أحد صفحات التقدم العلمي للنشر
أمن المعلومات

اجعل الأمن السيبراني أصلاً استراتيجياً

بترقية الأمن السيبراني من ضرورة تشغيلية إلى مصدر للفرص، يُمكن للقادة تعزيز المرونة وميزات الأعمال.

في 27 يونيو 2017 شغل موظفو أكثر من 80 شركة عالمية حواسيبهم ليجدوا فقط شاشة سوداء مع رسالة تقول، ”عفواً، ملفاتكم المهمة مُشفَّرة“، مع طلب دفع بيتكوين لفك تشفير الملفات. وفي غضون ساعات قليلة بدأ المديرون يدركون مدى اتساع نطاق الهجوم: أصابت البرمجيات الخبيثة Malware خوادم الشركات المركزية؛ مما أدى إلى شل كل جانب من جوانب العمليات العالمية، بما في ذلك التواصل بين المكاتب، والوصول إلى الوثائق، والوصول إلى بيانات العملاء، أنظمة التشغيل والتصنيع كلها. وفي نهاية المطاف تسبب فيروس ”نوت بيتيا“ NotPetya، الذي بدأ انتشاره عبر وظيفة تحديث البرمجيات لبرنامج إعداد الضرائب الأوكرانية المستخدم على نطاق واسع، في أضرار اقتصادية عالمية تتجاوز عشرة بلايين دولار في صناعات مثل النقل والطاقة والمستحضرات الصيدلانية وإنتاج الأغذية والسلع الاستهلاكية والخدمات المهنية.1A. Greenberg, “The Untold Story of NotPetya, the Most Devastating Cyberattack in History,” Wired, Aug. 22, 2018, www.wired.com.

وعلى الرغم من هذه الأمثلة على الهجمات السيبرانية المدمرة على المؤسسات الكبرى، إلا أن العديد من أكبر الشركات في العالم لا يزال غير مستعد لها.2See, for example, P. Mee and J. Cummings, “Is Your Company Ready for a Cyberattack?” MIT Sloan Management Review, Dec. 4, 2018, https://sloanreview.mit.edu; R.A. Rothrock, J. Kaplan, and F. Van der Oord, “The Board’s Role in Managing Cybersecurity Risks,” MIT Sloan Management Review 59, no. 2 (winter 2018): 12-15; and M.E. Mangelsdorf, “What Executives Get Wrong About Cybersecurity,” MIT Sloan Management Review 58, no. 2 (winter 2017): 22-24. وعلى الرغم من أن المسؤولين التنفيذيين يعترفون بالأمن السيبراني كجزء مهم من تخطيط تكنولوجيا المعلومات، إلا أنهم يسيئون فهم الطابع الاستراتيجي للهجمات السيبرانية، سواء باعتبارها تهديداً خطيراً للإيرادات والعمليات، أم كفرصة Opportunity. نعم، فرصة.

درسنا ثلاث شركات عالمية، تتنافس في الخدمات اللوجستية والسلع الاستهلاكية3To preserve confidentiality, we are referring to the companies by industry — logistics, consumer products, and professional services — rather than by name. والخدمات المهنية، عانت هجومَ نوت بيتيا عام 2017 (انظر: الأبحاث، ص 42). ووجدنا أن المسؤولين التنفيذيين الذين نجحوا في إدارة الهجمات السيبرانية يعتبرون الآن الأمن السيبراني أولوية استراتيجية عند أعلى مستوى. وقالوا لنا إن أكبر خطأ في الفترة التي سبقت هجوم ”نوت بيتيا“ هو التعامل مع الأمن السيبراني كمسألة تشغيلية. وبعدما تعرضوا لهجوم، أدرك المسؤولون التنفيذيون في شركة المنتجات الاستهلاكية أن منع الهجمات السيبرانية غير ممكن لكنه يجب الاستعداد لها، في حين أدرك مجلس الإدارة أن أثر الهجوم لا يقتصر على تكنولوجيا المعلومات، بل يؤثر في أجندتها بكاملها.

