلوك البشري (التصيد الاحتيالي، الهندسة الاجتماعية، بيانات الاعتماد المخترقة).

كيف يمكن تصميم استراتيجية أمان البيانات لتخفيف تلك المخاطر بشكل فعال؟

أحد الحلول هو أتمتة بعض العمليات وتقليل دور المشغل البشري. يتماشى ذلك كثيرًا مع هدف تقليل التعقيد الذي ناقشناه في المنظور الداخلي.

قائمة المبادرات وحالاتها. المصدر: بطاقة أداء أمان البيانات.

بالنسبة لبقية الحالات التي لا تكون فيها الأتمتة ممكنة أو غير مجدية، فإن التعليم هو الحل. كيف يمكن تركيز الجهود التعليمية في سياق أمان البيانات؟ يمكننا استخدام مجموعة من المؤشرات الرائدة والمتأخرة!

• المؤشر الرائد: يمكن استخدام معدل انتشار تدريب أمان البيانات لتتبع مدى تغطية التدريب على وعي أمان البيانات، حيث يمكن للمشاركين التعرف، على سبيل المثال، على ممارسات التصيد الاحتيالي وطرق تجنبها.
• أفضل مؤشر متأخر، في هذه الحالة، يجب أن يركز على التأثير الملموس للتدريب على الوعي. إذا كان فهم ممارسات التصيد الاحتيالي أحد مواضيع التدريب، قم بإجراء اختبار التصيد وتحقق مما إذا كان الموظفون يستخدمون فعليًا ما تعلموه في التدريب. يمكن قياس ذلك على بطاقة الأداء باستخدام مؤشر نسبة نجاح اختبار التصيد.

إذا كان تعليم الموظفين حول أمان البيانات هو أولويتك الآن، يمكن لفريق الأمان الخاص بك تصميم بطاقة تقييم التدريب باستخدام نموذج مستويات كيركباتريك، كما تم مناقشته في هذه المقالة.

الأتمتة لبطاقة أداء أمن البيانات

ناقشنا مثالاً على بطاقة أداء الاستراتيجية التي تساعد في وصف وتنفيذ واستكمال استراتيجية أمن البيانات في مؤسستك.

هذه البطاقة متاحة كواحدة من القوالب المجانية في BSC Designer Online بحيث يمكنك التسجيل بحساب خطة مجانية والبدء في تخصيصها وفقًا لاحتياجاتك.

اعرف التكلفة الإجمالية للاستراتيجية

ذكرنا أن أحد الأسباب لوجود بطاقة الأداء للاستراتيجية لأمن البيانات هو أنها ستسهل تقديم المبادرات الجديدة لأصحاب المصلحة.

تكلفة الاستراتيجية المقترحة هي واحدة من أولى الأسئلة التي ستكون على الطاولة. يمكن تقدير تكلفة تنفيذ الاستراتيجية كمجموع تكاليف جميع الأهداف التجارية ومبادراتها ذات الصلة.

يلخص تقرير 'تكلفة الاستراتيجية' لبطاقة أداء الأمن السيبراني الميزانيات (المخصصة والمستخدمة فعلياً) لجميع المبادرات. المصدر: بطاقة أداء أمن البيانات.

إذا استخدمت BSC Designer كأداة أتمتة، ستتمكن من تخصيص الميزانيات للمبادرات والتحكم في استخدامها. سيكون البرنامج قادراً على توليد تقرير تكلفة الاستراتيجية لتقديم التكلفة الإجمالية المتوقعة لتنفيذ الاستراتيجية.

تصور البيانات الهامة على لوحات البيانات

طلب آخر نموذجي من أصحاب المصلحة هو الحصول على البيانات لاتخاذ القرارات الصحيحة (تحدثنا سابقًا عن القرارات المبنية على البيانات). تحتوي خريطة الاستراتيجية بحد ذاتها على الكثير من البيانات. نهج آخر هو بناء لوحة بيانات ذكاء الأعمال (BI) يمكن تكوينها لعرض أهم المؤشرات وبياناتها.

في قالب الاستراتيجية لهذه المقالة، لدينا لوحتان للبيانات (يمكنك التبديل بينهما).

 

مثال على لوحة بيانات ذكاء الأعمال للأمن السيبراني: مخطط زمني لأحداث المخاطر الحرجة، تطور مؤشر المخاطر الموزون، مخططات لبعض المؤشرات المحددة، مخطط جانت لمبادرات الاستجابة، قائمة بالمخاطر وحالاتها. المصدر: Data Security Scorecard.

