استعرضت شركة جارتنر اليوم، وعلى لسان بول بروكتور، نائب الرئيس لشؤون التحليلات لدى جارتنر، مجموعة من الخطوات التي تمكّن المؤسسات من تطوير المقاييس المستخدمة لديها للأمن الإلكتروني.
ويقوم المسؤولون التنفيذيون ومجالس الإدارة في الوقت الحالي بزيادة مستويات تدقيقهم لقدرات الأمن الإلكتروني التي تتمتع بها مؤسساتهم وذلك لضمان ملاءمتها للأوقات الراهنة، وتحقيق النتائج المتوقعة لمؤسساتهم. وتوفر المقاييس المدفوعة بالنتائج (ODMs) نظرة مباشرة على نتائج العمليات والاستثمارات ومستويات الحماية التي يتم توفيرها للمؤسسات، كما تساعد الرؤساء التنفيذيين لشؤون المعلومات في تحقيق التوازن المطلوب بين احتياجات حماية الشركة واحتياجات إدارة المؤسسة بفعالية أكبر.
وقال بول بروكتور، نائب الرئيس لشؤون التحليلات لدى جارتنر: “تتمتع المقاييس المدفوعة بالنتائج جيدة التصميم بخصائص معينة تناسب الأنواع الجديدة من الحوكمة التي تحتاج إلى الدعم، وتقوم بقياس مستويات الحماية وتدعم الاستثمارات المباشرة الرامية إلى الارتقاء بمستويات الحماية، كما يمكن للمسؤولين التنفيذيين ممن لا يتمتعون بخلفية تقنية فهمها بسهولة. ويجب على قادة الأعمال اتخاذ أربع خطوات بهدف تضمين هذه الخصائص في المقاييس المدفوعة بالنتائج”.
وجاءت الخطوات على النحو التالي:
الخطوة 1: تحديد نتائج مستويات الحماية الخاصة بأدوات الرقابة
تقدم نتائج المستويات المحمية وصفاً للأداء التشغيلي والفوائد المنشودة من الحماية المطلوبة وبطريقة مبسطة. لذلك، يجب تحديد نتيجة قابلة للقياس تعكس مستويات حماية أعلى وأدنى ويمكن إنفاق استثمار مباشر فيها من أجل تحسين النتائج.
- التدريب على هجمات التصيد: يساعد في تحسين سلوك الأفراد المتعلق بالنقر على الروابط التي قد تؤدي إلى خروقات أمنية. ويمكن قياس هذا المستوى من الحماية عبر متابعة نسبة الأفراد الذين يقومون وبمرور الوقت بالنقر على روابط في رسائل التصيد المصممة للتدريب، وذلك في إطار برنامج التدريب على الأمن والسلوك والثقافة السائدة في المؤسسة.
- إدارة المخاطر ونقاط الضعف: تقوم بإدارة كمّ نقاط الضعف التي يمكن استغلالها. ويتم قياس مستوى الحماية من خلال الوقت اللازم لنشر برامج إصلاح نقاط الضعف.
- مشاركة الأطراف الخارجية في المخاطر: تقوم بإدارة التقييم والحوكمة الخاصة بالأطراف الخارجية بهدف تزويد صنّاع القرار في المؤسسة بمعلومات عن الأطراف الخارجية التي يجب على المؤسسة إشراكها. ويتم قياس مستوى الحماية هذا من خلال نسبة الأطراف الثالثة التي شاركت ولم تنجح في اجتياز التقييم.
الخطوة 2: وصف القيمة
يجب شرح العلاقة بين التكلفة (الاستثمار) والقيمة (مستوى الحماية) بالنسبة لكل من أدوات الرقابة، إذ عادة ما تكون مستويات الحماية الأعلى (ذات مستويات المخاطر الأكثر انخفاضاً) أكثر تكلفة، والعكس صحيح. وتشتمل التكلفة على ميزانية التنفيذ والتشغيل، إلى جانب العوائق المحتملة التي قد تواجه العمليات مثل رضا الموظفين والعملاء، أو الخدمات المقيدة التي تقدمها المؤسسة، أو غير ذلك من التكاليف المتعلقة بتشديد الرقابة.
