جينيفر فيبلكورن |بلانت موران

يمكن أن يكون اختراق الأمن السيبراني مكلفًا ويسبب ضررًا طويل الأجل لسمعة مجموعتك من الأسهم الخاصة وعلامتها التجارية. كما يمكن أن يعرقل صفقات الاندماج والاستحواذ التي تعتبر بالغة الأهمية لبقاء صندوقك. ابدأ برنامج إدارة المخاطر هنا.

امرأة جالسة في منطقة خارجية لمبنى تستخدم حاسوبها المحمول.P

تدرك مجموعات الأسهم الخاصة (PEGs) أن الحوادث السيبرانية يمكن أن يكون لها آثار مالية خطيرة وآثار ضارة على أموالها أو شركات محفظتها أو على سمعة المؤسسة وعلامتها التجارية، ولكن يمكن أن يكون لمخاوف الأمن السيبراني الأقل وضوحاً عواقب وخيمة بنفس القدر. خذ على سبيل المثال صفقة بيع وشراء: هل ترغب في شراء شركة ذات مسؤولية محتملة عن اختراق إلكتروني كبير لم يتم الكشف عنه؟ هل ستبيع شركة فقط لتدرك أن البيانات الشخصية التي لا علاقة لها بالكيان المباع قد تم نقلها عن غير قصد إلى المؤسسة المستحوذة؟ أو ماذا لو حدث هجوم فيروس الفدية أثناء الصفقة وأفسد الصفقة؟

يمكنك التخفيف من حدة هذه السيناريوهات من خلال الإدارة الاستباقية والفعالة لمخاطر الأمن السيبراني التي تعالج سبعة مجالات رئيسية.

الحوكمة وإدارة المخاطر

يجب أن تبدأ الرقابة على الأمن السيبراني من الإدارة باستخدام منهجية "النغمة في القمة". يجب أن توفر التمويل لإطار عمل إلكتروني رفيع المستوى، ويجب على مديري شركات المحافظ المالية اتباع المنهجية لضمان تنفيذ الضوابط الصحيحة في مؤسساتهم. يجب أن تبدأ إدارة المخاطر بتقييم منظم للمخاطر السيبرانية يتبعه استثمار مناسب في الأشخاص والعمليات والتكنولوجيا. يجب أن تخصص خطة إدارة المخاطر الموارد للعناصر عالية المخاطر بدلاً من التقنيات التي يروج لها البائعون. على سبيل المثال، قد يكون من الأكثر فعالية إدارة مخاطر التصيد الاحتيالي من خلال تدريب الموظفين على التوعية بدلاً من نشر برامج تصفية البريد الإلكتروني.

يجب أن تبدأ إدارة المخاطر بتقييم منظم للمخاطر السيبرانية يتبعه استثمار مناسب في الأشخاص والعمليات والتكنولوجيا.

امتيازات وصول المستخدم

كثيراً ما يُقال إن المستخدمين هم الحلقة الأضعف، وتُظهر الإحصائيات أن نصف الحوادث الإلكترونية سببها المستخدمون. في كثير من الأحيان، لا تكون أفعالهم مقصودة أو احتيالية، ولكن كان من الممكن منعها من خلال ضوابط أكثر صرامة على المستخدمين. خذ، على سبيل المثال، حالة المراقب الذي قام بتحويل 500,000 دولار إلى كيان خارجي عن براءة بناءً على رسالة بريد إلكتروني احتيالية. لو لم يكن لديه أو لديها أذونات للموافقة بمفرده على عملية دفع بهذا الحجم، لربما كان من الممكن تجنب الكارثة. وبالمثل، قبل وبعد صفقة الاندماج والاستحواذ، يجب مراجعة وصول المستخدم للتأكد من أن المستخدمين من الكيان السابق لم يعد لديهم حق الوصول. حتى لو لم تكن الصفقة قيد الإعداد، فمن الحكمة مراجعة امتيازات الوصول بشكل دوري (نوصي على الأقل سنويًا) لضمان أن يكون الوصول حديثًا وملائمًا للأدوار التي يتم تنفيذها. كما أن إزالة الوصول في الوقت المناسب للموظفين المغادرين أمر حيوي أيضاً. تذكر، تمامًا كما تراقب الوصول المادي باستخدام الكاميرات وحراس الأمن، يجب عليك مراقبة جميع وصول المستخدمين ونشاطهم على شبكتك.

