يلخص ساجد كمار، المدير العام للمؤسسات من “كلاود بوكس تكنولوجيز” التكنولوجيا الممكنة والتدابير الإستراتيجية في عام 2022 التي يمكن أن تساعد في تحويل الأمان للمؤسسات.
يعد الأمن السيبراني وإدارة التحول الرقمي من بين أكثر التحديات صعوبة لمجالس المؤسسات العالمية والإقليمية. بينما تقوم هذه المجالس بالكثير لسد الفجوة بينها وبين كبار موظفي أمن المعلومات والمؤسسات الأمنية، نورد بعض الإجراءات التقنية والاستراتيجية الأخرى التي يمكن أن تساعد في جعل المؤسسات أكثر مرونة وأمانًا.
الاتجاه الأول: إعادة ضبط السياسات الكبيرة
ما هو التغيير الأكبر والأكثر إلحاحًا المطلوب في سياسات أمان المؤسسات؟ إنه واقع أن غالبية موظفيها لم يعودوا موظفين، بل أصبحوا أشبه بالعاملين عن بعد. أو بعبارة أخرى، أصبح العاملون عن بُعد عمالًا وأصبح العمل عن بُعد الآن هو عمل المؤسسة. بطريقة اوضح، تحتاج المؤسسات إلى إعادة ضبط سياساتها وأدواتها الأمنية بالكامل لتكون قادرة على إدارة المخاطر من هذا الواقع التنظيمي الجديد.
الاتجاه الثاني: إدارة العمال
كيف سيتم نشر الأمن في مؤسسة هجينة حديثة، حيث يتنقل المستخدمون بين أوضاع عمل متعددة؟ في بعض الأحيان سيتواجدون في مركز العمل، خلف الحماية التي يوفرها المكتب، في أحيان أخرى سيكونون متنقلين، او سيعملون من المنزل. في جميع هذه الأوقات سيحاولون الوصول إلى الشبكات اللاسلكية، الإنترنت، أو شبكات خاصة افتراضية. كيف سيتم تعديل البنية الأمنية للمؤسسة بشكل مستمر أثناء تنقل موظفيها عبر نسيجها؟
يتم اليوم تعامل المؤسسات من الداخل إلى الخارج مع هذه التحديات المتمثلة في إدارة متطلبات المستخدمين لأوضاع ومستويات متعددة من الوصول إلى الأمان. ستحتاج جميع المؤسسات إلى اتخاذ موقف دفاعي وسياسات أمنية ومخاطر محددة جيدًا فيما يتعلق بالعاملين في المقر، عن بعد، او اثناء التنقل.
تتمثل إحدى الطرق في تطوير شبكة للأمن السيبراني ونشرها، والتي تمكّن المؤسسة المتمددة من نشر وتوسيع نطاق الأمن حيث يكون مطلوبًا أكثر.
الاتجاه الثالث: إدارة أصول المؤسسة
بالإضافة للوباء، فإن التحول الرقمي مسؤول أيضًا عن ربط الأصول الصناعية، التشغيلية، وتكنولوجيا المعلومات التي يتم توزيعها عبر نسيج المؤسسة. يمكن أن تتواجد هذه الأصول على الحافة، داخل الشبكة، في المركز، وحتى داخل الشبكات الأخرى.
تعمل البوابات والبرمجيات الوسيطة الآن بشكل فعال وكفء على توصيل الشبكات المتباينة داخل المؤسسات التي لم تكن مجدية قبل عقد من الزمن. لإدارة كل هذه التحديات، يجب أن يكون الأمان مرنًا، رشيقًا، قابلًا للتطوير، ومع ذلك قويًا بما يكفي ليؤدي ما يتوقعه المستخدمون من حماية للمؤسسة.
الاتجاه الرابع: تعريف الموظف
بينما يتنقل الموظفون عبر النسيج الأمني للمؤسسات، يجب أن تتغير مستويات وصولهم إلى الأمان باستمرار. والأهم تغيير أمنهم المستند إلى الهوية، مع الثقة المنعدمة كشرط مهيمن. في حين أن الوصول إلى الهوية المنعدم الثقة ليس بالأمر الجديد، إلا أنه يكتسب أهمية متجددة في مواجهة وصول العامل الهجين بالإضافة إلى تكامل الشبكات المتباينة التي يقودها التحول الرقمي.
تعتبر الهندسة الاجتماعية للوصول إلى الهوية نشاطًا مهيمنًا لجهات التهديد العالمية المتطورة. لذلك، فإن تقنيات وممارسات إدارة الهوية بحاجة إلى مزيد من الارتقاء من حيث الأهمية.