ما أدركه هؤلاء المسؤولون التنفيذيون هو أن المرونة المؤسسية Organizational resilience أمام الهجمات السيبرانية تتطلب تغييراً أساسياً في العقلية: يجب على المسؤولين التنفيذيين النظر إلى الأمن السيبراني على أنه استراتيجي وليس تشغيلياً، وفرصة وليس تكلفة.

ماذا نعني بـ”الفرصة“؟ توفر استراتيجية الأمن السيبراني الناضجة أساساً لتأمين الأصول الحيوية وعمليات الأعمال، وتعزيز التعلم المؤسسي، وإتاحة الفرص الاستراتيجية الجديدة والاستفادة من هذه الفرص. وقد تكشف عن مواطن قوة جديدة ونقاط ضعف أساسية في فرق القيادة والقدرات المؤسسية. ومن بين الشركات التي تناولتها أبحاثنا، وجد بعضها أن الهجمات السيبرانية مهدت الطريق لنموذج أعمال رقمي بالكامل أو ساعدتهم على تطوير مقترح إضافة قيمة جديدة لصالح أمان للعملاء. وتقدم أبحاثنا طرقاً جديدة للتفكير في الأمن السيبراني وتوفر إطاراً بسيطاً لتقييم المرونة المؤسسية.

لماذا يتعامل المسؤولون التنفيذيون مع الأمن السيبراني على أنه تشغيلي وليس استراتيجياً؟

من السهل فهم سبب فشل المسؤولين التنفيذيين في الاعتراف بالأمن السيبراني كأولوية استراتيجية، حتى مع شروع العديد منهم في استراتيجيات التحول الرقمي Digital transformation.

الأمن السيبراني مفوض إلى تكنولوجيا المعلومات. كان الحفاظ على الأنظمة الآمنة تقليدياً مسؤولية تكنولوجيا المعلومات – وفي كثير من الحالات، لا يُنظَر إلى تكنولوجيا المعلومات نفسها على أنها هي التي توفر الميزة الاستراتيجية، بل على أنها مزود خدمات داخلي مسؤول في المقام الأول عن إبقاء الأنظمة قيد التشغيل. وحتى مع تضخم التهديدات السيبرانية للأعمال في شكل كبير، ومع الاعتراف في كثير من الحالات بأن التكنولوجيا أكثر استراتيجية للأعمال، ظل الأمن السيبراني متروكا لإدارة تكنولوجيا المعلومات، حيث توجد الخبرة التقنية اللازمة لتقييم التهديدات السيبرانية والاستجابة لها.

تسيء الشركات فهم الطبيعة الاستراتيجية لمخاطر الأمن السيبراني. يفشل العديد من المسؤولين التنفيذيين في رفع خطر الهجوم السيبراني إلى مصاف الاعتبارات الاستراتيجية لأنهم يسيئون وصف التهديد بأنه حدث عشوائي لا يمكن توقعه – في حين أن في الواقع، لا توجد مؤسسة محصنة، وتكون الهجمات السيبرانية ”مفاجآت يمكن توقعها“ تستغل نقاط الضعف في الاستراتيجيات والقدرات المؤسسية. وتمثل بعض الشركات أهدافاً أكثر جاذبية من غيرها، لكن في الواقع، يهاجم المجرمون السيبرانيون مباشرة المؤسسات من الأنواع كلها، وتعاني العديد من الشركات الأخرى أضراراً جانبية في سياق الهجمات على شركات أخرى.

الأبحاث

درسنا ثلاث شركات عالمية، في الخدمات اللوجستية والسلع الاستهلاكية والخدمات المهنية، تعرضت لهجوم برامج الفدية لعام 2017 المعروفة بـ”نوت بيتيا“. فقد قابلنا رؤساء تنفيذيين، ومسؤولين ماليين تنفيذيين، ومسؤولين رئيسيين عن التكنولوجيا الرقمية، ومسؤولين تنفيذيين أعلين آخرين، واستعرضنا الوثائق الداخلية، والعروض التقديمية، وملفات الفيديو المتعلقة بالأحداث التي وقعت قبل الهجوم السيبراني وأثناءه وبعده.

