يساعد إعطاء الأولوية لتدابير الأمني السيبراني لكبار مسؤولي تكنولوجيا المعلومات في قطاع البيع بالتجزئة على تقليل خطورة الهجمات السيبرانية وحماية سمعة شركاتهم وأموالهم وزبائنهم. وفي هذا السياق، يتحدث منير عبد الرحمن مدير تكنولوجيا المعلومات لدى شركة “سبار والسدحان” المتخصصة بالبيع بالتجزئة: “بصفتي مدير تكنولوجيا المعلومات في شركة تجزئة جون وجود مسؤول أمن معلومات متخصص لهذا الشأن، من الأهمية تحديد أولويات التدابير الأمنية السيبرانية لحماية أعمال الشركة من التهديدات المحتملة”.
وفي هذا المقال، يقدم عبد الرحمن بصفته مدير تكنولوجيا المعلومات معروف على مستوى المملكة العربية السعودية، إرشادات مفيدة لشركات التجزئة حول كيفية تعزيز بصمتها الأمنية، ويشرح كيف يمكن أنّ يساعد التعاون واكتساب المعرفة التجار في تعزيز حالتهم الأمني بشكل عام.
في الحالات التي لا يتواجد فيها مدير تنفيذي مسؤول عن أمن المعلومات كيف تعطي الأولوية للإجراءات الأمنية السيبرانية ضمن قطاع التجزئة؟
بصفتي مسؤول تكنولوجيا المعلومات في مؤسسة تجارية لا يوجد لديها مدير مسؤول عن الأمن السيبراني يجب التركيز على إعطاء الأولوية لهذه المسألة لحماية المؤسسة من الهجمات الإلكترونية المتوقعة وذلك من خلال:
- البقاء على إطلاع دائم على آخر التطورات في اتجاهات الأمن السيبراني: البقاء مطلعاً على أحدث اتجاهات الأمن السيبراني والتهديدات وأفضل الممارسات اللازمة لمواجهة ذلك، وهذا يتضمن مراجعة النشرات هذا المجال بانتظام، وحضور المؤتمرات، والمشاركة في منظمات الأمن السيبراني الاحترافية.
- التعاون مع بقية الأقسام الأخرى داخل المؤسسة، مثل قسم التسويق والمالية لضمان تنفيذ إجراءات الأمن السيبراني بشكل متناسق ضن جميع مفاصل المؤسسة، لأن ذلك يتضمن إنشاء قنوات اتصال واضحة، ويضمن أن الأقسام جميعها على إطلاع بمسؤولياتها في مجال الأمن السيبراني.
- تطبيق ميزة المصادقة الثنائية لكل الموظفين الذين يتعاملون مع البيانات أو الأنظمة الحساسة داخل المؤسسة، وستساعد هذه الخطوة في الحد من (تقليل) مخاطر الوصول غير المصرح به إلى الأنظمة الحيوية والبيانات.
- إجراء نسخة احتياطية لجميع البيانات الهامة بانتظام، لتخفيض الآثار الضارة للهجمات السيبرانية أو التقليل قدر الإمكان من حالات خسارة البيانات، ويتم ذلك من خلال إنشاء نسخ احتياطية للبيانات في مواقع خارج مكاتب المؤسسة، واختبار النسخ الاحتياطية بشكل مضمون وبانتظام للتأكد من موثوقيتها.
- تطبيق ضوابط الوصول لتقليل الوصول غير المسموح به إلى بيانات وأنظمة المؤسسة الحساسة، ويتضمن ذلك تعيين حقوق الوصول بناءً على مبدأ “الامتياز الأدنى”، ومراجعة حقوق الوصول بشكل منتظم، وحذف حقوق الوصول للبيانات بالنسبة للموظفين الذين لم يعودوا بحاجة لها.
برأيك ما هي الخطوات التي يجب اتباعها لضمان البقاء على إطلاع مستمر على التهديدات السيبرانية الناشئة في قطاع البيع بالتجزئة؟
بصفتي كمسؤول تكنولوجيا المعلومات في المؤسسة متخصصة بالبيع بالتجزئة، تعد مسألة البقاء على اطلاع دائم على التهديدات الأمنية الناشئة أمراً مهماً لحماية المنظمة من هجمات محتملة، وذلك من خلال:
- الاشتراك في أخبار الأمن السيبراني والإشعارات حولها من مصادر إخبارية ذات موثوقية عالية كالهيئة الوطنية السعودية للأمن السيبراني و”يو.إس- سي.إي.آر.تي”، ومنظمة “التحالف الوطني للأمن السيبراني” و”وكالة الأمن السيبراني والبنية التحتية “سي.آي.إس.إي”، وهذا سيضمن استقبال معلومات حول أحدث التهديدات والثغرات في الوقت المناسب لها.