تركز لوحة بيانات مؤشر المخاطر بشكل حصري على مؤشرات مؤشر المخاطر التي استخدمناها لقياس الحالة الحالية للمخاطر. باستخدام الرسوم البيانية للوحة البيانات، يمكننا رؤية:

• المخاطر الحالية مصورة على مخططات القياس
• كيف كان مؤشر المخاطر يتغير مع مرور الوقت
• مساهمة كل مؤشر في مؤشر المخاطر على مخطط الوزن

اللوحة الثانية في بطاقة الأداء الأمني السيبراني تركز حصريًا على مؤشر التعقيد، تطوره مع مرور الوقت، وحالة مؤشراه. المصدر: Data Security Scorecard.

لوحة البيانات الأخرى هي مؤشر تعقيد أمان البيانات. كما ناقشنا، تعد التعقيدات السيئة لنظم الأمان عاملاً في زيادة مخاطر اختراق البيانات. تصور هذه اللوحة الحالة الحالية للتعقيد كما تم قياسها بالمؤشرات المختارة.

تحليل بيانات الأداء

جمع بيانات الأداء في شكل مؤشرات الأداء الرئيسية (KPIs) هو أمر تقوم به معظم المنظمات بانتظام. لا يهم أي أداة أتمتة تستخدم، هناك الكثير من البيانات المتاحة.

السؤال دائمًا هو كيفية استخدام هذه البيانات وتحويلها إلى معلومات قابلة للتنفيذ. بعض الرؤى تحدث عندما يناقش الفريق خريطة الاستراتيجية أو لوحة البيانات؛ يمكن أتمتة اكتشاف رؤى أخرى.

بهذا المعنى، تساعد وظيفة التحليل في BSC Designer كثيرًا. إليك بعض الأمثلة:

• معظم المؤشرات التي ناقشناها تحتاج إلى تحديث بانتظام. مع تحليل تحديث الوقت، يمكنك العثور على المؤشرات التي تحتاج إلى تحديث قريبًا أو تلك التي لم يتم تحديثها في الوقت المحدد. يمكن أيضًا أتمتة ذلك باستخدام وظيفة التنبيهات.
• كل مؤشر في بطاقة الأداء له وزنه الذي يعكس أهمية المؤشر. مع تحليل الوزن المطلق، يمكنك العثور على المؤشرات ذات الوزن الأعلى. على سبيل المثال، في مثالنا، المؤشر متوسط الوقت للكشف لديه واحد من أعلى الأوزان. إذا كان فريقك يفكر في العمل على عدة مبادرات، وكان أحدها يعد بالكشف عن اختراقات البيانات بشكل أسرع، فامنح الأولوية لذلك.
• أحيانًا، يمكن العثور على اكتشافات مثيرة للاهتمام ببساطة من خلال النظر في كيفية تغير بيانات الأداء. الربح السريع أو الخسارة هو علامة على بعض العوامل الجديدة التي يجب تحليلها. لماذا كان لمؤشر أحداث المخاطر المتوسطة المستوى خسارة بنسبة 30% – هل كانت نتيجة تحديث داخلي للنظام، أم أنها مشكلة في الإبلاغ؟

يساعد تحليل 'الوزن المطلق' في العثور على المؤشرات التي لها أعلى تأثير (أعلى وزن مطلق) على بطاقة الأداء. في هذه الحالة فإن 'أحداث المخاطر الحرجة' و 'متوسط الوقت للكشف' لهما التأثير الأعلى. المصدر: بطاقة أداء أمن البيانات.

خريطة المبررات وعوامل النجاح والنتائج المتوقعة

في دورة التخطيط الاستراتيجي المجانية، ناقشنا أهمية فهم السياق التجاري للهدف. ليس كافيًا أن يكون لديك هدف موصوف بشكل جيد، من المهم فهم المبررات وراءه، وعوامل النجاح والنتائج المتوقعة التي تكون ذات قيمة للمنظمة.

قائمة بالمبادرات، حالاتهم، وتقدم المؤشرات المتوائمة معهم. المصدر: بطاقة أداء أمان البيانات.

ألقِ نظرة على هدف تقليل تعقيد تكنولوجيا المعلومات والبيانات من قالب بطاقة الأداء:

• يوجد سجل مبرر تقليل تعقيدات البيانات وتكنولوجيا المعلومات الذي يوضح لماذا هذا الهدف مهم: “التعقيد العالي للأنظمة البرمجية وهياكل البيانات هو عامل مخاطرة لاختراق البيانات.”
• يوجد أيضًا عامل نجاح لتقليل التعقيدات – تقييد الوصول إلى البيانات الأكثر قيمة. وهذا منطقي تمامًا في سياق الهدف – تقليل الوصول إلى البيانات الحساسة يقلل من تعقيد مخطط البيانات ويقلل من مخاطر اختراق البيانات كنتيجة.

في بعض الحالات، ليس لدينا خطة ثابتة لتحقيق شيء ما، بل نتعامل مع فرضية مستندة. يمكن لمستخدمي بي إس سي ديزاينر إضافة فرضية إلى أهدافهم. في مثالنا، كانت هناك فرضية، العمل عن بعد يؤثر على أمان البيانات متوائمة مع عمليات تدقيق أمان البيانات المنتظمة. 

