%75 من المنظمات غير قادرة على معالجة مشكلات الأمن الإلكتروني

كشفت أحدى الشركات المتخصصة في إدارة أمن البيانات عن نتائج مسح شملت أكثر من 400 من المتخصصين في مجال الأمن الإلكتروني من 61 دولة.
وأتيحت الفرصة للمشاركين لإجراء تقويم ذاتي لبرامجهم الخاصة بالأمن الإلكتروني من خلال الاستعانة بإرشادات إطار الأمن الإلكتروني للمعهد الوطني للمعايير والتكنولوجيا Cybersecurity Framework NIST كمعيار للقياس.
ويوفر البحث رؤية عالمية قيمة للتعرف إلى كيفية تصنيف المؤسسات لمستويات النضج الشامل وممارسات الأمن الإلكتروني عبر مجموعة متنوعة من المؤسسات ذات الأحجام المختلفة والصناعات والمناطق الجغرافية.
ومع أن المؤسسات الكبرى يعتقد عادة أن لديها الموارد لتأسيس مستوى من الحماية أكثر فاعلية للتصدي للهجمات الإلكترونية، فإن نتائج المسح تشير إلى أن حجم المؤسسات ليس عاملا حاسما في تحديد قوة النضج في الأمن الإلكتروني.
وأعلن تقريبا 75% من المستطلع آرائهم عن مستويات غير كافية من النضج الأمني.
وغياب النضج الشامل ليس أمراً غريباً، إذ إن عددا من المؤسسات التي جرى استطلاع رأيها أعلنت عن وقوع حوادث أمنية نتج عنها خسائر أو أضرار لعملياتها خلال ال 12 شهرا الماضية.
وتوفر نتائج البحث رؤية نوعية توضح أن المجال الأكثر نضجا لبرامج وقدرات الأمن الإلكتروني للمؤسسات يتمثل في الحلول الوقائية بالرغم من المفهوم الشائع أن الاستراتيجيات والحلول الوقائية بمفردها ليست كافية في مواجهة الهجمات الأكثر تطورا.
وعلاوة على ذلك، فإن الضعف الأكبر للمؤسسات التي خضعت للدراسة تتمثل في القدرة على القياس والتقويم والتخفيف من مخاطر الأمن الإلكتروني، في حين كشفت 45% من المؤسسات المستطلع رأيها أن قدراتها في هذا المجال "غير موجودة" أو "محدودة"، بينما أعلنت 21 في المئة فقط من المؤسسات أنها تتمتع بنضج كاف في هذا المجال.
وهذا القصور يجعل من الصعب أو المستحيل منح الألوية لأنشطة الأمن والاستثمار، وهو نشاط أساسي لأي مؤسسة تسعى إلى تحسين قدراتها الأمنية اليوم.
وبخلاف التوقعات، يشير البحث إلى أن حجم المؤسسة ليس مؤشرا على النضج.
وفي واقع الأمر فإن 83 في المئة من المؤسسات المستطلع آراؤها، ويعمل بها أكثر من عشرة آلاف موظف، صنفت قدراتها بأنها أدنى من "المستوى المتطور" من حيث النضج الشامل.
وتشير هذه النتيجة إلى أن الخبرة الشاملة للمؤسسات الكبرى ورؤيتها بشأن التهديدات المتطورة تجعل من الضروري اكتساب قدر أكبر من النضج في مقابل وضعها الحالي.
ويشير ضعف مستوى التقويم الذاتي لنضج المؤسسات الكبرى إلى إدراكها الحاجة للانتقال إلى حلول الكشف والرد على التهديدات والاستراتيجيات التي تهدف إلى توفير حلول أمنية ناضجة وأكثر فاعلية.
وجاءت النتائج الخاصة بمؤسسات الخدمات المالية بخلاف التوقعات أيضا، فهو قطاع يوصف في الغالب بأنه رائد في هذا المجال من حيث نضج الأمن الإلكتروني. ومع هذا الرأي التقليدي السائد، فإن مؤسسات الخدمات المالية التي خضعت للدراسة لم تقوّم نفسها بوصفها القطاع الأكثر نضجا، وقوّمت فقط ثلث هذه المؤسسات نفسها بأنها تتمتع بجاهزية جيدة للتعامل مع التهديدات.
وستحتاج شركات تشغيل البنية الأساسية المهمة، التي تمثل الهدف الرئيسي لإرشادات إطار الأمن الإلكتروني CSF إلى القيام بخطوات مهمة لتطوير مستوياتها الحالية للنضج.
وأعلنت المؤسسات العاملة في قطاع الاتصالات أعلى مستوى من النضج إذ إن 50 في المئة من المستطلع آرائهم يتمتعون بقدرات أمنية مميزة وأكثر تطورا، بينما جاءت المؤسسات الحكومية في المرتبة الأخيرة في جميع المجالات في هذه الدراسة إذ إن فقط 18 في المئة من المستطلع آرائهم صنفوا في مستوى مميز أو متقدم.
