الإثنين, ديسمبر 23, 2024

الأكثر شهرة

الرئيسيةالحماية والأمانما تعلمته هو كتابة الاستراتيجيات السيبرانية بنطاقات كبيرة

ما تعلمته هو كتابة الاستراتيجيات السيبرانية بنطاقات كبيرة

كجزء من دوري الجديد، كانت إحدى مهامي الأولى هي تطوير استراتيجية الأمن السيبراني لقطاع الرعاية الصحية والاجتماعية. سُئلت مؤخرًا:

“كيف تكتب استراتيجية للأمن السيبراني لشيء كبير ومعقد إلى هذا الحد؟”

لقد تعلمت بعض الدروس هنا وفي الأدوار السابقة حول كتابة الاستراتيجيات ذات النطاقات الهائلة التي تعبر الحدود التنظيمية، وأعتقد أنها تنطبق بسهولة على الإستراتيجية السيبرانية لأي مؤسسة كبيرة. ومع ذلك، فإن حجم وتعقيد الرعاية الصحية والاجتماعية جعل هذه الدروس أكثر أهمية والتي يجب وضعها في الاعتبار هذه المرة.

لا تبدأ من الفشل

أول شيء هو تجنب البدء من المكان الخطأ. الأسئلة التالية تزيد من احتمالية عدم نجاحك في تغيير أي شيء ذي قيمة:

  • ماذا نريد أن نفعل؟
  • ماذا علينا أن نفعل؟
  • ما الإطار الذي يجب أن نستخدمه؟
  • ما هي أهم المخاطر لدينا؟

هذه أسئلة أساسية يجب طرحها لاحقًا في العملية، لكنها المكان الخطأ للبدء. فهي تأتي مصحوبة بافتراضات وتحيزات ضمنية من شأنها أن تنظم عمليتك بشكل صارم للغاية في البداية، وستجعل من الصعب جدًا كسر هذه الافتراضات وتحديها لاحقًا.

حدد السياق الذي أنت فيه

المجال الأول الذي يجب التعامل معه هو السياق التنظيمي. سأقوم بتنظيم هذا كأسئلة للإجابة عليها، وأكثر قابلية للتطبيق على المنظمات والنطاقات المختلفة.

  • ما هو وجود المنظمة للقيام به؟
  • ما هي المنظمة الأنشطة أو الخدمات الهامة؟
  • ما هي وجهة نظر موظفي الخطوط الأمامية حول الجوانب الأمنية التي تنجح وأيها لا تنجح؟
  • من هم صناع القرار الذين يتحكمون في الجداول الزمنية للتنفيذ والموارد والنطاق؟
  • من هم أصحاب المصلحة المسؤولون، وما هي آرائهم وخبراتهم ومعرفتهم؟
  • كيف يتم تكليف الفريق السيبراني، وكيف يتم تنظيمه، ومع من يعملون في جميع أنحاء المؤسسة؟
  • كيف يتم إدارة بقية المخاطر التي تتعرض لها المنظمة؟
  • كيف يتم تنظيم وظائف المكتب الخلفي الأخرى (القانونية والمالية والتكنولوجية والموارد البشرية والتجارية وما إلى ذلك)؟
  • كيف يتم تنظيم الفرق غير السيبرانية التي تقدم النتائج السيبرانية؟
  • ما هي القضايا السيبرانية التي تديرها الآن؟
  • ما هي موثوقية ونطاق البيانات التي تقود فهمك؟
  • ما هو التهديد الذي تواجهه؟
  • ماذا طلب منك أن تفعل؟

أود أن أزعم أنك بحاجة إلى إجابات لهذه الأسئلة قبل أن تذهب إلى أبعد من ذلك.

حدد القيود التي لديك

ثم عليك أن تفهم القيود المفروضة على استراتيجيتك. إن القيود المفروضة على استراتيجيتك هي التي توفر قيودًا على الاحتمالات، ولكنها أيضًا القوى التي تدفع المنظمة وأنت في اتجاهات محددة. قد تبدو هذه الأشياء مزعجة إذا كانت تمثل صعوبة ولكنها في الواقع عوامل تمكين أساسية في تركيز أنشطتك حيث يمكنك إحداث تأثير فعليًا. بعض أسئلة القيود الرئيسية التي تحتاج إلى تضمين الإجابات لها:

  • ما هي القضايا والمشاكل التي تواجه المنظمة في الوقت الحالي؟ وكيف يؤثر ذلك على قدرتك على القيام بعملك؟
  • هل المنظمة وسياقها معقدان حقًا؟
  • ما هي القرارات التي يتعين عليك اتخاذها والتي تعتمد على البيروقراطية أو القادة الآخرين؟
  • من يتحكم في قنوات الاتصال الخاصة بك؟
  • كم عدد الأشخاص لديك وهل يمكن أن يكون لديك؟
  • هل تمتلك المنظمة المهارات التي تحتاجها؟
  • ما مدى سرعة تجنيدك؟
  • من الذي يتخذ قرارات الموافقة على الأدوار الوظيفية، ومن الذي يتخذ قرارات التوظيف؟
  • كم من المال لديك؟
  • متى يمكنك إنفاقها؟
  • ما هو مزيج رأس المال / الإيرادات؟
  • هل هناك أي قوانين خاصة بالقطاع/النشاط أو اتفاقيات شراكة أو اتفاقيات نقابية يجب على المنظمة اتباعها؟