وقابلنا مشاركين آخرين في الصناعة وتحققنا من النتائج التي توصلنا إليها بمناقشتها مع المسؤولين التنفيذيين في الشركات التي تعرضت لهجمات سيبرانية مختلفة وخبراء في الاستشارات في مجال الأمن السيبراني والتأمين السيبراني وخدمات الاستقصاء وأمن المعلومات.

واستناداً إلى مقابلاتنا وبياناتنا، فقد أعددنا دراسات حالة مقارنة عن الإعداد للهجمات السيبرانية، والاستجابة لها، والمرونة في التعافي منها وطورنا المفاهيم الواردة في هذه الورقة.

تبقي الشركات الهجمات قيد الكتمان. أفاد أحد المسؤولين التنفيذيين في دراستنا بوجود بعض العمليات والإجراءات، لكن بمجرد أن وقعت شركته ضحية، سرعان ما أدركت مدى سوء إعدادها ومدى قلة ما نعرفه بالفعل عن المخاطر الحقيقية للتعرض إلى هجوم. وقد تتفاقم هذه السذاجة بسبب الميل بين المؤسسات التي تعرضت لهجوم إلى نشر أقل قدر ممكن من المعلومات عن الحدث – الأمر الذي قد يقلل من المدى الحقيقي للمخاطر. كما أن إبقاء الهجمات السيبرانية سرية يعني أن أفضل الممارسات للرد عليها غير مشتركة ولا يمكن للمسؤولين التنفيذيين التعلم من الهجمات السيبرانية على الشركات الأخرى.

يحدد المسؤولون التنفيذيون أولويات استراتيجية على أساس مجالات خبراتهم. وجدنا كذلك أن المسؤولين التنفيذيين فشلوا في إدراج الأمن السيبراني من ضمن أولوياتهم الاستراتيجية لأن خططهم الاستراتيجية وقراراتهم الاستثمارية الرئيسية ركزت على المجالات التي يمتلكون فيها خبرة سابقة أو خبرة تقنية، مثل الهندسة والتمويل والتسويق. والهجمات السيبرانية غير روتينية ويصعب التخطيط لها، والعديد من المسؤولين التنفيذيين لم يتعرضوا لهجوم سيبراني خطير. ويتمثل الاتجاه الإدراكي بالاستمرار بالأولويات الاستراتيجية نفسها، وتفسير غياب الهجوم السيبراني كدليل على أن الشركة تسير على الطريق الصحيح. وبعد الهجوم السيبراني ”نوت بيتيا“ أدرك المسؤولون التنفيذيون أهمية تحديد المسائل الاستراتيجية وفق آثارها المحتملة في أداء الشركة.

قلب رواية الأمن السيبراني

شهد المسؤولون التنفيذيون في الطبقات العليا الذين قادوا شركاتهم من خلال الهجمات السيبرانية تغييراً أساسياً في ذهنياتهم؛ مما حوّل تصوراتهم للأمن السيبراني من تشغيلية إلى استراتيجية، ومن تفاعلية إلى استباقية، ومن تصورات توجهها التهديدات إلى تصورات توجهها الفرص. ومن الناحية العملية، فإن ذلك يعني أخذ التهديدات السيبرانية على محمل الجد عند أعلى مستويات اتخاذ القرار. وقال لنا الرئيس التنفيذي لشركة للخدمات اللوجستية: ”قبل الهجوم، لم أكن أتصور قطُّ أن الهجوم السيبراني قد يكون عالمياً في لحظة، وهو ما كان مفاجأة كبيرة. كنا نفعل شيئاً حيال الإنترنت، لذلك يبدو أننا كنا نفعل شيئاً صحيحاً، لكنه كان أقرب إلى الإقرار بالأمر بدلاً من فهمه حقاً“.

