إدارة المخاطر السيبرانية: 7 نصائح لمحترفي تكنولوجيا المعلومات
تستمر الهجمات السيبرانية في الارتفاع، ولكننا نعلم أن العثور على مجرمي الإنترنت ليس بالمهمة السهلة. في الواقع، من النادر أن يتم القبض عليهم أو محاسبتهم على الضرر الذي يسببونه.
مع الاعتماد المتزايد على الاستعانة بمصادر خارجية لخدمات تكنولوجيا المعلومات لمقدمي خدمات خارجيين، يجد متخصصو تكنولوجيا المعلومات أنفسهم معرضين للخطر عندما يبدأ الأفراد والمنظمات في اتخاذ إجراءات قانونية بعد تعرضهم لهجوم إلكتروني.
إذًا، ما هي مسؤوليات واجب الرعاية لمتخصصي تكنولوجيا المعلومات؟
يتحمل الأشخاص والشركات من جميع الأشكال والأحجام مسؤولية قانونية لاتخاذ جميع التدابير المعقولة اللازمة لمنع الأنشطة التي قد تضر الأشخاص أو ممتلكاتهم. إن السلوك المهمل أو المتهور من جانب فرد أو منظمة قد يجعلهم مسؤولين عن أي خسائر أو ضرر نتيجة لهذا السلوك.
ومن المطمئن أن العديد من الصناعات والمهن لديها قواعد ممارسات ومعايير راسخة تعمل كدليل للقرارات القانونية.
معايير الصناعة
صدق أو لا تصدق، لا توجد معايير صناعية مقبولة على نطاق واسع لحماية العملاء من الهجمات الإلكترونية. وعلى هذا النحو، لا يزال هناك الكثير من الجدل حول ما إذا كان ينبغي لمقدمي الخدمات أن يتحملوا أي مسؤولية عن الهجمات السيبرانية.
لذا، هنا يكمن التحدي. في أي نقطة تبدأ مسؤولية واجب الرعاية أو تنتهي بالنسبة لمزود خدمة تكنولوجيا المعلومات؟
من الممارسات الشائعة لمقدمي خدمات تكنولوجيا المعلومات استخدام إخلاء المسؤولية عن العقود أو اتفاقيات مستوى الخدمة التفصيلية التي تستبعد المسؤولية عن الانتهاكات السيبرانية. ومع ذلك، بدون إرشادات واضحة للصناعة، قد لا يصمد إخلاء المسؤولية أمام التدقيق في المحكمة.
وبالتالي، في حين أن مقدمي خدمات تكنولوجيا المعلومات يمكنهم تحديد شروطهم وقيودهم وإجراءاتهم بوضوح للحماية من الانتهاكات السيبرانية، فإن العقود قد لا توفر حماية كاملة من المسؤولية.
ومع ذلك، هناك خطوات يمكن لمحترفي تكنولوجيا المعلومات اتخاذها لإدارة مخاطرهم.
فيما يلي 7 إجراءات يمكن لمتخصصي تكنولوجيا المعلومات تنفيذها اليوم بناءً على توصيات Brooklyn Underwring:
- تأكد من حصولك على التأمين السيبراني
غالبًا ما تستبعد التأمينات التجارية أو المهنية العامة التأمين السيبراني. تحدث إلى وسيط التأمين الخاص بك حول برنامج التأمين الخاص بك والتعرض للمخاطر. يمكنهم تقديم المشورة بشأن السياسات الأكثر ملاءمة لاحتياجات عملك وإرشادك خلال خيارات تخفيف المخاطر أو تحويلها إلى التأمين.
- تأكد من أن أنظمة تكنولوجيا المعلومات الخاصة بك آمنة
على الرغم من أنك قد لا تتمكن من جعل أنظمة تكنولوجيا المعلومات الخاصة بك متماسكة، إلا أنه يجب عليك اتخاذ جميع الخطوات المعقولة للتأكد من أنها آمنة ولا يمكن الوصول إليها عبر شبكات العملاء. قم بفصل شبكاتك حيثما أمكن ذلك. تنبيه العملاء إلى التهديدات الجديدة وتسجيل أي محادثات أو رسائل بريد إلكتروني.
- تنفيذ جدول التحديث
قم بتنفيذ تحديثات منتظمة للبرامج ومكافحة الفيروسات للكشف عن البرامج الضارة باستخدام أداة الكشف عن نقطة النهاية والاستجابة لها. تأكد من أن لديك برنامج إدارة التصحيحات المهمة وغير المهمة، بالإضافة إلى النسخ الاحتياطية الآمنة التي تختبرها سنويًا.
- تنفيذ إدارة صارمة لكلمات المرور
قم بتعيين مصادقة متعددة العوامل وجدول زمني منتظم لتغيير كلمة المرور لجميع عمليات الوصول إلى شبكتك وشبكات العملاء. بالإضافة إلى ذلك، قم بجدولة تدريب منتظم للفريق لضمان قدرة الموظفين على التعرف على عمليات الاحتيال عبر البريد الإلكتروني التصيدية أو غيرها من التهديدات السيبرانية المحتملة والإبلاغ عنها.
- حدد بوضوح شروط المشاركة والمسؤوليات الخاصة بك
قم بتفصيل الشروط والمصطلحات والمسؤوليات الخاصة بك فيما يتعلق بالأمن السيبراني والموافقة عليها في جميع العقود واتفاقيات الخدمة. عندما تتحمل المسؤولية، استثمر في التدريب للتأكد من أن فريقك يمتلك المهارات اللازمة للوفاء بواجب الرعاية الخاص بك. كن مجتهدًا في الإبلاغ عن مشكلات النظام للعملاء ووافق على الإجراءات والتكاليف والأطر الزمنية المطلوبة لإصلاح أي مشكلات. تأكد من الرد بسرعة على أي شكاوى تتعلق بالخدمة واحتفظ بسجل لجميع الأحداث والمحادثات ورسائل البريد الإلكتروني.
- التخفيف من المخاطر السيبرانية
وفي ظل عدم اليقين بشأن المسؤولية، فمن الأهمية بمكان التخفيف من مخاطر الجرائم السيبرانية. لذلك، اتخذ جميع الخطوات اللازمة لتقليل مخاطر الهجمات الإلكترونية عليك وعلى عملائك. بعد كل شيء، قد يقلل ذلك من التأثير على العملاء والموردين والأطراف المتضررة الأخرى وقد يقلل من احتمالية رفع دعوى ضدك أو ضد عميلك.
- تحديد أولويات التدريب
بغض النظر عن الاستئناف، إذا طلب عميل جديد أو حالي عملاً يتجاوز خبرتك، فمن المستحسن التفكير فيما إذا كان سيتم تنفيذ العمل أم لا.
ومن المهم بنفس القدر التأكد من أن فريقك يحافظ على مهاراته ويرقيها بانتظام. تأكد من بقاء فريقك على اطلاع دائم بالمتطلبات التنظيمية وكيفية التعامل مع التهديدات السيبرانية الناشئة.