تحديد ما هي الإمكانيات لديك

إن إمكانيات استراتيجيتنا هي التي توفر لنا مجموعة من الاحتمالات. تتضمن الأسئلة الجيدة لتحديد الإمكانيات التي يمكن أن تكون مفيدة في تنفيذ استراتيجية إلكترونية ما يلي:

  • كم عدد القيود التي ينظر إليها بدلا من المطلقة؟
  • ما مقدار السياق الذي يمكنك تغييره بشكل مباشر في استراتيجيتك؟
  • ما مدى تأثير الراعي الخاص بك؟
  • هل لديكم جهة رقابية تهتم بالشؤون السيبرانية؟
  • هل المنظمة موجهة نحو المهمة؟
  • هل المنظمة تعاونية وجماعية؟
  • هل تتعلم المنظمة من الفشل؟
  • ما هي التغييرات التي تريد المنظمة أن تجريها على نفسها؟
  • ما هي الوظائف التنظيمية الأخرى التي قد تتضرر ماديًا أو تحد من الأحداث السيبرانية؟
  • من يريد المساعدة (داخليًا أو خارجيًا)؟
  • هل لدينا البساطة أو النطاق في صالحنا؟
  • ما هي الاستراتيجيات أو البرامج الأخرى الموجودة والتي يمكننا التعاون معها؟
  • ما هي القوة الشرائية النسبية للمنظمات؟
  • ما مدى جاذبيتنا كصاحب عمل؟
  • ما مدى تأثير مؤسستك في قطاعك؟
  • هل القطاع تعاوني؟
  • هل تعمل مؤسستك في العلن؟
  • ما مدى نضج القدرة على إدارة الموردين التجاريين للمنظمة؟

تطوير محتوى استراتيجيتك

بمجرد أن تعرف سياقك وقيودك وإمكانياتك، يمكنك البدء في التفكير فيما ستفعله. تتضمن بعض القواعد الأساسية البسيطة التي من شأنها تحسين استراتيجيتك ما يلي:

  • ابحث عن الأشياء التي تعمل حاليًا. افعل المزيد منها أو استثمر في جعلها تعمل بشكل مذهل.
  • ابحث عن الأشياء التي لا تعمل حاليًا. لا تفترض أنك ستصلح الأمر؛ فكر في إيقافها أو استبدالها فقط.
  • ابدأ بالمؤسسات، واستخدم الإستراتيجية للنظر في الروافع التنظيمية والحوافز لدفع الممارسات التأسيسية.
  • هل تفترض الفشل؟ ما هو عدد الموارد التي تخصصها للتعافي والاستجابة؟
  • ابتعد عن التكنولوجيا والمخاطر وفكر في النتائج التنظيمية الشاملة وكيفية تقديمها.
  • يجب أن تصف الإستراتيجية الحركة أو التغيير الملموس القابل للقياس. أي شيء آخر هو مجرد التمني.

ابدأ الآن بالتفكير في الأسئلة التي طرحناها جانبًا سابقًا ولكن بترتيب مختلف ومع بعض الإضافات:

  1. ما هي أهم المخاطر لدينا؟ هل نثق في تحليلات المخاطر تلك؟ هل نثق بالبيانات التي يعتمدون عليها؟
  2. ما هي الأضرار/الحوادث/الانتهاكات التي شهدناها في السنوات القليلة الماضية؟ ما هو مقدار النقص في الإبلاغ في تقديرك؟ هل نثق في بيانات الحوادث لدينا؟
  3. ماذا علينا أن نفعل؟ لماذا؟ ما هي القيمة؟ كيف سنقيس النجاح؟
  4. ماذا نريد أن نفعل؟ لماذا؟ كيف سنقيس النجاح؟ ما هي القيمة؟
  5. ما هي نماذج التسليم البديلة الموجودة؟ (المصادر الداخلية، والاستعانة بمصادر خارجية، والأتمتة، وتقاسم القدرات، وبناء القدرات، وما إلى ذلك).
  6. ما هو الإرث الذي ستتركه استراتيجيتك وراءك؟
  7. ما الإطار الذي يجب أن نستخدمه؟

كن مستعدًا لقلب مسودة إستراتيجيتك رأسًا على عقب إذا تحدى شخص ما افتراضاتك وكان لديه وجهة نظر معينة. إن الإستراتيجية المصممة بشكل جميل لن تكون لها قيمة كبيرة إذا لم تنجح. خذ ضربة الأنا، وقضاء بعض الوقت في التفكير في الأمر والرد.