وقبل هجوم ”نوت بيتيا“ ارتكب المسؤولون التنفيذيون خطأ النظر إلى استثمارات الأمن السيبراني على أنها حالة يخسر فيها الجميع. وشعروا بأنه إذا هوجمت شركتهم، فسيفقدون سمعتهم وأرباحهم؛ وإذا لم تتعرض شركتهم لهجوم، فستضيع الاستثمارات في الأمن السيبراني. ونتيجة لذلك، فقد كانت الشركات تستثمر أقل مما يجب في الأمن السيبراني.

وفي أعقاب الهجوم السيبراني أعرب المسؤولون التنفيذيون عن تقديرهم للقيمة الاستراتيجية للاستثمارات في مجال الأمن السيبراني، ليس فقط للتخفيف من المخاطر أو تقليل الضرر، لكن لتعزيز القدرات الاستراتيجية الأساسية للشركة. مثلاً، قال لنا مسؤول تنفيذي في مجال الخدمات المهنية إن الهجوم السيبراني ”كان تهديداً وجودياً لأعمالنا، وأحد الأشياء التي يظهرها هو أين نتمتع بقيادة قوية وأين نعاني ضعفا في القيادة“. وكما تفعل الأزمات، سلط الهجوم الضوء صراحة على جيوب الضعف تلك، فلو اتخذت الشركة نهجاً استراتيجياً في الإعداد؛ لكانت عرفت أيّاً من القادة يحتاجون إلى تدريب أفضل للتعامل مع الاستجابة.

وفي مجال الخدمات اللوجستية، حيث تعتمد القدرة التنافسية على السرعة في تقديم حلول جديدة إلى السوق، حولت استثمارات الأمن السيبراني المركز التنافسي للشركة من خلال دفعها إلى توحيد معايير الحلول الرقمية في عملياتها. وتعلم المسؤولون التنفيذيون من هجوم ”نوت بيتيا“ أن الشركة لم تكن عبارة عن أعمال مادية بحتة بل أعمال رقمية كثيفة البيانات. وأتاحت البنية التحتية الجديدة للتكنولوجيا للشركة تنفيذ نموذج أعمال رقمي كامل؛ فهي طرحت حلاً جديداً لإدارة النقل في تسعة أشهر فقط من البداية إلى النهاية. ووفق مسؤول تنفيذي للشركة، ”فعلت منافستنا الكبرى الشيء نفسه، واستغرقهم الأمر سبع سنوات، والسبب الرئيسي لذلك هو توحيدنا -حاليا- للمعايير“.

كيف تكشف استراتيجية الأمن السيبراني عن الفرص

تبين أبحاثنا أن المسؤولين التنفيذيين يمكنهم الاستفادة من استراتيجية الأمن السيبراني لتعزيز التعلم المؤسسي وتوليد فرص جديدة. وتجد الشركات التي تتعرض للهجمات السيبرانية أن الهجوم يكشف نقاط الضعف ليس فقط في الأمن السيبراني لكن في العديد من الجوانب الأخرى للأعمال، مثل تطوير القيادة، والتواصل الخارجي، والابتكار في العمليات. وبناء على ذلك، يمكن لعملية وضع استراتيجية شاملة للأمن السيبراني، على النحو المبين لاحقاً في هذا الموضوع، أن تكشف بالمثل عن نقاط الضعف والفرص.

