صمِّموا للأمن السيبراني منذ البداية
لتجنُّب نقاط الضعف المستترة، يجب تضمين الأمن في عملية التطوير، وليس إضافته إليها فيما بعد.
يفهم الجميع أهمية الأمن للمنتجات والخدمات الرقمية. ويتوقع العملاء أن تكون العروض الرقمية آمنة، ولاسيما عندما يضمنونها في منتجاتهم وخدماتهم الخاصة. مثلاً تتوقع الشركة المصنعة التي تُضمِّن أداة استشعار في تصميم منتجاتها أن يكون جهاز الاستشعار الذي تستخدمه آمناً سيبرانياً ولا يشكل نقاط ضعف. ويمكن لأي جهاز متصل بالإنترنت أن يُوجِد نقطة دخول للهجمات التي تتصل بالنظام الداخلي، أو تسرق المعلومات، أو تزرع البرامج الخبيثة Malware، أو تجمع البيانات الحساسة. لكن، كما يتضح لنا من وقوع الانتهاكات واحدة بعد الأخرى حتى إن حظي الانتهاك السابق بتغطية إعلامية جيدة، وعمليات التطوير التي نستخدمها لبناء أمن سيبراني في المنتجات والخدمات تظل تفشل. لم نصل بعد إلى النقطة التي لا يكون فيها توفير الأمن السيبراني متوقعاً فحسب، بل هو متأصل بعمق في كل جانب من جوانب تطوير المنتجات.
ولبناء منتجات وخدمات رقمية آمنة حقاً (سنشير إليها إما بـ“منتجات” Products وإما بـ”عروض“ Offerings للتبسيط)، لا بد من تطوير الأمن السيبراني منذ مرحلة التصميم الأولية. وعلى الرغم من أن هذا ليس بالأمر السهل، فإن الاضطلاع بذلك يبقي التكاليف تحت السيطرة، ويساعد المؤسسات على تلبية توقعات العملاء بنحو أفضل. ومع ذلك في الأغلب يكون الأمن فكرة لاحقة، يُتعامل معها فقط بعد تصميم المنتج بالفعل.
في بحثنا حول كيفية إنشاء الشركات عروضاً آمنة سيبرانياً، وجدنا أن الأمن السيبراني نادراً ما يُعتبر من بين المعايير الأساسية في مرحلة التصميم المبكرة. ويركز معظم المصممين على التأكد من أن عروضهم أنيقة، وقابلة للتسويق، وقابلة للاستخدام، وغنية بالميزات. في الأغلب ”يُركَّب“ Bolted on الأمن بعد استكمال التصاميم الأولية، إما من خلال عمليات تطوير الأمن التي تُجرَى بالتوازي مع عملية تطوير المنتجات، وإما من قِبل خبراء الأمن الذين يعملون كمستشارين لفريق التصميم. ويمكن أن يسبب هذا النهج تكاليفَ إضافية، إذ ينطوي عادة على إعادة تصميم المنتج أو إضافة ملحقات جديدة بعد إنتاج المنتج– وإذا تعذر إصلاح مشكلة ما، فقد يكون من الضروري إلغاء التصميم بكامله.
إذا لم يكن فريقكم التنفيذي يتحدث بانتظام عن كيفية إنشاء عروض رقمية آمنة، ولم تكونوا تختبرون العمليات التي تضطلعون بها في الأغلب، فمن المرجح أن تكون لمنتجاتكم نقاط ضعف خفية. ويتزايد عدد نقاط الضعف المكتشفة داخل قاعدة البيانات الوطنية لنقاط الضعف في الولايات المتحدة سنوياً؛ فقد أُبلِغ عن 18,356 نقطة ضعف جديدة في العام 2020 وحده، ومن المرجح أن نقاط ضعف كثيرة مرت من دون أن تلاحَظ.1The National Vulnerability Database is part of the National Institute of Standards and Technology Information Technology Laboratory.
