يقر معظم أعضاء مجتمع الأمن بالحاجة إلى ثقافة أمنية محسّنة - بمعنى وعي الشركة النظامي والقياس والمراقبة لتحسين الأمن السيبراني لتقليل المخاطر الإجمالية. مجرد إلقاء نظرة على الكلمة الرئيسية لكيم زيتر Black Hat USA 2022، والذي دعا إلى تحسينات أمنية مهمة في جميع أنحاء البنية التحتية الحيوية.
في كثير من الأحيان، لا يكون العائق الذي يحول دون تحقيق الأمن الفعال بالضرورة تقنيا، بل هو بالأحرى مسألة ثقافية. غالبًا ما يساوي الكثيرون عن طريق الخطأ تعليم المستخدم وتدريبه مع خلق ثقافة أمنية. يدور تعليم المستخدم حول مشاركة المعلومات حول القضايا والالتزامات - بينما تدور ثقافة الأمان حول التغييرات السلوكية لدعم الأمن.
بناء ثقافة أمنية من خلال وعي المستخدم
على الرغم من أن وعي المستخدم وبناء ثقافة أمنية هي تمارين مختلفة وتحديات مميزة ، إلا أنهما يشتركان في قواسم مشتركة واحدة: إنهم يحتاجون إلى اهتمام ودعم جدي. مع أخذ ذلك في الاعتبار ، فإن هذين التمرينين يكملان بعضهما البعض.
ضع في اعتبارك هذا: في حين أن هناك العديد من المناقشات حول هياكل إعداد التقارير CISO ، فإن الدعم اللازم لقيادة ثقافة أمنية لا يعتمد على هذا التسلسل الهرمي ؛ يعتمد على تعديل سلوك المستخدم من خلال العمليات التجارية المقبولة عمومًا. هذا التعديل الشامل لعملية الأعمال هو السبب في ضرورة دفع ثقافة الأمان من الأعلى إلى الأسفل.
يجب أن يتم دمج وعي المستخدم في أدوات الأمان الخاصة بالمؤسسة وأن يتم ذلك بشكل متسق مثل البحث في الأنظمة عن مؤشرات التسوية. لا يحل وعي المستخدم محل إنشاء ثقافة أمنية ولا يتشابه مع ذلك - بل إنه عنصر ضروري في أي ثقافة أمنية فعالة.
الحصول على متن الطائرة
يجب أن تكون الملكية والدعم لخلق ثقافة أمنية على مستوى مجلس الإدارة. هذا لأنه في حين أن العديد من عمليات الاستغلال والهجمات ليست أكثر من تنبيه أمني آخر يجب إدارته ، عندما يتورط خصم ماهر ، تنشأ مخاطر جدية. كما أقول دائما: هواة اختراق الأنظمة ؛ المهنيين اختراق الناس. إن القرصنة البشرية كفئة من المخاطر الأمنية لها عائد كبير من النجاح وتتجاوز الضمانات التكنولوجية.
الحيلة هي حماية العامل البشري من مخاطر الطبيعة البشرية من خلال التحكم في السلوك ونحته. يتطلب هذا غالبًا تفكيرًا نقديًا حول ممارسات الأعمال الراسخة. سيعتمد دعم تحقيق التغييرات الضرورية بشكل كبير على التأثير من أعلى إلى أسفل.
ثقافة الأمان في بيئات OT
إن بيئات التكنولوجيا التشغيلية مثقلة بتحديات أكثر أهمية في فحص وزراعة ثقافتها الأمنية. لا يلعب مستخدمو الأعمال دورًا أساسيًا فحسب ، بل يلعب مهندسو OT دورًا حيويًا في منع الأحداث الأمنية والاستجابة لها.