إلى جانب الهويات البشرية، لدينا أيضًا هويات للآلات والروبوتات، والتي تضيف تعقيدات إضافية في عمليات إدارة الوصول إلى الهوية بشكل عام. تقود التقنيات الرقمية مثل أتمتة العمليات الروبوتية أتمتة العمليات وتتطلب كل من هذه العمليات الآلية أو الروبوتات تسجيل الدخول إلى الشبكة ومجموعات التطبيقات. تعد واجهات برمجة التطبيقات نقطة ضعف أخرى حيث يتم منح الوصول للمستخدمين من خلال تطبيقات متعددة عبر واجهات برمجة التطبيقات.
لإدارة التحول الرقمي بشكل أفضل، تحتاج المؤسسات إلى مراجعة بيانات اعتماد الهوية الشاملة الخاصة بها عبر جميع الأجهزة البشرية والروبوتية.
الاتجاه الخامس: مجالس إدارة لتحسين الاتصال
يتم الآن تنبيه المجالس لمواجهة التحديات التي تشكلها برامج الفدية، التهديدات المستمرة المتقدمة، وغيرها من البرامج الضارة لسلسلة التوريد التي لها آثار كارثية على بعض الشركات العالمية. تم تسليط الضوء على عدم قدرة أعضاء مجلس الإدارة على التحدث بنفس لغة كبار موظفي أمن المعلومات وبالتالي عدم قدرتهم على سد الفجوات من الأعلى إلى الأسفل. وهم الآن يشكلون لجانًا مخصصة يرأسها خبراء أمنيون وأعضاء مجلس إدارة مختارين لسد الفجوة ومعالجة التحدي.
من خلال هذه المبادرة ، يمكن لكبار موظفي أمن المعلومات توقع تدفق معلومات أفضل بكثير مع مجلس الإدارة، بالإضافة إلى محادثات أعمق حول إنفاق الأمان، السياسات، الاستباقية، المخاطر، الحوكمة، والاستراتيجية.
الاتجاه السادس: تزايد الموردين
التحدي المتواصل والمستمر حتى العام المقبل هو تعقيد أدوات الأمان التي يديرها كبار موظفي أمن المعلومات ومدراء تكنولوجيا المعلومات. وجدت الاستطلاعات العالمية التي أجرتها شركة الأبحاث “غارتنر” أن 78% من كبار موظفي أمن المعلومات يديرون 16 أداة أو أكثر عبر محفظة موردي الأمن السيبراني. بينما يدير 12% منهم أكثر من 46 أداة.
الحقيقة القاسية هي أن مؤسسات الأمن السيبراني لديها عدد كبير جدًا من الأدوات، من عدد كبير جدًا من الموردين، مما يؤدي إلى إجراءات إدارية معقدة، زيادة الطلب المستمر على المهارات، وزيادة عدد موظفي الأمن.
في ظل هذه الظروف، يحتاج كبار موظفي أمن المعلومات إلى البدء في دمج أنشطة الموردين الموسعة، مدركين أن مثل هذه الأنشطة تستغرق وقتًا ولا يوجد حل قصير الأجل أثناء السير في هذا الاتجاه. التحقق الآخر من الواقع هو أن خفض الإنفاق الرأسمالي قد لا يكون منفعة مباشرة يمكن تحقيقها، ولكن تخفيض التكاليف غير المباشرة وزيادة الكفاءة التشغيلية هي أهداف أكثر قابلية للتحقيق.
الاتجاه السابع: الاختبار والتأكد
تتم إضافة أدوات جديدة إلى مجموعة الحلول التي يمكن استخدامها للتحقق من الثغرات الأمنية للمؤسسات. أحد هذه المجالات هو عمليات محاكاة الاختراق والهجوم التي تقوم باختبار مستمر والتحقق من صحة ضوابط الأمان وتختبر القدرة على تحمل التهديدات الخارجية. كما يسلط الضوء على المخاطر التي تتعرض لها الأصول عالية القيمة مثل البيانات شديدة السرية.
هناك مجال آخر يتم تطويره وهو القدرة على حماية البيانات أثناء قراءتها واستخدامها، مقارنة بحماية البيانات أثناء الحركة أو في حالة الركود. يسمح هذا الأمان المحسّن بمعالجة البيانات الآمنة، المشاركة الآمنة، والتحويلات عبر الحدود دون مخاطر.