ويتعين على قادة الشركات أن يجدوا السبل اللازمة لتغيير مواقف المصممين فيما يتصل بتضمين الأمن بدءاً من التصميم الأولي، وذلك عندما يفكر القادة في مسألة الأمن، ويتحدثون عن الأمر مع فرقهم، ويجعلون من ذلك عاملاً مهماً في تصميم المنتج. والآليات الإدارية Managerial mechanisms من هذا القبيل هي التي تغير قيم المصممين ومواقفهم ومعتقداتهم، وتشجِّع السلوكيات التي تؤدي إلى تصاميم أولية أكثر أمناً.
بالعمل على نحو وثيق مع ثلاث شركات عالمية كبيرة معروفة في مجال الاتصالات Telecommunications، والضوابط الصناعية Industrial controls، والأتمتة igital automation D، والطاقة Energy، اكتسبنا رؤى (تبصرات) Insights عميقة حول سبب ندرة إدراج الأمن السيبراني في العروض الرقمية الجديدة– والخطوات التي يمكن للمسؤولين التنفيذيين اتخاذها لتغيير ذلك. من ضمن تحولاتها الرقمية تُضمِّن الشركات التي درسناها القدرات الرقمية في الأجهزة الجديدة مثل تلك التي تدير الشبكات؛ أو تتحكم في التدفئة والتهوية وتكييف الهواء؛ أو تراقب استهلاك الطاقة.
الأمن السيبراني لا يحظى بالاحترام إلا بعد فوات الأوان
لن ينكر سوى عدد قليل من القادة أهمية الأمن السيبراني للعروض الرقمية. ومع ذلك، في الممارسة العملية، لا تميل فرق المنتجات إلى إعطاء الأولوية للأمن السيبراني. وكشفت دراستنا عن ثلاثة أسباب وراء حدوث ذلك.
أولاً، لا يساهم الأمن السيبراني بنحو مباشر في تحقيق الأرباح. يتخذ معظم العملاء قرار الشراء استناداً إلى السمات Features التي تضيف قيمة، أو تقلل من التكاليف، أو تقدم مزايا أخرى يسعون إليها. وهم يتعاملون مع الأمن السيبراني كالإطارات على سيارة: هم يتوقعون أن يكون هناك، لكنهم يشترون المنتج لمميزاته الأخرى. ويدرك مديرو المنتجات هذا الأمر. وفي إحدى الشركات قيل لنا إن أمن عرضها أقل أهمية بكثير من المميزات الأخرى، لأنه لا يهم حقاً مدى أمان المنتج إذا لم يكن يلبي احتياجات العملاء.
ثانياً، من الممكن أن يُسبب الأمن السيبراني، كما هي الحال حالياً، تأخير الوقت حتى الوصول إلى مرحلة التسويق. وفي الأغلب يتطلب الأمر موارد إضافية، مثل الخبراء أو التدريب المتخصص، وقد يستغرق وقتاً إضافياً لإجراء اختبارات إضافية وإعادة العمل عند العثور على نقاط ضعف. ويعتقد مديرو المنتجات أن منتجهم إذا فاتته نافذة فرصة السوق، فسيجد العملاء بدائل عنه. وإذا حدث ذلك، فسرعان ما تصبح ميزات الأمن السيبراني الخاصة بالمنتج غير ذات جدوى.
وأخيراً يستخف المصممون والمديرون عادة بمدى خطورة عواقب نقاط الضعف في الأمن السيبراني– على الأقل حتى يؤثر فيهم حادث أمني. وبرر أحد المديرين إعطاء الاعتبارات الأمنية أولوية أدنى حين قال إن منتج الشركة لم يكن مرتبطاً بأي شيء مهم في أنظمة العملاء، وعلى هذا فإن خرقاً سيبرانياً لن يلحق قدراً كبيراً من الضرر. وعندما يسمع المديرون بحادث أمني سيبراني، يبدؤون في التساؤل عما إذا كانت منتجاتهم تعاني مشكلة الضعف نفسها. لكن بحلول ذلك الوقت، ربما يكون الأوان قد فات، وربما يكون العرض بين أيدي العملاء بالفعل.
