سلّطت شركة جارتنر للأبحاث الضوء على أربعة مفاهيم خاطئة تمثّل عقبة تحول دون تحقيق القيمة التّامة للأمن السيبراني في قطاع المؤسسات، وتحدّ من فاعلية البرامج الأمنية، حيث دعت شركة الأبحاث المسؤولين التنفيذيين عن أمن المعلومات إلى اعتماد مبدأ «الحد الأدنى الفعّال» بهدف تعزيز تأثير الأمن السيبراني على أعمالهم.
وقال هنريك تيكسيرا، كبير المحللين لدى جارتنر: “يشعر العديد من المسؤولين التنفيذيين عن أمن المعلومات بالإرهاق، ولا يعتقدون أنهم قادرين ضبط التوازن بين مسؤوليات العمل وحياتهم الشخصية. ورغم أنهم يبذلون قصارى جهدهم، فإن قادة أمن المعلومات وفرقهم غير قادرين على تحقيق الأثر الأكبر”.
وقال لي مكمولين، نائب الرئيس الأول للأبحاث لدى جارتنر: “يعد منهج الحدّ الأدنى الفعّال منهجا مدروسا لإدارة الأمن السيبراني مستقبلا بالاعتماد على عائدات هذه الاستثمارات. وعلى الرغم من أن فكرةالحد الأدنىقد لا تروق لسمع البعض، فإنها تشير إلى المُدخلات وليس إلى المخرجات. فهذه المنهجية تمكّن وظائف الأمن السيبراني من الوصول لما هو أبعد من مجرد الدفاع عن الحصن وإطلاق العنان للإمكانات الكامنة وتعزيز قيمتها الملموسة”.
وفيما يلي أربعة أفكار خاطئة شائعة فيما يتعلق بالأمن السيبراني وفرص قادة أمن المعلومات لإضافة قيمة جديدة على مستوى مشاركة الأعمال، والتقنية، والكفاءات.
الفكرة الخاطئة الأولى: المزيد من البيانات يعني حماية أفضل
يسود اعتقاد خاطئ أن الطريقة الأمثل لدفع اتخاذ إجراءات من قبل صنّاع القرار فيما يتعلّق بمبادرات الأمن السيبراني هي من خلال تقديم تحليلات مركّبة للبيانات، مثل حساب احتمالية وقوع حدث أمني الكتروني. لكن محاولة قياس المخاطر بهذه الطريقة لا تبدو خيارا عمليا. إضافة إلى ذلك، فإن هذه النهجية لا تتيح مشاركة المسؤولية ما بين صنّاع القرار في المؤسسة وقادة الأمن السيبراني فيما يستدعي تقليل مخاطر الأعمال. وقد أشارت دراسة أجرتها «جارتنر» أن ثُلث المسؤولين التنفيذيين عن أمن المعلومات ينجحون في تسجيل اتخاذ الإجراءات اللازمة من خلال تقديرات لحجم المخاطر الأمنية.
ويجب على قادة أمن المعلومات اعتماد منهجية مقاييس مدفوعة بالنتائج ODM من أجل تطبيق نظرية الحدّ الأدنى الفعّال. إذ تعمل هذه منهجيات على ربط المقاييس التشغيلية والأمنية بالنتائج الأعمال التي توفّر الدعم لها من خلال توضيح مستويات الحماية الحالية والمستويات البديلة المتاحة بناء على حجم الإنفاق المتوقّع.
الفكرة الخاطئة الثانية: المزيد من التقنية يعني حماية أفضل
من المتوقّع أن يسجل الإنفاق العالمي على خدمات ومنتجات أمن تقنية المعلومات وإدارة المخاطر نموا بمعدّل 12.7% ليصل إلى قرابة 189.8 مليار دولار خلال عام 2023. ولكن على الرغم من ارتفاع إنفاق المؤسسات على تقنية وأدوات الأمن السيبراني، فإن قادة أمن المعلومات لا يزالون يشعرون بعدم توفّر الحماية اللازمة.
