75% من الشركات غير قادرة على معالجة مشاكل الأمن الإلكتروني

أعلنت اليوم " آر إس إيه" الذراع الأمني لشركة "إي إم سي" المسجلة في بورصة نيويورك بالرمز (NYSE: EMC) عن مؤشرها الأول لضعف الأمن الإلكتروني والذي استعان بنتائج مسح شمل أكثر من 400 من المتخصصين في مجال الأمن الإلكتروني من 61 دولة.

وخلال هذا المسح، أتيحت الفرصة للمشاركين لإجراء تقييم ذاتي لبرامجهم الخاصة بالأمن الإلكتروني من خلال الاستعانة بإرشادات إطار الأمن الإلكتروني للمعهد الوطني للمعايير والتكنولوجيا Cybersecurity Framework NIST كمعيار للقياس. ويوفر البحث رؤية عالمية قيمة للتعرف على كيفية تصنيف المؤسسات لمستويات النضج الشامل وممارسات الأمن الإلكتروني عبر مجموعة متنوعة من المؤسسات ذات الأحجام المختلفة والصناعات والمناطق الجغرافية. ورغم أن المؤسسات الكبرى يعتقد عادة بأن لديها الموارد لتأسيس مستوى من الحماية أكثر فاعلية للتصدي للهجمات الإلكترونية، فإن نتائج المسح تشير إلى أن حجم المؤسسات ليس عاملا حاسما في تحديد قوة النضج في الأمن الإلكتروني. وأعلن تقريبا 75 في المئة من المستطلع آرائهم عن مستويات غير كافية من النضج الأمني.

ان غياب النضج الشامل ليس أمراً غريباً، إذ أن العديد من المؤسسات التي جرى استطلاع رأيها أعلنت عن وقوع حوادث أمنية نتج عنها خسائر أو أضرار لعملياتها خلال الـ12 شهرا الماضية. وتوفر نتائج البحث رؤية نوعية توضح أن المجال الأكثر نضجا لبرامج وقدرات الأمن الإلكتروني للمؤسسات يتمثل في الحلول الوقائية بالرغم من المفهوم الشائع بأن الاستراتيجيات والحلول الوقائية بمفردها ليست كافية في مواجهة الهجمات الأكثر تطورا. وعلاوة على ذلك، فإن الضعف الأكبر للمؤسسات التي خضعت للدراسة تتمثل في القدرة على القياس والتقييم والتخفيف من مخاطر الأمن الإلكتروني، في حين كشفت 45 في المئة من المؤسسات المستطلع رأيها بأن قدراتها في هذا المجال "غير موجودة" أو "محدودة"، بينما أعلنت 21 في المئة فقط من المؤسسات أنها تتمتع بنضج كاف في هذا المجال. وهذا القصور يجعل من الصعب أو المستحيل منح الألوية لأنشطة الأمن والاستثمار، وهو نشاط أساسي لأي مؤسسة تسعى إلى تحسين قدراتها الأمنية اليوم.

وبخلاف التوقعات، يشير البحث إلى أن حجم المؤسسة ليس مؤشرا على النضج. وفي واقع الأمر فإن 83 في المئة من المؤسسات المستطلع آرائها، ويعمل بها أكثر من عشرة آلاف موظف، صنفت قدراتها بأنها أدنى من "المستوى المتطور" من حيث النضج الشامل. وتشير هذه النتيجة إلى أن الخبرة الشاملة للمؤسسات الكبرى ورؤيتها بشأن التهديدات المتطورة تجعل من الضروري اكتساب قدر أكبر من النضج في مقابل وضعها الحالي. ويشير ضعف مستوى التقييم الذاتي لنضج المؤسسات الكبرى إلى إدراكها للحاجة للانتقال إلى حلول الكشف والرد على التهديدات والاستراتيجيات التي تهدف إلى توفير حلول أمنية ناضجة وأكثر فاعلية.

وجاءت النتائج الخاصة بمؤسسات الخدمات المالية بخلاف التوقعات أيضا، فهو قطاع يوصف في الغالب بأنه رائد في هذا المجال من حيث نضج الأمن الإلكتروني. وبالرغم من هذا الرأي التقليدي السائد، فإن مؤسسات الخدمات المالية التي خضعت للدراسة لم تقيم نفسها بوصفها القطاع الأكثر نضجا، وقيمت فقط ثلث هذه المؤسسات نفسها بأنها تتمتع بجاهزية جيدة للتعامل مع التهديدات. ستحتاج شركات تشغيل البنية الأساسية المهمة، والتي تمثل الهدف الرئيسي لإرشادات إطار الأمن الإلكتروني CSF إلى القيام بخطوات مهمة لتطوير مستوياتها الحالية للنضج. وأعلنت المؤسسات العاملة في قطاع الاتصالات أعلى مستوى من النضج إذ أن 50 في المئة من المستطلع آرائهم يتمتعون بقدرات أمنية مميزة وأكثر تطورا، بينما جاءت المؤسسات الحكومية في المرتبة الأخيرة في جميع المجالات في هذه الدراسة إذ أن فقط 18 في المئة من المستطلع آرائهم صنفوا في مستوى مميز أو متقدم. ويشير تراجع التقييم الذاتي للنضج في صناعات تتمتع بنضج ملحوظ إلى مستوى كبير من الإدراك لمشهد التهديدات المتطورة وحاجة هذه المؤسسات إلى بناء قدرات أكثر نضجا لمواجهتها.