في حين يناقش المديرون مزايا إنفاق الموارد والوقت على الأمن السيبراني، تتغير مواقف العملاء تجاه الأمن السيبراني بالنسبة إلى العروض الرقمية. وأصبح الأمن السيبراني، بصورة متزايدة، متطلباً بحكم الواقع، ومن ثم نقطة رئيسة لترجيح البيع. ويمكن أن يؤدي ضعف الأمن السيبراني إلى إيقاف عمليات الشركة (كما حدث في هجوم برامج الفدية في مايو 2021 على خط كولونيال للأنابيب Colonial Pipeline في الولايات المتحدة)، ما يؤدي إلى زيادة التكاليف عبر المنظومة الإيكولوجية بكاملها. فقد يؤدي ذلك إلى إلحاق الضرر بالعلامات التجارية، أو يؤثر سلباً في سعر السهم، أو يسبب التعرض القانوني للشركة المصنعة التي صممت العرض.2K. Huang and S. Madnick, “A Cyberattack Doesn’t Have to Sink Your Stock Price,” Harvard Business Review, Aug. 14, 2020, https://hbr.org.
يجب تغيير عمليات تصميم الأمن السيبراني
كانت المؤسسات التي درسناها تقارب الأمن السيبراني بالطرق الثلاث التالية التي نعتقد أنها مقاربات نموذجية إلى حد ما.
1. إضافة الإصلاحات الأمنية Bolting on security fixes. بعض فرق التطوير لا تضع في الاعتبار الأمن السيبراني بنحو خاص إلى حين اكتشاف نقطة ضعف في أثناء اختبارات ما بعد استكمال التصميم. ومن ثم تضيف الأمن السيبراني كلما دعت الحاجة. وأكثر أنواع الاختبارات- التي تكشِف عن مشكلات الأمن السيبراني- شيوعاً هي اختبار نقاط الضعف Vulnerability testing، واختبار الاختراق Penetration testing، واختبار مراقبة الجودة Quality-control testing.
وفي هذا السيناريو، عند اكتشاف نقطة ضعف، يرسَل المنتج مرة أخرى إلى فريق التصميم لإصلاحه. وفي بعض الحالات، قد يعني ذلك الخضوع لإعادة تصميم مكلفة، أو العثور على مكونات مختلفة لكنها أكثر أمناً. وفي بحثنا كان للمديرين الذين سلكت مؤسساتهم هذا النهج عديدٌ من الأعذار لتبرير الاضطلاع بذلك. وفي معظم الحالات رأت القيادة أن المصممين ينبغي أن يركزوا على التصميم، وأن الأمن السيبراني يمكن معالجته عندما تظهر أي مشكلات. وفي إحدى الحالات أخبرنا أحد المصممين أن المنتج كان يصل إلى مرحلة التحقق النهائي قبل التسليم إلى عميل عندما ظهرت مخاوف متعلقة بالأمن السيبراني، وتكرر ذلك في أكثر من حالة، وليس من السهل إعادة تصميم المنتج لإصلاح نقطة الضعف. وهذا يعني إما إلغاء تسليم المنتج وإما إرساله مرة أخرى إلى مرحلة التصميم الأولية والبدء من جديد. وكل من الخيارين مكلف جداً.
2. دمج إجراءات دورة حياة التطوير الآمن Incorporating secure development lifecycle processes. هناك نهج آخر لاحظناه وهو عمليات موازية لتراجع التصميم وتدخل اختبارات الأمن واعتبارات الأمن– نقاط التفتيش أو البوابات الأمنية– في أثناء إجراءات التصميم نفسها، وكذلك إجراءات التطوير اللاحقة. والمؤسسة التي استخدمت هذا النهج كانت لديها سلسلة من نقاط التفتيش يُختبَر عندها الأمن السيبراني. وتستمر عملية تصميم المنتج إلا إذا فشل التصميم في تجاوز إحدى هذه البوابات، وعند مثل هذه النقطة يناقش الفريق كيفية إصلاح نقطة الضعف. ومرة أخرى قد يكون هذا الأمر مكلفاً، لكنه أقل تكلفة من الانتظار حتى نهاية العملية لرؤية ما إذا كانت هناك حاجة إلى إضافة السمات الأمنية. عندما تكون هناك عمليات متوازية، وخطوات محددة يمكن للمصممين اتخاذها لضمان أن التصميم والنماذج الأولية لها الأمن الصحيح المدمج فيها. غيرَ أن خطر الاضطرار إلى التخلي عن التصميم في المرحلة المبكرة والبدء من جديد لا يزال قائماً. لكن اكتشاف نقطة الضعف في مرحلة مبكرة من عملية التصميم أقل تكلفة من العثور عليها بعد استكمال التصميم بالفعل.
