على تخصصات الأمن السيبراني الشهيرة، إلا أن تخصص الحوكمة وادارة المخاطر والإلتزام (GRC) مظلوم إعلامياً ومجتمعياً، بينما الغالبية تعتقد أن هُنالك بلو تيم ورد تيم وناس تهاجم وتدافع وانتهى الموضوع، بينما هذه الرؤية ضيّقة جداً، العالم السيبراني أبعاده أوسع وأمتع من هذه الدائرة
مُمكن اصدقائنا بالتخصصات الأخرى في إدارة الأعمال ماخذين الأضواء شوي، نفس اسم التخصص، لكن المجال مختلف، نفس الفكرة من التخصص لكن في نطاقٍ مختلف وأدوات مختلفة وأهداف مختلفة ايضاً
طيب أيش هو الـ GRC؟ خلينا نقول هو الدائرة الكبيرة في قسم الأمن السيبراني، اللي جواتها كل حاجة، وتقنياً نقدر نقول هي أساس كل حاجة، أو برضو هي اللي تبني لنا أساس يقدر الـ SOC يشتغل عليها ويقدر كل قسم أخر يمشي وفقاً لكلامها- مُدير كبير- بكل إختصار يعني
تسائلتوا بيوم مين يصنف الصح والخطأ؟ مثلاً مين قرر أننا مانقدر " نكرّك" سوفتوير مُعين ونكسب فلوس ونمنع نفسنا من خسارة الإشتراك؟ أو مثلاً مين اللي يحدد مدى خطورة أي تصرف/ حادثة؟ بالـ soc مثلاً في مفهوم الـ white list والـ Black list بس على أي أساس كل هذا يصير؟
طبعاً الموضوع مايصير لأن في مُدير ما قرر أن هذا ماينفع، أو موظف " يحس" أن هذا خطير، أو حد حكيم مثلاً اشتغل ١٥ سنة وقرر يُطلق القوانين هذي، الموضوع من أصله يرجع لجهات عريقة بالمجال كونت ( controls) أشهرها الـ CIS، أصدرت ١٨ كنترولز شاملة جميع نطاق عمل المؤسسة الإلكتروني
من أبسط شي يخطر على بالكم يحدث بالمؤسسة لأكبر شي، كلها مغطية بالكنترولز، من إيميل، من لوقز، حتى البنتريشن تسيتنق في له كنترولز، طيب هنا يجي دور الـ GRC، هي اللي تحرص ان المؤسسة تطبق هذي الكنترولز، عشان تكون آمنة سبرانياً وماتُخترق أو يحدث لها أي حادثة، وحتى كمان تُدير الخطر
لو نقول مثلاً الـ Soc يدير الخطر اللحظي، او الحادثة اللي حصلت - حالياً- ف الـ GRC كان يخطط سابقاً ووضع منهجية واضحة كيف يتخطى الخطر هذا بشكل سليم، وهو اللي يعمل risk assessment عام
أيش الحلقة الأضعف في الأمن السيبراني؟ ✨ العنصر البشري✨ لأنك حتى لو ركبت أقوى فاير وول، وطبقت كل الكنترولز اللي تحميك هاردويرياً وسوفتويرياً، يبقى عندك البني أدم، النجار اللي بابه مخلوع، هنا يجي دور الـ awareness، اللي مسؤول عنه الـ GRC
لأننا نتكلم هنا عن الحلقة الأضعف، فالموضوع مو مجرد تجمع الموظفين وتقول لهم لا تضغطون على اللينك اللي يقولك " اضغط هنا واربح مليون ريال"✨ لأن هذا بديهي، غالباً يعني، لكن الموضوع يحتاج جداول دورية ولأن الاختراقات سُبلها تجدد، في المقابل نحتاج توعية مُتجددة، للحلقة الأضعف!
وفي كمان عملية الـ Audit، التدقيق، هي عملية تحدث بشكل دوري هدفها الأساسي التدقيق في الأنظمة وأن الكنترولز كلها متطبقة، نقدر نشبهها بالجهة الأخرى بعملية إختبار الإختراق، بس هنا على صعيد الكنترولز، لما تختبر أنظمتك وتدقق لو كل حاجة عندك في سياقٍ صحيح
بالمُناسبة، الشهره إعلامياً للـ GRC بالسايبر أنه شغل إداري بحتّ وملفات إكسل خاطئ تمامًا، صحيح أن جوهر العمل أن عندك كنترولز تتأكد هي شغاله ولالا،بس الحقيقة أنك تحتاج تدخل الأنظمة وتدقق داخلياً، ولو نشبهه بموضوع، جميع الدوائر بالسايبر عبارة عن 🧩 والـ grc يجمعهم سوا
بعد ماذكرت الـ CIS لازم أذكر الأمر اللي يثلج الصدر ويزيد الفخر للأمانة هو جهود @NCA_KSA وإصدارها لملف ضوابط خاص فيها متكامل ويغطي كافة الكنترولز ويُطبق عندنا بالمملكة🧡
nca.gov.sa
nca.gov.sa
والفخر الأخر هي الشركات الناشئة اللي تدعمها الهيئة في هذا المجال مثال
@Cybersolutionsa 🧡
@DataLexing 🧡
@Cybersolutionsa 🧡
@DataLexing 🧡
جاري تحميل الاقتراحات...