الذكاء الاصطناعي والأمن السيبراني

7 فخاخ رئيسية في تقييم مخاطر الأمن السيبراني للمؤسسات واستراتيجيات التعامل معها

تقييم مخاطر الأمن السيبراني هو مسؤولية أساسية لمسؤولي أمن المعلومات (CISO)، لكن العديد من المنظمات تقع في فخاخ شائعة مثل الشكلية، إغفال النطاق، الخلط بين الامتثال والأمن أثناء التنفيذ. يحلل هذا المقال سبعة مفاهيم خاطئة وتأثيرها الفعلي على أمن المؤسسات، ويقدم توصيات مهنية للتعامل معها.

مقدمة

تقييم المخاطر الأمنية السيبرانية هو عملية رئيسية لتحديد وتقييم ومعالجة التهديدات ونقاط الضعف المحتملة في المؤسسات. ومع ذلك، يقع العديد من مسؤولي أمن المعلومات (CISOs) في فخ الأخطاء الشائعة أثناء عملية التقييم، مما يؤدي إلى تقييم شكلي، ونطاق غير مكتمل، ونتائج غير دقيقة، بل وحتى إعطاء الإدارة العليا شعورًا زائفًا بالأمان. يستعرض هذا المقال سبعة أخطاء شائعة، ويحلل تأثيرها الفعلي على أمن المؤسسات بالاستعانة بآراء خبراء المجال، ويقدم توصيات عملية لمساعدة قادة الأمن في تحويل تقييم المخاطر إلى أداة فعالة لاتخاذ القرارات.

الخلفية: لماذا يعتبر تقييم المخاطر مهمًا؟

يجب أن يكون تقييم المخاطر جزءًا أساسيًا من الاستراتيجية الشاملة للأمن السيبراني للمؤسسة. فهو يساعد قادة الأمن على فهم العلاقة بين المخاطر وأهداف الأعمال، وتقييم احتمالية وتأثير الهجمات السيبرانية، ووضع إجراءات التخفيف. ومع ذلك، عندما يتحول التقييم إلى مجرد ملء نماذج أو الامتثال لفحوصات روتينية، فإن قيمته تقل بشكل كبير.

تحليل الأخطاء السبعة

1. التقييم الشكلي: التعامل مع التقييم كقائمة مهام

وصف المخاطرة: تنظر العديد من المؤسسات إلى تقييم المخاطر على أنه قائمة محددة مسبقًا أو جرد لعناصر التحكم، وليس كأداة قرار مرتبطة بالتأثير الفعلي على الأعمال وسيناريوهات التهديد. يشير باحث الأمن السيبراني في جامعة نورث كارولينا، شيرسندو مونداال، إلى أنه عندما يقتصر التقييم على "وضع علامات"، فإنه لا يعكس الطريقة التي تظهر بها المخاطر في البيئة الفعلية.

التأثير على المؤسسة: لا تدعم نتائج التقييم عملية اتخاذ القرار، وقد يكون تخصيص الموارد الأمنية غير مناسب، ويتم تجاهل المخاطر الحقيقية.

التوصيات: اتباع نهج قائم على السيناريوهات، مع طرح أسئلة: أين توجد الأصول؟ من يمكنه الوصول إليها؟ ما البيانات المتضمنة؟ ما مدى أهميتها للعمليات؟ ماذا يحدث عند التوقف؟ ربط المخاطر دائمًا بتأثير الأعمال وليس بالاكتشافات التقنية البحتة. وإشراك قادة الأعمال (مثل مسؤولي تقنية المعلومات والعمليات) في فريق الأمن.

2. تجميل النتائج: إخفاء الوضع الحقيقي عن أصحاب المصلحة

وصف المخاطرة: عندما تكون نتائج التقييم محبطة، يميل بعض CISOs إلى تجميل التقارير لتجنب نقل الأخبار السيئة. يؤكد بابلو ريبولدي، CISO في BairesDev، على ضرورة الصدق مع أصحاب المصلحة والاعتراف بأن مشهد التهديدات يتطور بسرعة أكبر من المتوقع.

التأثير على المؤسسة: تقلل الإدارة العليا من تقدير المخاطر، ويكون تخصيص الموارد غير كافٍ، ولا تحصل التهديدات الحقيقية على الاهتمام.

التوصيات: عرض سيناريوهات الهجوم الفعلية بدلاً من مجرد قوائم الثغرات. إعطاء الأولوية لإجراء تقييم عميق لأهم ثلاثة أصول تجارية حاسمة، لإظهار القيمة الفورية وبناء الثقة.