3. تضمين مستشاري الأمن Embedding security consultants. هناك نهج ثالث يتمثل في الاستعانة بخبراء الأمن مباشرة من قِبل فريق التصميم، وذلك للعمل من البداية مع المصممين. في بعض الفرق التي درسناها، عُيِّن عضو للتركيز على الأمن السيبراني. وتلخص دور ذلك الشخص في طرح أسئلة مهمة لضمان أن يدمج المصممون عاملَ الأمن في تصاميمهم. وفي حين أن هذا الأسلوب يُدخل تصميم الأمن السيبراني في العملية في مرحلة أبكر مقارنة بالنهجين السابقين، فإن له عيوبه. ففي الفرق التي درسناها، عمل هذا الخبير كمورِد مشترك بين فرق تصميم متعددة. وقد لا يكون الشخص الذي يضطلع بدور مطلعاً على أحدث التطورات في كل تصميم، مما سيتطلب مزيداً من الجهد لإضافة القطع المفقودة. ولأن الخبير مكلَّف بالعمل مع عدد من الفرق، فقد لا يتوافر دائماً عند الحاجة إلى التشاور معه، مما يؤدي إلى تأخير العملية. وأخبرنا أحد المصممين أن مستشار فريقه، وهو خبير أمن وليس مصمم منتجات، لم يفهم المنتج على المستوى اللازم لتقديم نصائح مفيدة في مجال التصميم.
التصميم مع تضمين الأمن السيبراني
الإجابة إذن هي أن تكون لدى المصممين أنفسهم معرفة كافية باحتياجات الأمن التي يجب أن تُبنى في الأمن السيبراني منذ البداية. وسيحتاجون إلى فهم عام لمبادئ التصميم الآمن ومعرفة محددة باعتبارات الأمن الخاصة بالعروض التي ينشئونها. كذلك يتعين عليهم أن يؤمنوا بأهمية أن يشرعوا في إدراج مسألة الأمن منذ بداية بلورة مفهوم الفكرة، وأن مهمتهم تتلخص في ضمان تحقيق هذه الغاية. وعند الوفاء بهذه الشروط، يصبح الأمن السيبراني أحد معايير التصميم الأساسية، وهو بالأهمية نفسها لعناصر مثل: إمكانية تصنيع [المنتج] Manufacturability، وصلاحيته للاستخدام Usability، والجودة Quality، والتكلفة Cost، والعناصر الأخرى العديدة التي هي جزء لا يتجزأ من أي عملية تصميم.
وفي الشركات التي درسناها أفاد المصممون الذين لديهم خلفيات أمنية بأنهم اتخذوا قرارات حول الأدوات والمكتبات والمكونات لاستخدامها في تصاميم منتجاتهم مستندين جزئياً إلى مدى أمانها. وتصمم هذه الفرق وفق الأمن السيبراني بنحو اعتيادي، وتأخذه بعين الاعتبار مثل المعايير الأخرى. وفي إحدى الحالات اختار الفريق عدم استخدام مكتبة مفتوحة المصدر Open-source library بسبب نقاط الضعف المعروفة.
وأخبرنا مسؤولون تنفيذيون ومديرون بتزايد اهتمامهم برؤية الأمن السيبراني مدمجاً في تصميم المنتجات منذ البداية. ولتحقيق ذلك فإن الخطوة الأولى التي يتعين عليهم اتخاذها هي إعطاء الأولوية الحقيقية للأمن السيبراني كمعيار تصميم رئيس. وإذا لم يُظهر القادة أنهم يقدرون الأمن السيبراني، وذلك من خلال التحدث عنه، وتحديد أولويته في قرارات تخصيص الموارد، فإنهم يرسلون رسالة واضحة- وإن كانت لاواعية- بأن الأمر ليس مهماً حقاً. ويتعين على القادة أيضاً أن يثقفوا أنفسهم حول كيفية دمج الأمن السيبراني في عروض مؤسستهم. وإذا كانت مقاربتهم هي واحدة من الأساليب الثلاثة التي شاهدناها في بحثنا، فيجب عليهم تخصيص الموارد لتغيير الإجراءات، وأن يظهروا للمصمّمين الأفعال المتوقعة منهم. وفي إحدى الشركات قال مصمم إن مديريه لم يحرصوا على تطبيق أولوياتهم المعلنة؛ وتحدث المسؤولون التنفيذيون عن الأمن السيبراني في اجتماعات العملاء، لكنهم لم يستثمروا فيه بعد ذلك. وهذا جعل الفريق يتساءل عما إذا كان الأمن السيبراني أولوية حقاً.