منع فقدان البيانات

يهدف منع فقدان البيانات إلى الحد من نقل البيانات غير المصرح به أو "تسرب" المعلومات الشخصية أو الملكية الفكرية لمؤسستك. يمكن حماية البيانات الحساسة باتباع أنشطة الوقاية المهمة التالية:

  • حماية المحيط الخارجي: على غرار أمن أصولك المادية، تحتاج الشبكة إلى محيط خارجي قوي لإدارة حركة المرور الواردة والصادرة. ومن الضروري استخدام تقنيات مثل جدران الحماية، وأنظمة كشف التسلل والوقاية منه، وتصفية محتوى البريد الإلكتروني.
  • عمليات فحص الشبكة: عمليات الفحص المنتظمة لنقاط الضعف في الشبكة ضرورية لتحديد نقاط الضعف مثل عدم وجود تصحيحات أمنية حرجة مفقودة والبرمجيات الخبيثة وما إلى ذلك.
  • إدارة التصحيح: يجب تنفيذ برنامج إدارة التصحيح ومكافحة الفيروسات عبر جميع الأجهزة والبرمجيات، بما في ذلك التكنولوجيا التي يستضيفها البائعون. فالأنظمة التي تعمل على برمجيات قديمة أو غير مصححة هي الهدف المفضل للقراصنة.
  • الأجهزة غير المصرح بها والاستخدام الشخصي: قلل من نواقل فقدان البيانات عن طريق الحد من استخدام أجهزة USB ووظيفة الطباعة على الأجهزة المتصلة بالشبكة. وبالمثل، سيؤدي الحد من الوصول إلى البريد الإلكتروني الشخصي وبوابات مشاركة الملفات عبر الإنترنت إلى منع الموظفين من نقل البيانات/الملفات خارج شبكة الشركة.
  • التشفير: سيؤدي تشفير البيانات في حالة السكون والحركة إلى تقييد الوصول غير المصرح به في حالة حدوث اختراق.

أمان الهاتف المحمول

نظرًا لأن الوصول إلى بيانات الشركة عبر الأجهزة المحمولة أصبح أمرًا شائعًا، فإن الأجهزة المملوكة للموظفين مثل الهواتف والأجهزة اللوحية تحتاج إلى ضوابط مماثلة لتلك الموجودة على أجهزة الكمبيوتر المحمولة التي تديرها الشركة. هل لديك القدرة على حماية بيانات الشركة ومحوها على جهاز مسروق؟ هل يمكنك منع الموظفين من استخدام الجهاز المحمول لتسريب البيانات عن طريق حفظ الملفات من مجلد مقيد إلى مجلد مفتوح على الهاتف، أو التقاط لقطات شاشة، أو لصق البيانات من ملف مقيد إلى الجهاز المحمول؟ يمكن أن يوفر لك برنامج إدارة الأجهزة المحمولة ضماناً أكبر في هذا المجال.

الاستجابة للحوادث

في حالة حدوث اختراقات، هل ستصاب مؤسستك بالذعر وتعتمد على الأعمال البطولية للأفراد؟ أم أن لديك فريق استجابة مخصص وخطة عمل مدروسة ومختبرة بشكل جيد؟ هل تتضمن خطتك الإجراءات المطلوبة من قبل شركة التأمين والقوانين ذات الصلة؟ هذا مجال تغفل عنه معظم المؤسسات. لقد رأينا العديد من الإجراءات الموثقة التي تفشل خلال أول 15 دقيقة من الاختراق. لا تدع هذا يحدث لك. اختبر خطتك وحدد أوجه القصور قبل حدوث ما لا يمكن تصوره.

إدارة البائعين

تُظهر حوادث الاختراق الإلكتروني الأخيرة أن هناك أعدادًا متزايدة من حالات اختراق البيانات الخاصة لدى البائعين. هل قمت بتقييم قدرات الأمن السيبراني لدى البائعين لديك؟ تأكد من أن البائعين يحمون بياناتك وفقًا لمعاييرك وأن معايير الإخطار المناسبة موجودة وسيتم اتباعها في حالة حدوث اختراق. تذكّر أيضًا أن تتحقق مما إذا كانت بوليصة التأمين الخاصة بك تغطي التكاليف المتعلقة بالاختراق من قبل البائع.

التدريب والتوعية

أخيرًا وليس آخرًا - التدريب المستمر ضروري لتذكير الموظفين بأحدث المخاطر الإلكترونية والمسؤوليات التي تتماشى مع دورهم. نوصي بالتدريب السنوي الإلزامي للتوعية الأمنية الإلزامية الذي يتضمن نصائح حول كلمات المرور، والتوعية بالتصيد الاحتيالي، ومنع الإجراءات التي تعرض المؤسسة للخطر (مثل توصيل الأجهزة غير المصرح بها بالشبكة)، ونصائح حول منع فقدان البيانات، وبمن يجب الاتصال للإبلاغ عن أي نشاط مشبوه.

التدريب المستمر ضروري لتذكير الموظفين بأحدث المخاطر السيبرانية والمسؤوليات التي تتماشى مع دورهم.

لقد عملت بجد لزيادة قيمة استثماراتك وتنمية محفظتك الاستثمارية. لا تدع حادثاً إلكترونياً يدمر سمعتك ويعرض أصول بياناتك للخطر. تابع القراءة لتتعلم كيف يمكنك استخدام استراتيجية المرونة الإلكترونية لحماية مؤسستك وشركات محفظتك الاستثمارية من تهديدات الأمن الإلكتروني.