- حضور مؤتمرات وندوات حول الأمن السيبراني للبقاء على اطلاع على أحدث التطورات في مجال الأمن السيبراني وأفضل الممارسات المبتكرة لمواجهتها، حيث توفر هذه الفعاليات فرصة للتواصل مع خبراء الأمن السيبراني الآخرين والتعلم منهم في هذا المجال.
- الانضمام إلى منظمات مهنية خاصة بالأمن السيبراني مثل: “جمعية التدقيق والرقابة على نظم المعلومات – آي.إس.إي.سي.إي”، وآي.إس.سي” وجمعية أمن المعلومات “آي.إس.إس.إي”، حيث توفر هذه المنظمات وصولاً إلى موارد قيّمة، مثل برامج التدريب والشهادات والندوات عبر الإنترنت وكذلك حضور المؤتمرات.
- الاشتراك في “مركز تبادل المعلومات وتحليلها- آي.إس.إي.سي.إي”: انضم إلى مراكز تبادل المعلومات تحليلها مثل مركز مشاركة المخاطر السيبرانية في قطاع التجزئة “آر-سي.آي.إس.سي” والذي يعد عبارة عن منظمة توفر منتدى لمشاركة المعلومات حول التهديدات الناشئة والثغرات وأفضل الإجراءات.
- التفاعل مع الموردين والشركاء للتأكد من البقاء على علم بأي تهديدات سيبرانية قد تؤثر على المؤسسة، كما يجب أن العمل معهم على تطوير بروتوكولات الأمان والتأكد من أن جميع الأطراف تلتزم بأفضل الممارسات الأمنية.
كيف بإمكانك التأكد من أن الموظفين على علم بمخاطر الأمن السيبراني وينفذون أفضل الممارسات المطلوبة منهم؟
- إجراء دورات تدريبية منتظمة حول الأمن السيبراني لجميع الموظفين لزيادة الوعي بمخاطر الأمن السيبراني وأفضل الإجراءات اللازمة لمواجهتها، ويجب أن تشمل هذه الدورات موضوعات مثل إدارة كلمات الوصول (السر)، وهجمات التصيد (الإحتيالي)، والهندسة الاجتماعية والعادات الآمنة للتصفح عبر الأنترنت.
- وضع سياسة أمنية شاملة تحديد توقعات المنظمة تجاه سلوك الموظفين فيما يتعلق بالأمن السيبراني، ويجب أن تتضمن هذه السياسة توجيهات بشأن إدارة كلمات المرور، والوصول إلى البيانات، والتعامل معها، وكذلك عواقب عدم الامتثال.
- إجراء محاكاة للتصيُّد بالبريد الإلكتروني لاختبار مدى إدراك الموظفين لهذه الهجمات الإلكترونية، وتحديد نقاط الضعف في دفاعات المؤسسة، وهذا سيساعد على تحديد المجالات التي تحتاج للتعزيز وتحسين أهمية عادات التصفح الآمنة.
- توفير تنبيهات أمنية منتظمة للموظفين عبر البريد الإلكتروني والبروشورات.. وغيرها من وسائل الاتصال الأخرى، للتأكيد على أهمية الأمن السيبراني وتوفير نصائح لعادات التصفح الآمنة.
- إظهار الموظفين الذين يتميزون بسلوك حسناً في الأمن السيبراني ومكافأتهم، مثل الإبلاغ عن رسائل البريد الإلكتروني المشبوهة أو اتباع عادات التصفح الآمنة، وهذا سيساعد على تعزيز أهمية الأمن السيبراني وتشجيع الموظفين على الالتزام بأفضل الإجراءات لمواجهته.