وكان الفارق ملحوظاً في الشركات حيث حرص المسؤولون التنفيذيون على تطبيق الأولويات المعلنة. ”فالجميع لديهم عقلية أمن سيبراني حقيقية“، كما قال المطور في إحدى هذه الشركات. وتابع قائلا: ”إن الأمن السيبراني راسخ في الثقافة على أعلى مستويات مؤسستنا منذ اليوم الأول. فهو محور كل شيء هنا، وهو عنصر أساسي في كل شيء يضطلع به المرء هنا “.
إن تحويل فريق تصميم كبير إلى فريق تصميم آمن قد يكون عملية بطيئة. أوضح أحد المصممين أن ”الحصول على نتائج جيدة جداً في تنفيذ الأمن السيبراني، وغرس إلمام بالغ بما ينبغي الاضطلاع به قد يستغرقان ثلاث سنوات“. غيرَ أن هذا يشير إلى ضرورة أن يتحلى القادة بالاتساق والمثابرة في إعطاء الأولوية لهذا الهدف.
تغيير قيم المصممين ومواقفهم ومعتقداتهم حول الأمن
قد يخبر قادة الشركات فرق التصميم لديهم بأنهم يريدون منهم التطوير مع أخذ الأمن السيبراني بعين الاعتبار، لكن هذا لن يحدث ما لم تُوضَع آليات إدارية إضافية لتغيير قيم المصممين ومواقفهم ومعتقداتهم. ويوفر نموذجنا لبناء ثقافة الأمن السيبراني أربع خطوات يمكن للقادة اتخاذها لتغيير سلوكيات فرق التطوير لديهم وتحريكها نحو عقلية تصميم الأمن السيبراني.3For a complete description of the Huang and Pearlson cybersecurity culture model, see K. Huang and K. Pearlson, “For What Technology Can’t Fix: Building a Model of Organizational Cybersecurity Culture,” in “Proceedings of the 52nd Hawaii International Conference on System Sciences” (Honolulu: University of Hawaii, 2019), 6398-6407. رأينا أمثلة على هذه الآليات في الفرق التي ضمَّنت- حقاً- الأمن السيبراني في عروضها.
1. ربط تقييمات الأداء بالأمن السيبراني Tie performance appraisals to cybersecurity. عادة ما تُكافَأ فرق التطوير على تصاميم المنتجات الأنيقة والسرعة في السوق بدلاً من التصاميم الآمنة، وهذا يرسل رسالة واضحة مُفادها أن الأمن ليس الأولوية. وعلق أحد المديرين قائلاً إن المصممين قد قرنوا أداءهم بالحصول على منتجات تُشحَن بسرعة، بدلاً من الحصول على منتجات أفضل تُشحَن لاحقاً، حتى لو كان ذلك يعني إرجاع منتج لإعادة العمل عليه بسبب نقطة ضعف اكتُشِفت بعد تسلُّم العرض.
ولدفع التغيير في مواقف المصممين، يجب أن تكون مقاييس الأمن مرئية Visible للقادة. ولكن، أظهرت أبحاثنا أن الطريقة المهملة أكثر من غيرها من طرق تشجيع سلوكيات الأمن السيبراني المرغوب فيها هي عملية التقييم الرسمية. ولا بد من أن تشكل معايير الأمن- مثل تضمين الأمن في مكونات التصميم، وعناصر التحكم في الأمن، وإنشاء تصاميم تعبر بوابات الاختبار، والتعاون مع خبراء الأمن لضمان أمن العروض قدر الإمكان منذ مرحلة التصميم المبكرة- جزءاً من تقييمات أداء الموظفين.