ويشير تراجع التقويم الذاتي للنضج في صناعات تتمتع بنضج ملحوظ إلى مستوى كبير من الإدراك لمشهد التهديدات المتطورة وحاجة هذه المؤسسات إلى بناء قدرات أكثر نضجا لمواجهتها.
كما قام المشاركون في الاستطلاع بعمل تقويم ذاتي لقدراتهم مقابل عينة من إرشادات إطار الأمن الإلكتروني للمعهد الوطني للمعايير والتكنولوجيا NIST Cybersecurity Framework (CSF).
ويقدم إطار CSF إرشادات تستند إلى المعايير الحالية والإرشادات والممارسات المتبعة لتقليل المخاطر، وجرى صياغة هذا الإطار الارشادي من خلال التعاون بين الشركات العاملة في هذا المجال والحكومة الأمريكية. ورغم أن إطار CSF صيغ في بادئ الأمر في الولايات المتحدة بهدف المساعدة في التقليل من المخاطر الإلكترونية على البنية الأساسية المهمة، فقد وجدت المؤسسات على مستوى العالم أن هذا الإطار يجب أن يمنح أولوية وأنه يمثل نهجا مرنا وقابلا للاستخدام المتكرر وفعالا من حيث التكلفة من أجل الحد من المخاطر الإلكترونية. وبالتالي، فإن هذا الإطار يوفر أساسا ممتازا لتقويم أي أمن إلكتروني أساسي داخل المؤسسات ونضج وتطوير البرمجيات التي تهدف إلى الحد من المخاطر الإلكترونية.
وصنفت المؤسسات قدراتها في الوظائف الخمس الرئيسية التي تشتمل عليها إرشادات إطار CSF كالتالي: من ناحية تحديد المخاطر وتوفير الحماية والكشف عن المخاطر والرد والتغلب عليها.
جاء التقويم في شكل مستوى من خمس نقاط، حيث يشير المستوى الأول إلى أن انعدام القدرة لدى المؤسسة في مجال محدد، وفي حين يشير المستوى الخامس إلى وجود ممارسات عالية النضج للمؤسسة في هذا المجال.
ويقول أميت ياران رئيس آر إس ايه: "يظهر هذا البحث أن الشركات لا تزال تضخ أموالا هائلة في الجيل التالي من برامج الجدار الناري ومضادات الفيروسات والحماية من البرامج الخبيثة المتطورة بهدف منع التهديدات المتطورة. وبالرغم من الاستثمار في هذه المجالات، فإنه حتى المنظمات الكبرى لا تزال تشعر بأنها غير جاهزة للتعامل مع التهديدات التي تواجهها.
ونعتقد أن هذه المشكلة هي نتيجة لفشل نماذج الأمن الحالية التي تستند إلى الوقاية من الهجمات في التعامل مع مشهد التهديدات المتطورة. ونحتاج إلى أن نغير الطريقة التي نفكر فيها بشأن الأمن (الإلكتروني) وهذا يبدأ بالإقرار بأن الوقاية وحدها هي استراتيجية فاشلة وينبغي إيلاء قدر أكبر من الاهتمام باستراتيجية تستند إلى الكشف (عن المخاطر) والرد (عليها)".
وكشف التقرير أيضاً أن 75% تقريبا من المستطلع آراؤهم يفتقدون لنضج البرمجيات الكافي للتعامل مع مخاطر الأمن الإلكتروني، و83% من المؤسسات الكبرى صنفت نفسها في مرتبة دون "المتطورة" من حيث نضج البرمجيات، ونحو 45% يقرون بعدم القدرة على قياس وتقويم وتقليل مخاطر الأمن الإلكتروني، وسجل البحث أعلى مستوى من نضج القدرة في مجال الحماية والكشف عن المخاطر وضعف القدرات على الرد على المخاطر.
وأثبتت الدراسة أن فقط ثلث مؤسسات الخدمات المالية أكدت جاهزيتها بشكل كاف للتصدي للمخاطر الإلكترونية، وأن إطار الأمن الإلكتروني للمعهد الوطني للمعايير والتكنولوجيا يُستخدم كمعيار للقياس، لكن التصنيف الذاتي للأمريكتين جاء في مركز متأخر عن منطقة آسيا والمحيط الهادئ واليابان ومنطقة أوروبا والشرق الأوسط وأفريقيا في المستوى الشامل لنضج البرمجيات للتصدي للتهديدات الإلكترونية.
%45 يقرون بعدم القدرة على قياس وتقويم مخاطر الأمن الإلكتروني