أعلنت اليوم RSA، الذراع الأمني لشركة EMC عن مؤشرها الأول لضعف الأمن الإلكتروني والذي استعان بنتائج مسح شمل أكثر من 400 من المتخصصين في مجال الأمن الإلكتروني من 61 دولة.
وخلال هذا المسح، أتيحت الفرصة للمشاركين لإجراء تقييم ذاتي لبرامجهم الخاصة بالأمن الإلكتروني عبر الاستعانة بإرشادات إطار الأمن الإلكتروني للمعهد الوطني للمعايير والتكنولوجيا كمعيار للقياس.
ويوفر البحث رؤية عالمية قيمة للتعرف على كيفية تصنيف المؤسسات لمستويات النضج الشامل وممارسات الأمن الإلكتروني عبر مجموعة متنوعة من المؤسسات ذات الأحجام المختلفة والصناعات والمناطق الجغرافية.
ورغم أن المؤسسات الكبرى يعتقد عادة بأن لديها الموارد لتأسيس مستوى من الحماية أكثر فاعلية للتصدي للهجمات الإلكترونية، فإن نتائج المسح تشير إلى أن حجم المؤسسات ليس عاملا حاسما في تحديد قوة النضج في الأمن الإلكتروني. وأعلن تقريبا 75% من المستطلع آرائهم عن مستويات غير كافية من النضج الأمني.
ان غياب النضج الشامل ليس أمراً غريباً، إذ أن العديد من المؤسسات التي جرى استطلاع رأيها أعلنت عن وقوع حوادث أمنية نتج عنها خسائر أو أضرار لعملياتها خلال الـ12 شهرا الماضية.
وتوفر نتائج البحث رؤية نوعية توضح أن المجال الأكثر نضجا لبرامج وقدرات الأمن الإلكتروني للمؤسسات يتمثل في الحلول الوقائية بالرغم من المفهوم الشائع بأن الاستراتيجيات والحلول الوقائية بمفردها ليست كافية في مواجهة الهجمات الأكثر تطورا.
وعلاوة على ذلك، فإن الضعف الأكبر للمؤسسات التي خضعت للدراسة تتمثل في القدرة على القياس والتقييم والتخفيف من مخاطر الأمن الإلكتروني، في حين كشفت 45% من المؤسسات المستطلع رأيها بأن قدراتها في هذا المجال “غير موجودة” أو “محدودة”، بينما أعلنت 21% فقط من المؤسسات أنها تتمتع بنضج كاف في هذا المجال. وهذا القصور يجعل من الصعب أو المستحيل منح الألوية لأنشطة الأمن والاستثمار، وهو نشاط أساسي لأي مؤسسة تسعى إلى تحسين قدراتها الأمنية اليوم.
وبخلاف التوقعات، يشير البحث إلى أن حجم المؤسسة ليس مؤشرا على النضج. وفي واقع الأمر فإن 83% من المؤسسات المستطلع آرائها، ويعمل بها أكثر من عشرة آلاف موظف، صنفت قدراتها بأنها أدنى من “المستوى المتطور” من حيث النضج الشامل.
وتشير هذه النتيجة إلى أن الخبرة الشاملة للمؤسسات الكبرى ورؤيتها بشأن التهديدات المتطورة تجعل من الضروري اكتساب قدر أكبر من النضج في مقابل وضعها الحالي. ويشير ضعف مستوى التقييم الذاتي لنضج المؤسسات الكبرى إلى إدراكها للحاجة للانتقال إلى حلول الكشف والرد على التهديدات والاستراتيجيات التي تهدف إلى توفير حلول أمنية ناضجة وأكثر فاعلية.
وجاءت النتائج الخاصة بمؤسسات الخدمات المالية بخلاف التوقعات أيضا، فهو قطاع يوصف في الغالب بأنه رائد في هذا المجال من حيث نضج الأمن الإلكتروني.