والأهم من ذلك، يجب أن يكون القادة مستعدين لتأخير صدور العروض الرقمية، أو رفضها، في حال عدم كفاية الأمن السيبراني المضمَّن ومحاسبة فريق التطوير. وهذا من شأنه أن يوضح أن هناك عواقب على عدم كفاية الأمن.
2. تحويل المصممين الذين ينخرطون في سلوكيات الأمن السيبراني الإيجابية إلى أبطال Make heroes out of designers who engage in positive cybersecurity behaviors. يمكن أن يكون التقدير دافعاً كبيراً للموظفين، وكما هي الحال في تقييمات الأداء، في الأغلب يفشل القادة في الإشادة بإنجازات أولئك الذين يجدون مشكلات الأمن السيبراني ويصلحونها. ويؤدي ذلك إلى إرسال رسالة واضحة جداً، لكن غير مقصودة، حول ما يحظى بتقييم مرتفع في المؤسسة.
هناك طرق عديدة لمكافأة الموظفين الذين يأخذون الأمن السيبراني على محمل الجد والاعتراف بذلك. مثلاً قدم أحد المديرين الذي قابلناه مكافآت إلى المصممين الذين حلوا مشكلة أمنية معقدة، أو الذين قادوا عملية تضمين الأمن السيبراني في عروض الشركة. وفي مؤتمر أمني سنوي كرّمت الشركة أعضاء الفريق الذين كانوا من المناصرين الأقوياء والمساهمين في أمن عروضها. واستخدمت شركة أخرى تقديم اشتراكات العضوية في شبكة اجتماعية من خبراء الشركات كوسيلة لتسليط الضوء على أبطال الأمن السيبراني. ويمكن أن يتخذ تكريم فاعلية الأمن شكل شيء بسيط مثل توفير شارة Badge ”بطل الأمن السيبراني“ التي يمكن للموظف إضافتها إلى توقيع رسائله الإلكترونية. ويمكن أن تكون المكافآت والاعتراف بسهولة إضافة شارة افتراضية إلى توقيع الرسائل الإلكترونية. وبذلك يرسل القادة رسالة واضحة مُفادها أنهم يُقدرون جهود تضمين الأمن السيبراني ويثنون عليها علناً.
3. تدريب المصممين على الأمن إضافةً إلى الاستعانة بالخبراء وشبكات السلامة Train designers on security in addition to using experts and safety nets. أخبرنا مصممون أنهم لم يركزوا على الأمن السيبراني في تصاميمهم لأن الآخرين في المؤسسة كانوا يعرفون أكثر مما كانوا يعرفونه وسيلتقطون أي مشكلات لاحقاً في عملية التطوير. وينبغي ألا تشجع الشركات هذا الموقف. يحتاج المصممون إلى تدريب أساسي حول كيفية تصميم الأمن السيبراني، وينبغي تذكيرهم بأنه من مسؤولياتهم. كما ينبغي أن تتضمن إجراءات التطوير الرشيق Agile development processes قصصاً تستند إلى متطلبات الأمن السيبراني. إذ يسلط ذلك الضوء على الحاجة إلى عروض آمنة، ويوفر منصة لتقييم ما إذا كان الأمن السيبراني قد أُدمج منذ البداية. ولا تزال هناك حاجة إلى شبكات السلامة وأنشطة الاختبار والخبراء في عمليات دورة حياة التطوير الآمنة لاستكمال تصاميم الأمن الأولية، لكن يجب أن تكون لدى المصممين معرفة كافية للاضطلاع بالمرحلة الأولى. (انظر: ما الذي ينبغي أن يعرفه مصممو المنتجات عن الأمن).