ما الاستراتيجيات التي يجب استخدامها لتأسيس فريق أمني قوي داخل مؤسستك؟
يعد تأسيس فريق أمني ناجح وقوي من الأمور الحاسمة لنجاح المؤسسة في التصدي للتهديدات السيبرانية، وذلك يتم من خلال:
- توظيف خبراء متمرسين في مجال الأمن ويمتلكون خبرة مهنية حافلة وناجحة في إدارة والتصدي للتهديدات السيبرانية، والبحث عن المرشحين للعمل من الحاصلين على شهادات تخصصية في هذا المجال، مثل أخصائي أمن نظم المعلومات المعتمدين “سي.آي.أس.أي.بي”، أو مدير أمن المعلومات “سي.آي.أس.أم”، أو المخترق الأخلاقي (الهكر) “سي.إي.أتش”.
- تعزيز ثقافة الأمن داخل المؤسسة وإعطائها الأولوية القصوى، والترويج للوعي الأمني في جميع أنحاء الشركة، ويشمل ذلك التدريب المنتظم والتواصل والتعزيز للسياسات والإجراءات الأمنية.
- تشجيع التعاون بين فريق الأمن وإدارات الأقسام الأخرى لضمان الانسجام بين جميع أقسام المؤسسة مع الأهداف والغايات الأمنية، ويتضمن ذلك تطوير الفرق المتعددة المهام، وتأسيس خطوط اتصال واضحة بين الأقسام.
- استخدام التكنولوجيا لأتمتة المهام الأمنية الروتينية، مثل إجراء مسح للثغرات وإدارة التصحيحات ليستطيع فريق الأمن استغلال الوقت في التركيز على الأنشطة ذات القيمة الأعلى.
- وضع المعايير اللازمة لقياس فعالية جهود فريق الأمن وتتبع تقدمه نحو الأهداف الأمنية، ويشمل ذلك تحديد أهداف قابلة للقياس، ومراجعة الأداء بشكل منتظم لتحديد المجالات التي يمكن تحسينها.
- توفير فرص التطوير المهني لأعضاء فرق الأمني لتشجيعهم على التحسن المهني والاحتفاظ بهم، ويتضمن ذلك تقديم البرامج التدريبية والشهادات والتوجيه وفرص الترفيع.
هل بإمكانك الحديث عن أهمية التعاون واكتساب المعرفة لضمان الأمن السيبراني الناجح في مجال قطاع البيع بالتجزئة؟
يعد التعاون واكتساب المعرفة ضروريان لضمان الأمن السيبراني الناجح في مجال البيع بالتجزئة، حيث تتطور تهديدات الأمان السيبراني باستمرار وتصبح أكثر تعقيداً وتزداد صعوبة البقاء على إطلاع على هذه التهديدات بدون التعاون واكتساب المعرفة بشكل مستمر لأي مؤسسة. وفيما يلي بعض الأسباب التي تجعل التعاون واكتساب المعرفة مهمين لضمان الأمن السيبراني الناجح في مجال البيع بالتجزئة:
- مشاركة معلومات التهديدات الأمنية: يمكن لتجار التجزئة من خلال التعاون مع المؤسسات الأخرى، تبادل المعلومات حول تهديدات الأمن السيبراني والهجمات المحتملة، وهذه المعلومات المتبادلة تساعد في تحديد التهديدات الجديدة وتطوير استراتيجيات فعّالة للتصدي لها.
- الاستفادة من خبرات الآخرين: يسمح التعاون بين التجار بالاستفادة من خبرات المؤسسات الأخرى في هذا المجال، بما في ذلك الاستفادة من نجاحاتهم وإخفاقاتهم، بالإضافة إلى استراتيجياتهم المتبعة لإدارة التهديدات السيبرانية.
- الوصول إلى الخبرات التخصصية، يوفر التعاون بين المؤسسات إمكانية الوصول إلى الخبرات التخصصية التي قد لا تكون متوفرة لدى المؤسسة التي نعمل بها، وهذا يتضمن الخبرة في مجالات مثل الاستخبار عن تهديدات الأمن، والاستجابة للاستفسارات وإدارة نقاط الضعف.
- تعزيز مهارات ومعارف الموظفين؛ يمكن أن يساعد التعاون واكتساب المعرفة في تعزيز المعرفة والمهارات لدى الموظفين داخل المؤسسة. ويتضمن ذلك توفير فرص التدريب والتطوير، إضافة إلى التعرف على أفضل الممارسات والتقنيات الحديثة.
- تعزيز موقف الأمن السيبراني: إنّ التعاون واكتساب المعرفة التجار يساعد على تعزيز الموقف الأمني عموماً من خلال تحديد نقاط الضعف في استراتيجيات الأمن السيبراني الحالية، وتطوير استراتيجيات جديدة أكثر فعالة لمعالجتها.