العلاقة بين IT و OT هو المكان الذي سيحتاج فيه إنشاء ثقافة أمنية شاملة إلى دعم من أعلى إلى أسفل للنظر بشكل نقدي في العمليات التجارية والتشغيلية الشاملة. الأشياء التي يمكن أن تنسف المحاولات الأكثر جدية لدعم الجهود الأمنية يمكن أن تكون غير متوقعة مثل عملية المحاسبة لتطبيق الميزانيات عبر المواقع الفردية أو تصور الملكية للأمن.
في حين أن هذه الأمثلة هي قمة جبل الجليد ، فمن المهم إنشاء برنامج تحسين شامل ومستمر للعملية داخل المنظمة لمواصلة التساؤل ، "كيف يمكن تحسين ثقافتنا الأمنية؟"
ثقافة الأمن في بيئات تكنولوجيا المعلومات
على عكس OT ، فإن الاعتراف بالحاجة إلى التقنيات محدد جيدًا في تكنولوجيا المعلومات. على سبيل المثال ، جرد الأصول والرؤية عبارة عن منتج سلعي تم تعيينه لتكنولوجيا المعلومات. هناك العديد من بائعي إدارة الأصول للاختيار من بينهم ، ويمكن لفريق تكنولوجيا المعلومات الماهر اعتماد هذه الأدوات بسرعة. قد تتأثر عملية اختيار التكنولوجيا بعملية تتمحور حول تكنولوجيا المعلومات. يمكن العثور على التغييرات الثقافية التي من شأنها أن تناسب اختيار المنتجات التكميلية على جانب OT.
يعد جرد الأصول والضعف وإدارة المخاطر أكثر صعوبة في OT نظرًا لطبيعة التكنولوجيا والطوبولوجيا. عادةً ما يكون الموظفون مهندسين متخصصين في العملية وليس بالضرورة الأداة (الأنظمة) مع كيفية تفاعلهم مع عمليات الجزيئات المتحركة. يمتلك مالكو أصول OT تركيزًا مختلفًا على مهمة مالكي تكنولوجيا المعلومات ، ولا يشمل تدريبهم الأمن بالضرورة. يجب أن يأخذ إنشاء ثقافة أمنية هذه العقليات المختلفة في الاعتبار واستخدام تكتيكات يمكن الارتباط بها لتغيير السلوك.
مزج الثقافات: IT و OT
سيساعد النهج القائم على المخاطر متخصصي تكنولوجيا المعلومات والتكنولوجيا التشغيلية من خلال توحيد المقاييس الرئيسية مثل الحياة والصحة والسلامة ، ناهيك عن التأثير على القدرة الإنتاجية والكفاءة. يجب أن يشمل هذا النهج أيضًا أقصى وقت تعطل يمكن تحمله (MTD) ومتوسط وقت التعافي (MTR).
سيؤدي هذا إلى تقديم إجابات عن سبب اهتمام الأفراد بالأمن. سترغب المنظمات في منح الفريق الجماعي فرصة للنجاح. أثناء النظر في العمليات التجارية لتعيين المهام عبر المجموعات ، قد تظهر التغييرات الطفيفة عند النظر إليها من خلال عدسة الأمان. بينما يجب أن تظل ملكية النظام منقسمة بسبب الاحتياجات المتأصلة والموجهة من الناحية التشغيلية ، يجب أن تعمل فرق تكنولوجيا المعلومات / الأمن / العمليات التشغيلية جميعًا بخطى ثابتة لمعالجة نقاط الضعف الحرجة ، والأحداث الأمنية المحتملة ، والاستجابة / الاسترداد للحوادث. السرعة والكفاءة لها أهمية قصوى.
هذان جانبان فقط لإنشاء ثقافة أمنية ولكنهما يمثلان مثالًا ممتازًا لسبب وجود المزيد من السلوك المتغير أكثر من مجرد مشاركة المعلومات. يعد إنشاء ثقافة أمنية أمرًا حيويًا لأي مؤسسة لزيادة استثمارات تكنولوجيا الأمان ، ولكنه لا غنى عنه لبقاء مشغل OT في عملية الاستجابة السريعة للاختراق.