وكانت منهجية التقييم نضج الأمن الإلكتروني، قام المشاركون في الاستطلاع بعمل تقييم ذاتي لقدراتهم مقابل عينة من إرشادات إطار الأمن الإلكتروني للمعهد الوطني للمعايير والتكنولوجيا NIST Cybersecurity Framework (CSF). ويقدم إطار CSF إرشادات تستند إلى المعايير الحالية والإرشادات والممارسات المتبعة لتقليل المخاطر، وجرى صياغة هذا الإطار الارشادي من خلال التعاون بين الشركات العاملة في هذا المجال والحكومة الأمريكية. ورغم أن إطار CSF صيغ في بادئ الأمر في الولايات المتحدة بهدف المساعدة في التقليل من المخاطر الإلكترونية على البنية الأساسية المهمة، فقد وجدت المؤسسات على مستوى العالم أن هذا الإطار يجب أن يمنح أولوية وأنه يمثل نهجا مرنا وقابلا للاستخدام المتكرر وفعالا من حيث التكلفة من أجل الحد من المخاطر الإلكترونية. وبالتالي، فإن هذا الإطار يوفر أساسا ممتازا لتقييم أي أمن إلكتروني أساسي داخل المؤسسات ونضج وتطوير البرمجيات التي تهدف إلى الحد من المخاطر الإلكترونية.

وصنفت المؤسسات قدراتها في الوظائف الخمس الرئيسية التي تشتمل عليها إرشادات إطار CSF كالتالي:

تحديد المخاطر وتوفير الحماية والكشف عن المخاطر والرد والتغلب عليها. وجاء التقييم في شكل مستوى من خمس نقاط، حيث يشير المستوى الأول إلى أن انعدام القدرة لدى المؤسسة في مجال محدد، في حين يشير المستوى الخامس إلى وجود ممارسات عالية النضج للمؤسسة في هذا المجال.

يقول أميت ياران رئيس آر إس ايه، الذراع الأمنية لإي إم سي EMC "يظهر هذا البحث أن الشركات لا تزال تضخ أموالا هائلة في الجيل التالي من برامج الجدار الناري ومضادات الفيروسات والحماية من البرامج الخبيثة المتطورة بهدف منع التهديدات المتطورة. وبالرغم من الاستثمار في هذه المجالات، فإنه حتى المنظمات الكبرى لا تزال تشعر بأنها غير جاهزة للتعامل مع التهديدات التي تواجهها. ونعتقد أن هذه المشكلة هي نتيجة لفشل نماذج الأمن الحالية التي تستند إلى الوقاية من الهجمات في التعامل مع مشهد التهديدات المتطورة. نحتاج إلى أن نغير الطريقة التي نفكر فيها بشأن الأمن (الإلكتروني) وهذا يبدأ بالإقرار بأن الوقاية وحدها هي استراتيجية فاشلة وينبغي إيلاء قدر أكبر من الاهتمام باستراتيجية تستند إلى الكشف (عن المخاطر) والرد (عليها)."

ومن جانبه يقول ستيفن تي وايتلوك، رئيس قسم الاستراتيجية والتكنولوجيا وحلول أمن المعلومات، شركة بوينج "أيدت بوينج وساهمت في إرشادات إطار الأمن الإلكتروني للمعهد الوطني للمعايير والتكنولوجيا منذ تدشينه. إننا نستخدم هذا الإطار كقاعدة لتقييم الأمن الشامل لكل من المؤسسات الداخلية والعملاء الخارجيين. يعزز إطار الأمن الإلكتروني CSF من توجه شامل ومرن يعتمد على مواجهة المخاطر، وهذا النهج حيادي من الناحية التكنولوجية والتنظيمية. ونظرا لأننا استخدمنا هذا الإطار، فإن النتائج كان لها تأثير كبير في تفسير المشاكل وتحديد الاتجاه الخاص بقدرات الأمن الإلكتروني مستقبلا."