3. نقص النطاق: إغفال الأصول الرئيسية والتقنيات الناشئةوصف المخاطرة: تغطي العديد من التقييمات خوادم الإنتاج وشبكات المؤسسات، لكنها تتجاهل أجهزة التطوير القديمة في الزوايا، أو بوابات البائعين الخارجيين غير المملوكة لأحد، أو نقاط نهاية API التي تم إنشاؤها منذ عامين بشكل مؤقت ولم يتم إيقاف تشغيلها أبدًا. يشير دينيس كالديرون، المدير التقني لـ Suzu Labs، إلى أن المهاجمين لا يهتمون بقرارات تحديد النطاق التي تضعها، بل يبحثون عن نقاط الضعف في البيئة بأكملها التي قررت عدم تقييمها. يؤدي انتشار الذكاء الاصطناعي إلى تفاقم المشكلة: تنشر المؤسسات أدوات ذكاء اصطناعي تتصل بالأنظمة الداخلية، وتمنح صلاحيات الوصول إلى البيانات الحساسة، لكن هذه الأدوات لا تدخل في نطاق التقييم تقريبًا. تستدعي وكلاء الذكاء الاصطناعي APIs في الخلفية، وتصل إلى قواعد البيانات، وتستخدم بيانات اعتماد غير متتبعة.

تأثير على المؤسسة: زيادة سطح التعرض، حيث تصبح الأصول غير المقيمة نقاط انطلاق للهجمات.

توصية للتعامل: المراجعة الدورية وتحديث نطاق التقييم، ليشمل جميع الأصول، بما في ذلك بيئات التطوير، والواجهات الخارجية، ونقاط نهاية API، ومكونات الذكاء الاصطناعي/التعلم الآلي. إجراء جرد كامل لبيانات اعتماد وكلاء الذكاء الاصطناعي وصلاحياتهم.

4. الاعتماد المفرط على سجل المخاطر دون التحقق من الافتراضات

وصف المخاطرة: عندما يكون الهدف هو إكمال التقييم بدلاً من فهم التعرض الفعلي، قد تلبي ملفات المخرجات متطلبات التدقيق لكنها تضلل القيادة. يقول أميت باسو، كبير مسؤولي المعلومات/كبير مسؤولي أمن المعلومات في International Seaways، إن هذا الموقف يخلق ثقة زائفة - يرى كبار المسؤولين لوحات البيانات الخضراء فيعتقدون أن المؤسسة آمنة، بينما يتم تجاهل التهديدات الحقيقية لعدم ملاءمتها لإطار التقييم.

تأثير على المؤسسة: تتخذ القيادة قرارات بناءً على معلومات غير كاملة، وتستمر المخاطر في التراكم.

توصية للتعامل: توثيق الافتراضات وراء التقييم بوضوح، وإعادة النظر فيها عند حدوث تغييرات في الأعمال، أو تحول في مشهد التهديدات، أو كشف حوادث عن فجوات. التقييم ليس منتجًا نهائيًا، بل هو مدخل حيوي لحوار مستمر بين الأمن والأعمال.

5. الفشل في ربط المخاطر بتأثير الأعمال

وصف المخاطرة: تجاهل أو تقليل العلاقة بين المخاطر والأعمال يؤدي إلى سهولة تخفيض أولوية المشكلات أو تجاهلها. يشير دان مور، المدير الأول لمعايير الهوية في FusionAuth، إلى أن هذا يجعل فرق الأمن تشتكي من عدم فهمهم، مما يضعف فعالية الفريق.

تأثير على المؤسسة: انفصال استثمارات الأمن عن أهداف الأعمال، وارتباك أولويات الدفاع.

توصية للتعامل: كن محددًا وموجهًا. بدلاً من قول "نحن نلتزم بنسبة 95٪ من التصحيحات"، تحدث عن المخاطر التي تشكلها الأنظمة غير المصححة على الأعمال. اعترف بأن بعض الأنظمة (مثل الأنظمة القديمة غير المتصلة بالإنترنت) ذات مخاطر أقل، حتى لو كانت تعاني من نفس مشكلات التصحيح، يجب التعامل معها بشكل متمايز.

6. الخلط بين الامتثال والأمن الحقيقي

وصف المخاطرة: تعتقد العديد من المؤسسات أن تلبية المتطلبات التنظيمية تعادل الأمن. يحذر أدرييل ديسوتيلز، الرئيس التنفيذي لـ Netragard، من أن الامتثال لا يعني حماية حقيقية - فكل حادث اختراق كبير في العقد الماضي شمل مؤسسات كانت متوافقة في ذلك الوقت.

تأثير على المؤسسة: شعور زائف بالأمان يؤدي إلى تراخي الدفاع، ونجاح الهجمات.توصيات للتعامل: الاستعانة بشركات اختبار اختراق متخصصة في الاختبارات التي يقودها البشر بدلاً من المسح التلقائي. التعامل مع الامتثال كخط أساس، ولكن يجب إجراء اختبارات إضافية قائمة على التهديدات.

7. الفشل في فهم المخاطر الحقيقي

وصف المخاطر: تتعامل العديد من المؤسسات مع تقييم المخاطر على أنه مجرد تمرين لتعداد الثغرات: البحث عن الفجوات، حساب خطورتها، واجتياز التدقيق. يشير سافي رضا، المدير الأول للأمن السيبراني في Fusion Risk Management، إلى أن اجتياز التدقيق لا يعني فهم المخاطر.