وبإمكان المؤسسات أن تبدأ مشوارها نحو مجموعة أدوات «الحد الأدنى الفعّال» من منظور التكلفة البشرية، ولك من خلال الحرص على أن تبقى كلفة الإنفاق على المختصين بإدارة أدوات الأمن السيبراني أقل من مستوى الفائدة المرجوة من هذه الأدوات المستخدمة في الحدّ من المخاطر. وبالتوازي مع ذلك، اتباع منظور معياري لقياس ما إذا كانت إضافة أو إزالة أداة ما قادرة على تعزيز الحماية للمؤسسة. كما أن بإمكان مبادئ شبكة الأمن السيبراني CSMA توفير الدعم الأمني من خلال إتاحة التصاميم تدعم البساطة، والتوافقية، والعمل البيني.
الفكرة الخاطئة الثالثة: المزيد من مختصي الأمن السيبراني يعني حماية أفضل
يقول مكمولين: “يفوق الطلب على الكفاءات المختصة في الأمن السيبراني ما هو متاح في الأسواق إلى درجة أن قادة أمن المعلومات لم يعودوا قادرين على مواكبة الركب. إذ باتت الحماية تمثّل عنق زجاجة أمام التحوّل الرقمي، والسبب في ذلك يعود غالبا إلى الفكرة الخاطئة بأن المختصين بأمن المعلومات وحدهم قادرين على القيام بالمهام الجادة في تأمين الحماية السيبرانية. لكن الحل يبدو في تعميم الخبرات السيبرانية وإتاحتها للعموم بدلا من السعي إلى تعيين هذه الكفاءات في ظل الفجوة الحالية في الأسواق”.
وتتوقّع شركة «جارتنر» أنه وبحلول العام 2027 فإن 75 % من الموظفين سوف يمتلكون، أو يطورون، أو ينشؤون تقنيات بعيدا عن تقنية المعلومات، أي بزيادة تصل إلى 41 % مقارنة بالعام 2022.
وبإمكان قادة أمن المعلومات تخفيف الأعباء على فرق العمل لديهم من خلال مساعدة المختصين التقنيين لدى هذه المؤسسات في تطوير خبرات الحدّ الأدنى الفعّال، أو القدرة على اتخاذ الأحكام السيبرانية. فقد أشارت دراسة حديثة صادرة عن «جارتنر» أن قدرة الخبراء التقنيين المؤهلين لاتخاذ قرارات الأمن السيبراني لدى المؤسسات تتطور بمعدّل يصل إلى 2.5 مرة فيما يتعلّق بالتفكير في المخاطر السيبرانية، وذلك عند تطوير قدراتهم التقنية أو التحليلية.
الفكرة الخاطئة الرابعة: المزيد من الضوابط يعني حماية أفضل
كشفت دراسة صدرت مؤخرا عن شركة «جارتنر» أن 69 % من الموظفين قد تجاوزا تعليمات الأمن السيبراني لدى مؤسساتهم خلال الأشهر الإثني عشر الماضية، وأن 74 % من الموظفين أبدوا الاستعداد لتجاوز هذه التعليمات المتعلّقة بالأمن السيبراني فيما لو ساعدهم ذلك أو ساعد فرقهم في بلوغ الأهداف المنشودة للأعمال.
يقول تيكسيرا: “تدرك مؤسسات الأمن السيبراني جيدا السلوك غير الآمن والسائد في أوساط القوى العاملة، إلا أن الاستجابة التقليدية المتمثلة في فرض المزيد من الضوابط تأتي بنتائج عكسية. إذ يُبلغ الموظفون عن مزيد من العراقيل التي تفرضها السلوكيات الآمنة، وهو ما يدفع إلى رواج بعض الممارسات غير الآمنة. ما أن فرض الضوابط التي يمكن التحايل عليها يبدو أسوأ من عدم وجود هذه الضوابط على الإطلاق”.