ومن بين الدروس المستفادة في العديد من الأدوار في مسيرتي المهنية: حاول ألا تكتب استراتيجيتك إلا بعد أن تقضي ثلاثة أشهر على الأقل في هذا المنصب وتلتقي بفرق العمل والإنترنت في الخطوط الأمامية.

أدوات وموارد قيمة لتطوير الاستراتيجيات السيبرانية

هذا هو المكان الذي يأتي فيه تفكير السماء الزرقاء الكلاسيكي. الكثير من الناس يقسمون به كدح و مدقة، لقد وجدت PESTLE مفيدة ولكنها لم تكن أدواتي المفضلة حتى الآن. فموست (الرؤية والرسالة والأهداف والاستراتيجيات والتكتيكات) تعمل ولكن استخدمها كحافز وليس سجنًا. حدد الموضوعات أو الركائز المهمة التي يتم تجميع التكتيكات أو الأنشطة حولها. رسم خرائط سلسلة القيمة و رسم الخرائط واردلي يمكن أن تساعد في التفاصيل تحت الركائز الاستراتيجية. تحليلات مصفوفة القرار مفيدة بالنسبة لي لأنني أميل نحو أسلوب أكثر وضوحًا في اتخاذ القرار يعتمد على البيانات، وأحب استخدامها للنظر في خيارات التسليم المختلفة بمجرد أن أفهم النتائج التي أرغب في تحقيقها. ما قبل الوفاة ممتازة في تجربتي لاختبار الاستراتيجيات والخطط!

لدى Nick Hutton سلسلة رائعة من مدونات على الأنظمة الفائزة في مجال الإنترنت والتي تستحق القراءة. هذا الاقتباس له قيمة خاصة:

كيف يمكننا تحديد النظام الفائز المحتمل؟ سيكون لها واحد أو أكثر من الخصائص عالية المستوى:

وإذا تطلب الأمر جهدا بشريا، فإن هذا الجهد سوف يقترن بقوة مضاعفة.

وستكون لها خاصية متأصلة تتمثل في القدرة على التكيف مع التهديدات.

وستعمل على افتراض أن الفشل هو حالة حتمية لأي نظام يفترض أنه آمن.

نيك هوتون، https://blog.eutopian.io/forget-solve-the-cyber-security-skills-shortage/

كما أوصي بشدة بالقراءة مدونة فيل فينابلز لمجموعة كاملة من المقالات ذات الصلة باستراتيجية الإنترنت.

أنا أستمتع مدونة ماريو بلات لأننا نشترك في الاهتمام بتأثير التعقيد على الأمن السيبراني، والأشياء المثيرة للاهتمام.

تنفيذ استراتيجيتك

  • خطط لإشراك أصحاب المصلحة بشكل أكبر مما تعتقد أنك بحاجة إليه؛ ثم مضاعفة ذلك.
  • حدد من يمكنك تثقيفه بشأن الأمن الذي من شأنه أن يدعم عملك بشكل غير مباشر؟
  • اجعل العمل مرئيًا واجعل احتكاك التسليم مرئيًا.
  • تشجيع ردود الفعل من الأنشطة لإرشاد العمل في المستقبل.
  • حدد مصدر البيانات التي ستستخدمها لاتخاذ القرارات في العمليات في استراتيجيتك.
  • تحدي نفسك بالتجربة وإنشاء أنشطة في الإستراتيجية للتعلم منها بدلاً من حل المشكلات.

خاتمة

يمكن أن يكون كل سؤال من الأسئلة الموجودة في هذه المدونة مقالًا كاملاً بمفرده، فلا تفكر فيها على أنها بسيطة أو واضحة، بل استفسر حقًا عن الإجابات التي لديك على هذه الأسئلة وما تعنيه لاستراتيجيتك.

ADVTUT
ADVTUThttps://advtut.com
رحلتي تتمحور حول شغفه بأمان البيانات والشبكات، مما قاده إلى إنشاء مدونة توب ديلي. من خلالها، يشارك رؤى ونصائح عملية لجعل الأمان الرقمي متاحًا للجميع. بفضل خلفيته التعليمية القوية، نفهم أمان البيانات في عالم اليوم الذي تتطور فيه التهديدات الإلكترونية أمر ضروري لجميع المستخدمين، وليس فقط للخبراء التقنيين. يهدف إلى تمكين القراء - سواء كانوا من عشاق التقنية المحترفين أو مجرد أشخاص يسعون لحماية معلوماتهم الشخصية. انضموا الينا بينما يستكشف عالم أمان البيانات المثير، ويساعدكم على تعزيز سلامتكم الرقمية على طول الطريق!
مقالات ذات صلة

ترك الرد

من فضلك ادخل تعليقك
من فضلك ادخل اسمك هنا