تأثير على المؤسسة: يبقى فهم المخاطر على المستوى التقني فقط، ولا يمكن تحويله إلى قرارات تشغيلية ومالية.

توصيات للتعامل: ربط إشارات المخاطر التقنية بالنتائج التشغيلية. فهم الخدمات المتأثرة، وكيفية انتشار الانقطاع، وماذا يعني ذلك بالنسبة للإيرادات والعملاء والالتزامات التنظيمية. الانتقال من التقييم الثابت إلى رؤية مستمرة وقائمة على السياق للمخاطر.

ملاحظات حول اتجاهات الصناعة

هذه المزالق ليست ظواهر منعزلة، بل تعكس مشكلات شائعة في مجال تقييم المخاطر حاليًا. لا تزال العديد من المؤسسات تنظر إلى تقييم المخاطر على أنه مهمة امتثال لمرة واحدة بدلاً من عملية استراتيجية مستمرة. مع النشر السريع لتقنيات الذكاء الاصطناعي، أصبحت مشكلة تأخر نطاق التقييم أكثر وضوحًا. بالإضافة إلى ذلك، تحت ضغط الامتثال، لا تزال ثقافة التقييم التي تهدف إلى "اجتياز التدقيق" سائدة، مما يحول تقييم المخاطر عن هدفه الأساسي - فهم المخاطر التجارية وتقليلها حقًا.

التوصيات الدفاعية والاستجابة

  • على مستوى المؤسسة: إنشاء آلية تقييم مستمرة، وتحديث نطاق التقييم وافتراضاته بانتظام. دمج تقييم المخاطر في الميزانية السنوية للأمن وعمليات الحوكمة.
  • أمن الهوية: ضمان إدارة بيانات اعتماد وكلاء الذكاء الاصطناعي، وتطبيق المصادقة متعددة العوامل وأقل الامتيازات.
  • على المستوى التقني: استخدام EDR / XDR واستخبارات التهديدات لتعزيز محاكاة سيناريوهات الهجوم.
  • على المستوى الإداري: وضع خطة للاستجابة للحوادث، وإجراء تدريبات منتظمة بناءً على نتائج تقييم المخاطر.
  • إدارة مخاطر الطرف الثالث: إدراج الموردين والشركاء في نطاق التقييم.

رؤية SecurityPost

تقييم مخاطر الأمن السيبراني ليس نشاطًا فحصيًا منعزلاً، بل هو جسر يربط الأمن التقني بالاستراتيجية التجارية. تذكرنا المزالق السبعة التي كشف عنها هذا المقال بأن قيمة التقييم لا تكمن في إصدار تقرير جميل، بل في مساعدة قادة المؤسسات على فهم التهديدات التي يواجهونها حقًا، واتخاذ قرارات مدروسة لتخصيص الموارد.

في ظل الانتشار السريع للذكاء الاصطناعي والهياكل السحابية الأصلية، يجب على فرق الأمن التخلي عن "ثقافة وضع العلامات" واعتماد منهجية تقييم ديناميكية وقائمة على السياق للمخاطر. خاصة عندما تبدأ وكلاء الذكاء الاصطناعي في تولي العمليات التجارية على نطاق واسع، يجب إدراج صلاحيات الوصول والسلوكيات الخاصة بهم في نطاق التقييم. يحتاج تقييم المخاطر في المستقبل إلى أن يكون مرنًا مثل الأعمال نفسها، وإلا فإنه سيتحول إلى خريطة قديمة لا تعكس الوضع الحقيقي للمعركة.بالنسبة لـ CISO، التحدي الحقيقي ليس إكمال تقييم واحد، بل ضمان أن يعكس التقييم دائمًا سطح التعرض الحقيقي، ودفع المؤسسة لاتخاذ إجراءات تخفيف فعالة. بهذه الطريقة فقط يمكن أن يتحول تقييم المخاطر من عبء الامتثال إلى ميزة استراتيجية.

---

*هذه المقالة مبنية على مقالة CSOOnline "7 cyber risk assessment gotchas to avoid" مترجمة ومنسقة، النص الأصلي من تأليف John Edwards.*

مسار الأدلة · securitypost

تضع securitypost هذه الملاحظة ضمن موجز التهديدات / أمن المؤسسات / الذكاء الاصطناعي والأمن السيبراني. موجز التهديدات / أمن المؤسسات / الذكاء الاصطناعي والأمن السيبراني يوضح الزاوية التحريرية المحلية: ينبغي فتح روابط المصادر قبل إعادة استخدام الملخص. ما زالت التواريخ والأسماء وتغيرات الحالة تحتاج إلى تحقق.

Source URL

  1. https://www.csoonline.com/article/4189703/7-cyber-risk-assessment-gotchas-to-avoid.htmlPrimary

مقالات ذات صلة

العودة إلى القناة