وبالرغم من هذا الرأي التقليدي السائد، فإن مؤسسات الخدمات المالية التي خضعت للدراسة لم تقيم نفسها بوصفها القطاع الأكثر نضجا، وقيمت فقط ثلث هذه المؤسسات نفسها بأنها تتمتع بجاهزية جيدة للتعامل مع التهديدات. ستحتاج شركات تشغيل البنية الأساسية المهمة، والتي تمثل الهدف الرئيسي لإرشادات إطار الأمن الإلكتروني CSF إلى القيام بخطوات مهمة لتطوير مستوياتها الحالية للنضج.
وأعلنت المؤسسات العاملة في قطاع الاتصالات أعلى مستوى من النضج إذ أن 50% من المستطلع آرائهم يتمتعون بقدرات أمنية مميزة وأكثر تطورا، بينما جاءت المؤسسات الحكومية في المرتبة الأخيرة في جميع المجالات في هذه الدراسة إذ أن فقط 18% من المستطلع آرائهم صنفوا في مستوى مميز أو متقدم.
ويشير تراجع التقييم الذاتي للنضج في صناعات تتمتع بنضج ملحوظ إلى مستوى كبير من الإدراك لمشهد التهديدات المتطورة وحاجة هذه المؤسسات إلى بناء قدرات أكثر نضجا لمواجهتها.
وصنفت المؤسسات قدراتها في الوظائف الخمس الرئيسية التي تشتمل عليها إرشادات إطار CSF كالتالي: تحديد المخاطر وتوفير الحماية والكشف عن المخاطر والرد والتغلب عليها. وجاء التقييم في شكل مستوى من خمس نقاط، حيث يشير المستوى الأول إلى أن انعدام القدرة لدى المؤسسة في مجال محدد، في حين يشير المستوى الخامس إلى وجود ممارسات عالية النضج للمؤسسة في هذا المجال.
أميت ياران، رئيس آر إس ايه، قال “يظهر هذا البحث أن الشركات لا تزال تضخ أموالا هائلة في الجيل التالي من برامج الجدار الناري ومضادات الفيروسات والحماية من البرامج الخبيثة المتطورة بهدف منع التهديدات المتطورة. وبالرغم من الاستثمار في هذه المجالات، فإنه حتى المنظمات الكبرى لا تزال تشعر بأنها غير جاهزة للتعامل مع التهديدات التي تواجهها”.
وأضاف “ونعتقد أن هذه المشكلة هي نتيجة لفشل نماذج الأمن الحالية التي تستند إلى الوقاية من الهجمات في التعامل مع مشهد التهديدات المتطورة. نحتاج إلى أن نغير الطريقة التي نفكر فيها بشأن الأمن (الإلكتروني) وهذا يبدأ بالإقرار بأن الوقاية وحدها هي استراتيجية فاشلة وينبغي إيلاء قدر أكبر من الاهتمام باستراتيجية تستند إلى الكشف عن المخاطر والرد عليها”.
ومن جانبه، قال ستيفن تي وايتلوك، رئيس قسم الاستراتيجية والتكنولوجيا وحلول أمن المعلومات، شركة بوينج “أيدت بوينج وساهمت في إرشادات إطار الأمن الإلكتروني للمعهد الوطني للمعايير والتكنولوجيا منذ تدشينه. إننا نستخدم هذا الإطار كقاعدة لتقييم الأمن الشامل لكل من المؤسسات الداخلية والعملاء الخارجيين”.
وتابع “يعزز إطار الأمن الإلكتروني CSF من توجه شامل ومرن يعتمد على مواجهة المخاطر، وهذا النهج حيادي من الناحية التكنولوجية والتنظيمية. ونظرا لأننا استخدمنا هذا الإطار، فإن النتائج كان لها تأثير كبير في تفسير المشاكل وتحديد الاتجاه الخاص بقدرات الأمن الإلكتروني مستقبلا”.
الان
RSA: نحو 75% من الشركات غير قادرة على معالجة مشاكل الأمن الإلكترونى