كيف يمكنك الترويج لثقافة التوعية بالأمن السيبراني في جميع مفاصل مؤسستك؟
بصفتي رئيس تنفيذي لتكنولوجيا المعلومات، يمكنني أن أقدم لكم بعض الاستراتيجيات التي يمكن استخدامها لتعزيز ثقافة التوعية بالأمن السيبراني في جميع أرجاء مؤسستنا، وهي:
- تطوير برنامج تدريبي شامل في مجال الأمن، يغطي جميع الموظفين والمتعاقدين في المؤسسة، يشمل آخر ما يتعلق بالتهديدات السيبرانية، وأفضل الممارسات لحماية البيانات والأنظمة، وكيفية الاستجابة للحوادث الأمنية داخل المؤسسة.
- جعل الأمن السيبراني أولوية قصوى داخل المؤسسة، والتوعية بأهميته لجميع الموظفين، وذلك من خلال التواصل بشكل منتظم معهم لتوضيح المخاطر والتهديدات التي تواجه المؤسسة، ومشاركة التجارب الناجحة والتأكيد على أهمية الأمن السيبراني في العمليات التجارية.
- تشجيع الموظفين جميعاً على الإبلاغ فوراً عن أي نشاط مشبوه أو حوادث أمنية، مع توفير إجراءات واضحة للإبلاغ عن الحوادث، وضمان إدراك الموظفين لأهمية الإبلاغ عن التهديدات في أسرع وقت ممكن.
- تنظيم حملات توعية دورية لرفع مستوى الوعي الأمني لدى الموظفين، وإبقائهم على إطلاع مستمر على آخر مستجدات الأمن وأفضل الممارسات، من خلال النشرات الإخبارية والبروشورات وغيرها من قنوات التواصل لتعزيز الرسائل الأمنية.
- استخدام الألعاب التعليمية لزيادة التفاعل وتشجيع الموظفين على اعتماد السلوكيات الأمنية الجيدة، ويمكن ذلك من خلال الأسئلة والألغاز وغيرها من الأنشطة التفاعلية التي تجعل التدريب على الأمن أكثر جاذبية وإثارة للاهتمام.
- بصفتي رئيس تنفيذي لتكنولوجيا المعلومات، يجب أن أكون القدوة وأن أظهر التزاماً قوياً بالأمن السيبراني، من خلال تطبيق جميع سياسات الأمان وإجراءاته، والتواصل الدائم مع الموظفين حول المخاطر الأمنية وأفضل الممارسات، واعتماد نهج استباقي فيما يتعلق بالحوادث الأمنية.
ما هي المنتديات أو المجموعات الأمن السيبراني الفعّالة التي يمكن المشاركة فيها؟
- منتدى ريديت إس.آر/ سايبرسيكيورتي- Reddit’s r/cybersecurity: وهو منتدى شائع حيث يشارك المحترفون والهواة في مجال الأمن السيبراني الأخبار والنصائح والموارد.
- سايبرسيكيورتي إنسيدر- Cybersecurity insiders: وهو مجتمع يضم متخصصين في مجال الأمن السيبراني يقدمون الأخبار والتحليلات والرؤى حول أحدث اتجاهات الأمن السيبراني.
- مشروع أواسب – OWASP: وهو مشروع الشبكة المفتوحة لأمان تطبيقات الويب هو منظمة غير ربحية توفر معلومات حول أمن تطبيقات الويب.
- إيساكا ISACA: جمعية التدقيق والرقابة على نظم المعلومات، وهي منظمة دولية تركز على حوكمة المعلومات والأمن والمراجعة.
- معهد سانس- SANS: منظمة تدريب واعتماد تقدم مجموعة متنوعة من الدورات في مجال الأمن السيبراني.
- الهيئة الوطنية السعودية للأمن السيبراني- NCA.
- المحترفون (ِشيوخ الكار) في المجال السحابي: وهم الأشخاص الأعضاء في مجلس الأمن السيبراني.
كيف تقاس فعالية تدابير الأمن السيبراني في مجال قطاع البيع بالتجزئة؟
قد يكون قياس فعالية تدابير الأمن السيبراني في صناعة التجزئة أمراً ليس بالسهولة، إذ يتطلب ذلك مراعاة العديد من العوامل، ورغم ذلك، هناك عدة وسائل يمكن اللجوء إليها لتقييم فعالية تدابير الأمن السيبراني:
- يمكن أن تساعد عمليات التقييم المنتظمة للثغرات على التعرف على النقاط الضعيفة في النظم والتطبيقات الخاصة بمجال عملك، حيث يمكن استخدام أدوات المسح لتحديد الثغرات المعروفة وتحديد أولويات التصحيح.