وعلى سبيل المثال، فإن المعدلات المرتفعة لحالات التصيد المرتبطة بالنقر على الروابط تشير إلى احتمالية أعلى لقيام الموظفين بالنقر على روابط خبيثة في رسائل البريد الإلكتروني. وذلك فإن خفض مستويات التصيد يحتاج إلى الاستثمار في أدوات منع التصيد، وقد يتسبب في إعاقة بعض عمليات المؤسسات.
أما بخصوص إدارة المخاطر ونقاط الضعف، فكلما تم إصلاح نقاط الضعف بسرعة أكبر، كلما قلت النافذة الزمنية التي يمكن عبرها التعرض لهجمات إلكترونية. ويتسم الإصلاح السريع لنقاط الضعف بكلفته المرتفعة غالباً، ليس فقط من حيث النفقات المباشرة، ولكن من حيث تعطيل أعمال المؤسسة. ومن جهة أخرى، فإن البطء في إصلاح نقاط الضعف هو أقل تكلفة لكنه يعد أكثر خطورة.
ويكمن الهدف الأساسي في فهم مستوى الحماية والتكاليف المرتبطة به في جميع أنحاء المؤسسة وذلك عند إجراء تعديل على إحدى أدوات الرقابة. وتشكل هذه الفوائد والتكاليف عوامل حاسمة في اتخاذ القرارات المتعلقة بالأولويات والاستثمار في تطبيق أداة رقابة أو تعديلها، كما توفر فهماً واضحاً لمستوى الحماية عند تطبيقها في سياق أعمال المؤسسة.
الخطوة 3: تحديد الفوائد المحققة من النتائج
تشكل الفوائد المحققة طريقة جيدة لقياس التأثير، إذ أنها تشير على مستوى أعمال المؤسسة إلى الأثر الذي قد يحدث نتيجة للتهديدات أو الحوادث الأمنية. ويجب تحديد هذه النتائج بوضوح بهدف إيجاد الرابط بين الفوائد المرجوة من أداة الرقابة المذكورة في الخطوة 1.
ويجب عدم اعتبار الحوادث الأمنية على أنها دليل على فشل أداة الرقابة، فعلى سبيل المثال عند استثمار مؤسسة ما في سياسة إصلاح مدتها 20 يوماً، وتم استغلال نقطة ضعف خلال 15 يومياً من تاريخ إطلاق الإصلاح، فإن هذا الأمر سيكون نتيجة لقرار المؤسسة بقبول احتمال التعرض لجهوم إلكتروني خلال 20 يوماً، ولا يجب النظر إلى ذلك على أنه فشل في الرقابة.
الخطوة 4: صقل النتائج في سياق أعمال المؤسسة
يجب تقييم المقاييس المدفوعة بالنتائج بناءً على التقنيات التي تدعم وحدات الأعمال المنفصلة، أو الوظائف التشغيلية، أو الإدارات التي تساهم في تحقيق نتائج الأعمال الكلية للمؤسسة.
وفي نهاية المطاف، فإن هذه المقاييس تكون أكثر كفاءة وفائدة عندما تساعد في اتخاذ القرارات في إطار عملية حوكمة رسمية. ويمكن تحقيق هذا الأمن من خلال اتفاقيات مستوى الحماية (PLAs) التي تعد عقوداً بين المسؤولين التنفيذيين والرؤساء التنفيذيين لشؤون المعلومات/الرؤساء التنفيذيين لشؤون أمن المعلومات وتهدف لضمان مستوى الحماية المطلوب وفقاً لاستثمار مخطط في مجال الأمن الإلكتروني.