معرفة النتائج المتوقعة أيضًا أمر بالغ الأهمية. على سبيل المثال، بالنسبة إلى تدريب الموظفين على أمان البيانات، لدينا نتيجة متوقعة تُسمى إدارة البيانات المسؤولة. ماذا يعني هذا في الممارسة؟ كيف يمكننا قياس ذلك؟ هذه الأسئلة تفتح الباب لمناقشة مثيرة للاهتمام.

إنشاء المبادرات مع الميزانيات والملاك والحالات

لسد الفجوة بين تخطيط الاستراتيجية وتنفيذها، استخدم المبادرات لتحقيق الأهداف. لنتناول مبادرة أتمتة اختبار الثغرات والامتثال المتوائمة مع تقليل تعقيد تكنولوجيا المعلومات والبيانات.

مثال على المبادرة الاستراتيجية مع الميزانية والجدول الزمني المحدد. تم تحديد تأثير المبادرة بواسطة مؤشر 'تغطية الأتمتة' (انظر حقل 'مؤشر الأداء الرئيسي المتوائم'). المصدر: بطاقة أداء أمان البيانات.

• كيف بالضبط سيعمل فريقك على هذه المبادرة؟ استخدم حقل الوصف لإضافة خطة عمل مفصلة.
• كيف يتم تواؤمها مع خطط التخفيف من المخاطر الأخرى؟ استخدم قسم المستندات للربط بالموارد ذات الصلة. في مثالنا، قمنا بالربط مع مثال بطاقة أداء تكنولوجيا المعلومات.
• من هو المسؤول عن هذه المبادرة؟ قم بتعيين الملاك بحيث يتلقون إشعارًا عند حدوث شيء ذو صلة.
• ما هي الحالة الحالية للمبادرة؟ قم بتحديث الحالة مع تقدم فريقك في العمل على المبادرة.
• كيف يمكنك تتبع التقدم في سياق هذه المبادرة؟ في مثالنا، قمنا بربطها بمؤشر تغطية الأتمتة، % الذي يشكل مؤشر تعقيد أمان البيانات.

الجلسة: 'مقدمة في بطاقة الأداء المتوازن بواسطة BSC Designer' متاحة كجزء من برنامج التعلم المستمر لـ BSC Designer، وتقدم كلاً من ورشة عمل عبر الإنترنت وفي الموقع. اقرأ المزيد....

الاستنتاجات

في هذه المقالة، نناقش مثالاً على استراتيجية أمن البيانات. فيما يلي أهم الأفكار التي ناقشناها:

• هناك عوامل مخاطرة معروفة لاختراق البيانات، وكذلك طرق مثبتة لتقليل تأثير حوادث الأمن.
• ساعد أصحاب المصلحة لديك على فهم التكاليف المباشرة وغير المباشرة لاختراق البيانات.
• ركز استراتيجيتك على اكتشاف المشاكل مبكراً والاستجابة بسرعة.
• امتلك خطة للتخفيف من المخاطر وفريق استجابة لتقليل تأثير اختراق البيانات.
• قلل من التعقيدات السيئة في أنظمة تكنولوجيا المعلومات ومخططات البيانات.
• تحديث نماذج المخاطر بانتظام، اختبر بيئة الأمان لديك.
• العامل البشري هو أحد نقاط المخاطرة – قم بتثقيف فريقك، وانظر إلى التغيرات في السلوك، وليس فقط في درجات الامتحانات الرسمية.

ما التالي؟ إن استراتيجية الأمن السيبراني الجيدة مصممة خصيصًا وفقًا لاحتياجات مؤسستك. استخدم قالب استراتيجية الأمن الذي تمت مناقشته في هذه المقالة كنقطة انطلاق لبدء بناء استراتيجية أمن البيانات الخاصة بك. لا تتردد في مشاركة تحدياتك واكتشافاتك في التعليقات.

أمثلة على التطبيقات في قطاع الأمن السيبراني

تعلم كيف يستخدم المتخصصون في الأعمال منصة BSC Designer لمعالجة وتسهيل التحديات المتعلقة باستراتيجية الأمن السيبراني.

استخدم قالب بطاقة أداء حماية وأمن البيانات

يساعد BSC Designer المؤسسات في تنفيذ استراتيجياتها المعقدة:

1. سجل للحصول على خطة مجانية على المنصة.
2. استخدم قالب بطاقة أداء حماية وأمن البيانات كنقطة بداية. ستجده في جديد > بطاقة أداء جديدة > المزيد من القوالب.
3. اتبع نظام تنفيذ الاستراتيجية الخاص بنا لمواءمة أصحاب المصلحة والطموحات الاستراتيجية في استراتيجية شاملة.

ابدأ اليوم وشاهد كيف يمكن لـ BSC Designer تبسيط تنفيذ استراتيجيتك!