4. تقديم رسائل قوية ومتكررة لزيادة الوعي باحتياجات الأمن السيبراني Deliver strong and frequent messages to increase awareness of cybersecurity needs. قد لا يدرك المصممون أن تطوير عروض أنيقة وآمنة وفاعلة من حيث التكلفة هو في صلب وظيفتهم. وقد يبدو هذا مخالفاً للمنطق في نظر المديرين الذين يعتقدون أنهم صرّحوا بأهمية هذه الأولوية. لكن أبحاثنا تُظهر أن رسالة الأمن قد تضيع بسبب تعقيد تصميم المنتج، وكثرة الرسائل التي يسمعها المصممون. ويحتاج القادة إلى إنشاء خطة تواصل Communication plan لتعزيز أهمية إنشاء العروض الآمنة سيبرانياً باستمرار. ويمكن أن يتضمن ذلك تسهيل المناقشات القصيرة أو العروض التقديمية في اجتماعات الفريق أو المؤسسة، وإطلاق حملات مرحة وجذابة لجعل الرسالة لا تُنسى، أو حتى استخدام تقنيات التسويق التقليدية لتغيير القلوب والعقول. ويتمثل الإجراء الأساسي هنا في تذكير جميع المشاركين في عملية تطوير المنتجات باستمرار بمدى أهمية الأمن السيبراني، لكي يستوعبوا هذا الاعتقاد، ويوائموا مواقفهم الشخصية مع الحاجة إلى تطوير عروض آمنة. وعلق أحد القادة الذين اقترحنا عليهم هذا الإجراء بأنه لم يفكر قط في التعبير عن أهمية الأمن السيبراني في تصميم المنتج، لأنه افترض أن فريقه كان على علم بذلك بالفعل. وعندما تأمل في الأمر، أدرك ألَّا مبالغة في إفصاحه عن هذه الرسالة.
المنتجات الرقمية تنشئ مصادر إيرادات جديدة لعديد من الشركات، لكن كل منتج رقمي ينطوي على خطر إنشاء نقاط ضعف جديدة في مجال الأمن السيبراني والتي يجب معالجتها. وتضمين ”التصميم للأمن السيبراني“ Design for cybersecurity كمعيار تصميم أساسي في بداية العملية، سيبدأ بمعالجة هذه المشكلة من خلال تذكير المصممين بقيمة العروض الآمنة وأهميتها. وإثبات أن علامتكم التجارية Brand تقدم منتجات آمنة أمر تتزايد أهميته، بل وقد يمنح ميزة تنافسية جديدة Competitive advantage.
إدخال الأمن السيبراني في وقت أسبق من عملية التصميم يجعل عملية تطوير المنتج ككل أكثر فاعلية. فهو يحول دون الحاجة إلى الأعمال الإضافية اللاحقة، والتكاليف المتزايدة، والتأخيرات الناجمة عن مراجعات اللحظة الأخيرة أو الاختبار، مع تقليل احتمال ظهور مشكلات الأمن السيبراني في وقت لاحق على مسار التطوير. وهذا سيجعل قادة الشركات– وعملاءهم– ينامون بنحو أفضل في الليل.
يود المؤلفان أن يشكرا أبيغيل كولير Abigail Kolyer، مساعدة الأبحاث في معهد ماساتشوستس للتكنولوجيا، وجورج ورن الثاني، المستشار، على مساعدتهما في هذا البحث. شكراً أيضاً لعديد من المتخصصين في تطوير المنتجات الذين أعطوا وقتاً لإجراء مقابلات معهم كجزء من هذا المشروع، وعلى قادة الشركات الذين دعموا هذا العمل من خلال الوصول إلى فرق التطوير لديهم. وموَّل هذا المشروع اتحاد الأبحاث الأمن السيبراني في كلية سلون للإدارة في معهد ماساتشوستس للتكنولوجيا. وساهم المؤلفان بالتساوي في هذا العمل، وهما مؤلفان متشاركان.
المراجع
↑1 The National Vulnerability Database is part of the National Institute of Standards and Technology Information Technology Laboratory.
↑2 K. Huang and S. Madnick, “A Cyberattack Doesn’t Have to Sink Your Stock Price,” Harvard Business Review, Aug. 14, 2020, https://hbr.org.
↑3 For a complete description of the Huang and Pearlson cybersecurity culture model, see K. Huang and K. Pearlson, “For What Technology Can’t Fix: Building a Model of Organizational Cybersecurity Culture,” in “Proceedings of the 52nd Hawaii International Conference on System Sciences” (Honolulu: University of Hawaii, 2019), 6398-6407.