ماذا يقصد بـ "تقييم مخاطر الأمان عبر الإنترنت" ولماذا يجب إجراؤه؟

يُعد الأمان عبر الإنترنت أحد أبرز محاور الاهتمام التجارية الدائمة لأي شركة.

ولا تقتصر المخاطر الأمنية الرئيسية على الشركات الواردة ضمن أفضل 500 شركة في قائمة "فورتشين 500" - Fortune 500 - بل على العكس تمامًا، غالبًا ما تتعرض المؤسسات الصغيرة والمتوسطة للانهيار والسقوط التام بسبب تداعيات عمليات اختراق شبكات أعمالها.

فبالإضافة إلى فقدانها قدرات الأعمال ومصادر البيانات بصورة مباشرة، يمكن للشركات أيضا أن تجد علاماتها التجارية قد فقدت بريقها بصورة يتعذر معها الإصلاح فضلا عن إحجام العملاء عن إبرام مزيد من العمليات التجارية معها.

وتتعرض الشركات التي تتعامل مع البيانات المالية والصحية الحساسة للمخاطر بصورة خاصة؛ فقد تجد نفسها مُثقلة بالغرامات المالية الباهظة وزيادة تكاليف تدقيق الحسابات أو معرضة لمشكلات تتعلق بالامتثال.

لمعالجة مخاطر الأمان عبر الإنترنت الرئيسية وتخفيف احتمالية حدوث مثل هذه النتائج، يمكن للشركات من مختلف مجالات الأعمال والمناطق الجغرافية -وبغض النظر عن حجمها الشروع على الفور في إجراء تقييم متكامل للمخاطر.

شرح تقييم مخاطر الأمان عبر الإنترنت

يُجيب تقييم المخاطر عن الأسئلة الرئيسية حول مصادر بيانات المؤسسة:

• • ما أهم مصادر البيانات (أيّ ما المصادر التي يجب حمايتها)؟

• •ما التهديدات ونقاط الضعف التي قد يتم استغلالها ومن يمكنهم القيام بذلك؟

• • ما الآثار التي قد تصيب أعمال المؤسسة في حالة ضياع مصادر المعلومات أو اختراقها؟

• • ما التدابير التي يمكن القيام بها لتقليل عمليات فقدان كل مصدر أو الحيلولة دون تعرضه للضرر؟

• • ما قيمة كل مصدر بيانات رئيسي للمؤسسة برمتها؟

تُعد التساؤلات الرئيسية التي تم طرحها في شأن تقييم المخاطر بمثابة نقطة الانطلاق لوضع السياسات والإجراءات التي تهدف إلى حماية الأعمال من التعرض للخسائر غير المقبولة في مجال الأمان عبر الإنترنت. وتتضمن الإجابة على تلك التساؤلات الإشارة إلى الأنشطة اليومية وأدوات البرمجيات ونقاط الأهمية الأخرى ذات الصلة.

كيف يعمل تقييم مخاطر الأمان عبر الإنترنت على مواجهة التهديدات؟

غالبًا ما يواجه أصحاب المصلحة والمعنيين من غير المتخصصين في المجال التقني صعوبة في حساب العائد على الاستثمار في تدابير الأمان عبر الإنترنت لأنه -بشكل عام -من المستحيل القضاء تمامًا على أكثر التهديدات الأمنية. لأنه في معظم الحالات، يجب الحد من التهديدات وتقليلها بقدر الإمكان من الناحية العملية في ظل هذه الظروف.

وتمثل طريقة معالجة التهديدات وتحديد الاستثمارات التي يمكن ضخها في هذا الشأن دلالة على قيمة الأصول التي يتم حمايتها وكيف تؤثر التدابير الأمنية على تلك القيمة.

على سبيل المثال، يمكنك القضاء على تهديدات الأمان عبر الإنترنت التقليدية القائمة على الشبكة من خلال الاحتفاظ بجهاز الحاسوب (الكمبيوتر) الخاص بك وبيانات أعمالك ذات الأهمية القصوى وعزلها عن أي إمكانية وصول إليها عبر شبكة الإنترنت. وبطبيعة الحال فإن ذلك من شأنه أن يعوق استخدامك لتلك البيانات بدرجة كبيرة.

يجب أن تبدأ كل عملية تقييم للمخاطر بتعريف واضح للأصول الحيوية للمؤسسة، والتي تشمل الأجهزة المادية والبرامج ومصادر البيانات التي تعتبر بالغة الأهمية للمؤسسة وأماكن تخزينها أو استخدامها.

وانطلاقًا من ذلك، يمكن تصنيف التهديدات المُحددة لكل فئة من تلك الأصول من حيث احتمال حدوثها.

الإجراءات المتخذة بعد إجراء تقييم المخاطر مثال

بالطبع لا يتم إدارة التهديدات عن طريق منع الوصول إلى أحد الأصول. فمن الناحية العملية، يمكن اتخاذ التدابير اللازمة لضمان الحد من احتمالية حدوثها عن طريق معالجة نقاط الضعف التي تزيد من احتمالية حدوث تهديدات بعينها.

ومن الأمثلة على ذلك، تواجه جميع المؤسسات في عالم اليوم مخاطر التعرض لبرامج إلكترونية ضارة يطلق عليها اسم برامج الفدية (رانسوم وير). وهو نوع من البرامج الضارة التي تمنع الوصول إلى بيانات الأعمال ذات القيمة من خلال تشفير محتويات جهاز الكمبيوتر. وغالبًا ما يطلب الجناة فدية ضخمة من صاحب الجهاز قبل إعادة تمكينه من الوصول إلى تلك البيانات.

يمكن للشخص أن ينظر إلى احتمالية حدوث المخاطر فقدان البيانات الرئيسية بصورة دائمة أو دفع "فدية" قد تصل إلى ملايين الدولارات - ويقرر تشديد الحماية على بيانات معينة عن طريق نقلها إلى نظام داخلي يتمتع بمستوى فائق من الأمان. ومع ذلك، قد تكشف عملية تقييم المخاطر عن وجود طريقة أكثر كفاءة وفاعلية من حيث التكلفة.

وفي هذه الحالة، تصبح معظم الشركات عُرضة لخطر البرامج الضارة (رانسوم وير) بسبب تجاهل الموظفين من غير المتخصصين في المجال التقني للتحذيرات التي تفيد بوجود رسالة إلكترونية ضارة. ومن ثم يشرعون في تنزيل مرفقات الملفات غير الآمنة الواردة من مُرسل غير معروف، مما يؤدي إلى تمكن الفيروس من الوصول إلى الجهاز. ويُشكل التدريب الأمني الحل الأمثل من حيث التكلفة والفعالية لمواجهة نقاط الضعف.

لا يساعد تقييم المخاطر الشامل على حماية أعمالك فحسب، بل يُمكّنك أيضًا من مواءمة ممارسات الأمان مع احتياجاتك الخاصة – والذي يؤدي بدروه إلى تحسين الاستثمارات الأمنية وتوفير النفقات.