وقبل الهجوم كان المسؤولون التنفيذيون في شركة الخدمات اللوجستية يعتقدون أن أهم عملية لها كانت نقل البضائع، لكنهم أدركوا فيما بعد أن أهم عملية كانت الحجوزات – ومن ثم أعادوا تشكيل أولوياتهم الاستراتيجية. ومن خلال تنفيذ استراتيجية جديدة وقوية للأمن السيبراني في أعقاب الهجوم، فإن الشركة حددت عملياتها السبع الأكثر أهمية. وساعد التخطيط للترابط بين هذه العمليات المهمة المسؤولين التنفيذيين على اكتشاف كيف انتشر فيروس ”نوت بيتيا“ بسرعة في المؤسسة ولماذا استغرق الأمر وقتاً طويلاً لاستعادة الخوادم والتطبيقات. وفي جوهرها تغيرت الشركة من حماية البنية التحتية لتكنولوجيا المعلومات إلى حماية أهم عمليات أعمالها.

ومن خلال تعطيل عمليات الأعمال الأساسية، فقد كشف هجوم ”نوت بيتيا“ نقاط الضعف المؤسسية التي كانت في السابق غير ملاحظة أو متجاهلة. وفي بعض الحالات دفعت الأزمة إلى حلول ارتجالية ربما استغرق اكتشافها سنوات. مثلاً، قال لنا مسؤول تنفيذي في مجال الخدمات اللوجستية: ”خلال الهجوم انهار التسلسل الهرمي للمؤسسة تماماً. لم يكن هناك تسلسل هرمي على الإطلاق. وقمنا بتجميع التسلسل الهرمي والهيكل في شكل ديناميكي وفق الحاجة. وما قد يستغرق عادة عامين لتغييره، غيرناه في غضون 18 ساعة. واخترنا أشخاصاً بناءً على المهارة والمعرفة وقدرتهم على قيادة بعض الجوانب. وفجأة صار لدينا أربعة أعضاء في مجلس الإدارة يتبعون إدارياً إلى شخص ما في أسفل المخطط المؤسسي. وفي أحد الأمثلة رقينا شخصاً أربع مرات بعد الهجوم السيبراني“.

ويتيح اكتساب فهم أكثر استراتيجية للأمن السيبراني الفرصة لتحقيق تكامل وفهم أوثق بين الأعمال وتكنولوجيا المعلومات. وقال لنا أحد المسؤولين التنفيذيين في مجال البضائع الاستهلاكية: جعلَنَا الهجومُ السيبراني نفهم أن تكنولوجيا المعلومات تتقاطع مع الأعمال بكاملها. وكشف للموظفين في مجالات متنوعة مثل سلسلة التوريد Supply chain والموارد البشرية كيف تدعم تكنولوجيا المعلومات حتى الأنشطة الأساسية للأعمال، مثل طباعة ملصق لصندوق أو رصد ساعات Tracking hours العمل ودفع الأجور، على حد قوله.

اقتناص الفرص الاستراتيجية من الأمن السيبراني

من خلال أبحاثنا طورنا نموذجاً Model لتقييم المرونة المؤسسية وتحسينها تجاه الهجمات السيبرانية والاستفادة من استراتيجية الأمن السيبراني لتحقيق أشكال جديدة من المزايا. ويبين النموذج (انظر: أربعة عناصر من المرونة المؤسسية إزاء الهجوم السيبراني) أن المرونة المؤسسية تتطلب أربع قدرات استراتيجية: حماية الأعمال، وتوسيع الوعي، وإدارة العواقب، والاستجابة والتعافي. ويثير كل عنصر من العناصر الأربعة تساؤلات يمكن أن يستخدمها المسؤولون التنفيذيون لقيادة المناقشات حول نهج الشركة في استراتيجية الأمن السيبراني. وعلى الرغم من أن بعض هذه المناقشات تتعلق بالأحداث التي وقعت بعد الهجوم السيبراني، يجب أن تحدث المناقشات جميعها الآن، كجزء من التخطيط الاستراتيجي – قبل أي هجوم سيبراني.