- يشمل اختبار الاختراق محاكاة هجوم سيبراني افتراضي لاختبار فعالية دفاعاتك، ويمكن أن يساعد هذا الاختبار في التعرف على الثغرات التي قد لا يتم الكشف عنها بواسطة أدوات المسح الآلي.
- يمكن لاختبار خطة الاستجابة للحوادث أن تساعد في تحدد ما إذا كان فريقك مستعداً للرد على هجوم سيبراني، وهذا يمكن أن يشمل تمارين الطاولة أو محاكاة الهجمات السيبرانية.
- يمكن أن يساعد تعليم الموظفين مخاطر الأمن السيبراني والممارسات الأفضل في تقليل احتمالية نجاح الهجمات السيبرانية، ويمكن أن يتم قياس فعالية برنامج التدريب من خلال عمليات التقييم أو الاستبيانات.
- يمكن أن يكون الامتثال للوائح والمعايير الخاصة بمجال العمل مؤشراً جيداً على فعالية تدابير الأمن السيبراني، ويمكن أن تساعد الفحوصات المتكررة على التأكد من تلبية المتطلبات التنظيمية.
هل يمكنك أن شرح لنا أهمية توظيف وتدريب المتخصصين في مجال الأمن السيبراني؟
إنّ عملية توظيف وتدريب المتخصصين في الأمن السيبراني ضرورية لأي منظمة ترغب في حماية أصولها من التهديدات السيبرانية. وفيما يلي بعض الأسباب التي تقف وراء ذلك:
- الحماية المتزايدة: يتمتع المتخصصون في الأمن السيبراني بالخبرة اللازمة لتحديد والرد على التهديدات السيبرانية قبل أن تتسبب بأضرار كبيرة للمؤسسة، وعبر توظيف وتدريب المتخصصين في الأمن السيبراني، يمكن للمنظمات تحسين حالتها الأمنية العامة وحماية أصولها بشكل أفضل.
- الامتثال: توجد لدى العديد من الصناعات تعليمات ومتطلبات للامتثال للأمن السيبراني، ويمكن أن يساعد تعيين المتخصصين المنظمات على التأكد من الامتثال لهذه المتطلبات، ما يمكّنها من تجنب العواقب القانونية والمالية لعدم الامتثال.
- إدارة المخاطر: يمكن للمتخصصين في الأمن السيبراني المساعدة في تحديد وتقييم مخاطر الأمن السيبراني وتطوير استراتيجيات للحد من هذه المخاطر، مما يساعد المنظمات على تجنب انتهاكات للبيانات المكلفة والحوادث السيبرانية الأخرى.
- الاستجابة للحوادث: في حال وقوع أي خطر سيبراني، يمكن للمتخصصين في الأمن السيبراني التعرف على التهديد والرد عليه بسرعة، وتقليل التأثير على عمليات المنظمة وسمعتها.
- الابتكار: يمكن للمتخصصين في مجال الأمن السيبراني مساعدة المنظمات على البقاء على اتصال مع أحدث تقنيات الأمان والممارسات الأفضل، مما يساعد على دفع الابتكار والتنافسية في مجال الأمن السيبراني سريع التطور.
أخيراً.. ما هي أكبر التحديات التي تواجهها عند يتعلق الأمر بدمج التكنولوجيا الجديدة مع الأنظمة الحالية في قطاع البيع بالتجزئة، وكيف يمكنك التتغلب عليها؟
- تعد مسألة إقناع قطاع الأعمال ومجلس الإدارة من الخطوات الأساسية في دمج التكنولوجيا الجديدة مع الأنظمة الحالية في قطاع البيع بالتجزئة، يمكن للتكنولوجيا الجديدة أن تسبب مخاطر جديدة للأمن والخصوصية، مما يشكل قلقاً لتجار التجزئة الذين يتعاملون مع بيانات العملاء الحساسة. وللتغلب على ذلك الوضع، يجب على المنظمات التأكد من أن الأنظمة الجديدة تتمتع بميزات أمان وخصوصية قوية مدمجة فيها، ويمكن أن يشمل ذلك أمور التشفير وضوابط الوصول وأدوات المراقبة.