حماية الأعمال Protecting the business، ولاسيما البنية التحتية لتكنولوجيا المعلومات، تنال حصة الأسد من الإنفاق على الأمن السيبراني. وفي حين لا يزال من المهم الحفاظ على الدفاعات وتمتينها، اعترفت الشركات في دراستنا بأن الهجمات لا مفر من التعرض لها. فالحرب بين المجرمين السييرانيين وخبراء الأمن السيبراني هو سباق تسلح من نوع ما، مع تطور كل من الأدوات الهجومية والدفاعية باستمرار؛ مما يجعل التوصل إلى الدفاع المثالي أمرا مستحيلاً. ونصحت الشركات التي درسناها بأن حماية المستوى الأول لا ينبغي أن يستهلك بالكامل ميزانيات الأمن السيبراني أو جهوده. وقال لنا أحد المسؤولين التنفيذيين: ”ما أدركناه هو أن الحماية التي كانت لدينا كانت قشرة صلبة. لكن بمجرد اختراق تلك القشرة الصلبة، كُنَّا ليِّنين تماماً في الداخل“. أما الطريقة الأكثر الاستراتيجية في مجال الحماية؛ فتتدرج عبر الطبقات، وتنطوي على فهم أعمق العمليات الرئيسية وكيفية تصميمها للتقليل من مدي تَعَرُّضِيَّة Vulnerability المؤسسة الهجمات.

ويجب أن يأخذ التخطيط الاستراتيجي للحماية من الهجوم بالاعتبار هذه الأسئلة:

• ما هي العمليات الرئيسية لدينا؟

• ما مدى تعرضها للهجمات السيبرانية؟

• ماذا نفعل لحماية أنفسنا؟

• كيف يمكننا تصميم عمليات أعمالنا لتقليل من مدى تَعَرُّضِيَّتنا للهجوم؟

• ما هي القدرات الداخلية التي لدينا للحماية من الهجمات السيبرانية؟

• أين هي الفرص الاستراتيجية لتحسين الحماية السيبرانية؟

توسيع الوعي Broadening awareness
يتطلب أن تتحمل الإدارة العليا مسؤولية النظر خارج الشركة لفهم التهديدات الحالية ووضع استراتيجية أكثر شمولاً للحصول على الذكاء. وتشمل هذه الإجراءات إقامة روابط أفضل في صورة شبكة استخبارات تحذر من التهديدات، مثل التواصل مع الباحثين في مجال الأمن السيبراني بالجهات البائعة للبرامج المضادة للبرمجيات الضارة وبناء علاقات مع الأقران في المؤسسات التي لديها أقوى القدرات في هذا المجال. وفي مقابلاتنا أوصى رئيس لمجلس إدارة بالاحتفاظ بمستشار خبير في الاستجابة السيبرانية والتشاور معه قبل حدوث أزمة، ونصح رئيس تنفيذي بوجود مؤسسة خارجية تجري بانتظام عمليات تدقيق أمنية.

ولتطوير وعي أكمل لمشهد التهديد اطرحوا هذه الأسئلة:

• ما مدى أهمية التهديد بالهجوم السيبراني؟

• ما هو مصدره الأكثر احتمالاً؟

• ما هو الشكل الذي قد يتخذه؟

• كيف تتطور الهجمات السيبرانية؟

• ما هي القدرات التي لدينا للكشف عن التهديدات الخارجية؟

• أين هي الفرص الاستراتيجية لتحسين الوعي السيبراني؟

إدارة عواقب الهجوم Managing the consequences، مثل توسيع الوعي، تتطلب من القادة النظر إلى الخارج للتخطيط للآثار المحتملة للهجوم السيبراني في العملاء والموردين والأسواق المالية وسمعة الشركة. وتقترح الشركات في دراستنا أن تكون الشركات منفتحة على مشاركة المعلومات، وكذلك المساعدة – أي أساساً، على العمل بما تتردد في عمله العديد من الشركات. وقد أثبت قرار التواصل العلني مع العملاء والمساهمين والجمهور قيمة خاصة، وفق ما ذكره أحد المسؤولين التنفيذيين في دراستنا. فذلك لم يولّد ردود فعل إيجابية من العملاء فحسب، بل أيضاً العديد من عروض المساعدة من العملاء والموردين وحتى المنافسين. مثلاً، بنت شركة خدمات مهنية علاقات جديدة مع المنافسين الذين عرضوا منشآتهم الحوسبية ومساحاتهم المكتبية في أعقاب هجوم. والتواصل الاستباقي مع أكبر عملائكم يطمئنهم حول ممارساتكم لتوفير الأمن السيبراني، بل قد يشكل مصدرا محتملا للميزة التنافسية: قال لنا أحد المسؤولين التنفيذيين في مجال الخدمات اللوجستية إن بعد حصول الشركة على شهادة اعتماد لمعيار أمني معين، فازت باثنين من الأعمال المهمة.

ضعوا استراتيجية لإدارة العواقب الخارجية للهجوم السيبراني من خلال النظر في ما يلي:

كيف ستستجيب الأطراف المعنية الرئيسية لدينا إذا تعرضنا لهجوم؟

• كيف سيتأثر عملاؤنا؟

• كيف ستستجيب الأسواق المالية؟

• ما الذي يمكننا فعله الآن لتوقع هذه الردود أو تشكيلها؟

• ما هي القدرات التي لدينا لتوقع كيفية استجابة الأطراف المعنية؟

• ما هي الفرص الاستراتيجية لإدارة عواقب هجوم سيبراني؟

الاستجابة والتعافي Responding and recovering تتطلبان فهم قدرات المؤسسة على اتخاذ الإجراءات المناسبة في حالة وقوع هجوم سيبراني وتحديد نقاط الضعف المحتملة في العمليات والمهارات القيادية وخطط الدعم. ونصح المسؤولون التنفيذيون في دراستنا بأن يركز الرد أولاً على التعافي وتحدثوا عن أهمية الحصول على دعم قيادي كبير لفرق التكنولوجيا طوال جهود التعافي. ومن الضروري أيضا النظر في تشكيل فرق الاستجابة وقيادتها: قال رئيس العمليات في إحدى الشركات إنها في أعقاب هجوم سيبراني فككت، في شكل مستمر، الفرق وأعادت تشكيلها وغيرت قادة الفرق على أساس من برز كأقوى شخص لهذه الأدوار. ويجب أن تتضمن خطط الرد على الهجوم السيبراني دائماً اكتشاف الفرص – كما يقول المثل: ”إذا احترقت الحظيرة؛ يمكنك بناء حظيرة أفضل“. وفي أعقاب الهجوم السيبراني، يجب على المديرين البحث في شكل استباقي عن طرق جديدة لوضع تكنولوجيا المعلومات كمولد للقيمة Value generator بدلاً من مركز للتكلفة Cost center والاستفادة من الأحداث لتعزيز الموقع الاستراتيجي للشركة.

يجب أن توجه هذه الأسئلة خطتكم للحصول على استجابة قوية وتعافٍ في حالة وقوع هجوم:

• ما هي القدرات التي لدينا للرد على هجوم سيبراني؟ ما هي نقاط الضعف التي من شأنها أن تعوق استجابتنا؟

• ما الذي يمكننا فعله الآن لتحسين استجابتنا للهجوم؟

• ما هي خطتنا لاستمرارية الأعمال في حالة حدوث هجوم سيبراني؟

• كيف نبني هيكلاً مؤسسياً يتسم بالدينامكية الكافية للرد على أنواع مختلفة من الهجمات؟

• من الذي يجب أن يكون جزءاً من فريق إدارة الأزمات لدينا؟

• ما هي الفرص الاستراتيجية الجديدة التي يمكن أن تنشأ إذا قمنا بتحسين قدراتنا على الاستجابة للإنترنت؟

إن المعالجة الاستباقية لكل عنصر من هذه العناصر الأربعة من المرونة المؤسسية إزاء الهجمات السيبرانية، والنظر في كل مجموعة من الأسئلة المذكورة أعلاه في عملية التخطيط، تسمح للمسؤولين التنفيذيين بتحديد الفرص الاستراتيجية التي تنشأ في مراحل سياق الأمن السيبراني كلها وبتطوير القدرات الحيوية قبل حدوث هجوم سيبراني. ومن النتائج الحاسمة في دراستنا أن المرونة في مواجهة الهجمات السيبرانية تتطلب قدرات متقدمة من عناصر النموذج الأربعة جميعها.

فالشركات التي عانت في دراستنا أكبر ”ضرر بعيد المدى“ من الهجوم السيبراني ”نوت بيتيا“، على الصعد التنافسية والاقتصادية وصعد السمعة، هي تلك التي أهملت عنصراً أو أكثر من عناصر النموذج. وفيما يتعلق بالأخطاء الأكثر شيوعاً، فإن التركيز على الحماية مع إهمال العناصر الأخرى هو الأبرز. وأجرت كل شركة استثمارات مسبقة للحماية من الهجمات السيبرانية و(بدرجة أقل) للتخطيط لاستجابات سيبرانية. بيد أن هذه الاستثمارات كانت تُهدَر إلى حد كبير؛ لأن القادة اعتبروا أن التهديدات لها عواقب داخل إدارات تكنولوجيا المعلومات الخاصة بهم فقط بدلاً من يدركوا أنها تؤدي إلى شل الأعمال بكاملها. وبعد الهجوم السيبراني طوّرت الشركات كلها استراتيجياتها للأمن السيبراني من خلال زيادة الاستثمارات، بشكل كبير، في توسيع الوعي وإدارة عواقب الهجوم السيبراني.

وتظهر أبحاثنا أن الشركات يمكنها تحسين المرونة في مواجهة الهجمات السيبرانية من خلال إخضاع كل عنصر من العناصر الأربعة للمرونة المؤسسية للمساءلة كجزء من عملية التخطيط الاستراتيجي للشركة. وتظهر الأدلة أن طرح هذه الأسئلة الآن، قبل الهجوم السيبراني، يسمح للشركات بالعمل في شكل استباقي نحو رصد الفرص الجديدة التي يوفرها سياق استراتيجية الأمن السيبراني. ومن خلال تبني رؤية استراتيجية تجاه الأمن السيبراني، يمكن للمسؤولين التنفيذيين الاستفادة من استراتيجية الأمن السيبراني لتعزيز المرونة المؤسسية وبناء قدرات جديدة لتحقيق ميزة استراتيجية.

مانويل هابفر Manuel Hepfer

مانويل هابفر Manuel Hepfer

طالب دكتوراه في مدرسة سعيد للأعمال Saïd Business School بجامعة أكسفورد University of Oxford.

توماس باول Thomas C. Powell

توماس باول Thomas C. Powell

أستاذ الاستراتيجية في كلية سعيد للأعمال. للتعليق على هذا الموضوع: https://sloanreview.mit.edu/x/62120.

المراجع

المراجع
1 A. Greenberg, “The Untold Story of NotPetya, the Most Devastating Cyberattack in History,” Wired, Aug. 22, 2018, www.wired.com.
2 See, for example, P. Mee and J. Cummings, “Is Your Company Ready for a Cyberattack?” MIT Sloan Management Review, Dec. 4, 2018, https://sloanreview.mit.edu; R.A. Rothrock, J. Kaplan, and F. Van der Oord, “The Board’s Role in Managing Cybersecurity Risks,” MIT Sloan Management Review 59, no. 2 (winter 2018): 12-15; and M.E. Mangelsdorf, “What Executives Get Wrong About Cybersecurity,” MIT Sloan Management Review 58, no. 2 (winter 2017): 22-24.
3 To preserve confidentiality, we are referring to the companies by industry — logistics, consumer products, and professional services — rather than by name.
اظهر المزيد

مقالات ذات صلة

زر الذهاب إلى الأعلى