دراسة جديدة لمؤسسة جارتنر تشير إلى تطور ممارسات حوكمة أمن المعلومات

الأحد 20 سبتمبر 2015
توم شولتز، نائب الرئيس وزميل مؤسسة الدراسات والأبحاث العالمية جارتنر

دبي - مينا هيرالد: تتطور ممارسات حوكمة أمن المعلومات وفقاً لآخر التقارير السنوية المتعلقة بخصوصية المستخدم النهائي، أو إدارة مخاطر تقنية المعلومات، أو أمن المعلومات، أو استمرارية الأعمال، أو الامتثال التنظيمي، والصادرة عن مؤسسة الدراسات والأبحاث العالمية جارتنر. حيث شملت الدراسة الاستقصائية التي قامت بها مؤسسة جارتنر 964 مستفتى يعملون في كبرى المؤسسات - التي بلغ إجمالي إيراداتها السنوية 50 مليون دولار أو أكثر خلال السنة المالية 2014، ويعمل بها 100 موظف كحد أدنى - ضمن سبعة دول، وذلك خلال الفترة ما بين شهري فبراير وأبريل من العام 2015.

في هذا السياق قال توم شولتز، نائب الرئيس وزميل مؤسسة الدراسات والأبحاث العالمية جارتنر: "إن رفع مستوى الوعي حول مدى تأثير مخاطر الأعمال الرقمية، بالإضافة إلى المستويات العالية من الشيوع المتعلق بحوادث الأمن الالكتروني، يجعل من مخاطر تقنية المعلومات قضية مطروحة على طاولة مجلس الإدارة. فقد أشار واحد وسبعون بالمائة ممن شملتهم الدراسة إلى أن بيانات إدارة مخاطر تقنية المعلومات تؤثر على القرارات الصادرة عن مجلس الإدارة، وهو ما يعكس ارتفاع مستوى التركيز على معالجة مخاطر تقنية المعلومات كجزء من حوكمة الشركات".

هذا، وتعد آلية التسلسل الإداري في رفع التقارير ضمن فريق عمل أمن المعلومات من السمات الرئيسية للحصول على الحوكمة الفعالة، حيث أشار ثمانية وثلاثون بالمائة من المستفتين صراحةً إلى أن كبير الموظفين المسؤول عن تقارير أمن المعلومات هو من خارج مؤسسة تقنية المعلومات.

ويتابع توم شولتز حديثه قائلاً: "إن الأسباب الرئيسية الداعية إلى تسلسل رفع التقارير إلى خارج محيط تقنية المعلومات ترمي إلى تحسين الفاصل ما بين التنفيذ والرقابة، وذلك من أجل تعزيز مكانة الشركة في مجال توظيف أمن المعلومات، وللخروج من العقلية السائدة بين الموظفين والأطراف المعنية والتي تقول بأن "الأمن هي مشكلة متعلقة بتقنية المعلومات". كما أن المؤسسات تدرك وبوتيرة متنامية أن الأمن يجب أن يُدار ضمن قضايا مخاطر الأعمال، وليس فقط كقضية تشغيلية مرتبطة بتقنية المعلومات. وهناك تفهم متزايد حول التحديات التي يثيرها الأمن الالكتروني، والتي تتجاوز النطاق التقليدي لتقنية المعلومات لتشمل مجالات أخرى مثل أمن التقنيات التشغيلية OT، وأمن إنترنت الأشياء IoT".

من جهة أخرى، نلحظ تحسناً في مستوى الأسبقية التي تتم من خلالها رعاية واحتضان البرمجيات الأمنية، فقد أشار 63% بالمائة من المستفتين أنهم يتلقون الرعاية والدعم الخاصين ببرامج أمن المعلومات من القيادة التي تقع خارج نطاق مؤسسة تقنية المعلومات، وتمثل هذه النسبة زيادة كبيرة من 54 بالمائة حققتها خلال العام 2014. أما مستوى رعاية الرئيس التنفيذي و/أو مجلس الإدارة فقد حافظ على ثباته بنسبة 30 بالمائة (29 بالمائة حققها في العام 2014)، في حين ارتفع مستوى الرعاية المقدمة من قبل اللجنة الإدارية من 7 إلى 12 بالمائة. وهنا تجدر الإشارة إلى وجود العديد من الاختلافات إقليمية المثيرة للاهتمام، فـ 57 بالمائة من المستفتين من أمريكا الشمالية أشاروا إلى أن الرعاية تأتي من خارج نطاق تقنية المعلومات، وهي نسبة أقل بكثير من 63 بالمائة سجلها المستفتون من أوروبا الغربية و67 بالمائة سجلها المستفتون من منطقة آسيا/المحيط الهادئ.

ويتطرق توم شولتز إلى هذه النقطة بالقول: "ينبغي وجود رئيس تنفيذي أول للبرمجيات الأمنية، وهو أمر جوهري لابد منه، وبدون ذلك ستحظى البرمجيات الأمنية بفرصة ضئيلة للحصول على الدعم اللازم من بقية أقسام المؤسسة. ويجب أن تتألف اللجنة الإدارية الخاصة بأمن معلومات الشركة CISSC بشكل رئيسي من ممثلي قطاع الأعمال، فتوقعاتنا تشير إلى أن مستوى الرعاية المقدمة من هذه الهيئات واللجان يواصل نموه في ظل تطور وتحسن مستوى وظائف الحوكمة. وبكل تأكيد، سيصبح منتدى الحوكمة الفعالة، مثل اللجنة الإدارية الخاصة بأمن معلومات الشركة CISSC، الممثل الرسمي لكل من الرئيس التنفيذي، ومجلس الإدارة، وكبار مدراء وحدات الأعمال".

أما بالنسبة لمدى فعالية السياسات الأمنية، فعلى الرغم من أن نصف المستفتين أفادوا بأن لجنة الحوكمة تضطلع بمهام تقييم واعتماد سياسات، إلا أن 30 بالمائة فقط من المستفتين أشاروا بأن وحدات الأعمال BUs تشارك بفعالية في صياغة السياسات التي من شأنها التأثير على مسيرة أعمالهم. وعلى الرغم نم أن هذه النسبة تشكل تحسناً كبيراً عما سجلته في السنوات السابقة (16 بالمائة خلال العام 2014)، إلا أنها لا تزال تعتبر مؤشراً على الافتقار لوجود مشاركة فعالة مع وحدات الأعمال. وهذا النقص الحاد في المشاركة هو السبب الرئيسي وراء العديد من المخاطر المختلفة التي تظهر بين فريق العمل الأمني و وحدات الأعمال، والتي قد تؤدي إلى طرح ضوابط مفرطة وغير مدارة، ما يؤدي بدوره إلى حصد نتائج تدقيق غير ضرورية، وفي نهاية المطاف إلى انخفاض الإنتاجية.

للإطلاع على المزيد من التحليلات المفصلة، يرجى قراءة التقرير: "تحليل الدراسة الاستقصائية: حوكمة أمن المعلومات، ما بين العامين 2015-2016".

وستتم مناقشة المزيد من التفاصيل حول سوق الحلول الأمنية خلال فعاليات قمم جارتنر للأمن وإدارة المخاطر القادمة، المزمع عقدها خلال الفترة ما بين 10-11 أغسطس في مدينة ساو باولو بالبرازيل، وخلال الفترة ما بين 24-25 أغسطس في مدينة سيدني بأستراليا، وخلال الفترة ما بين 1-2 سبتمبر في مدينة مومباي بالهند، وخلال الفترة ما بين 14-15 سبتمبر في مدينة لندن بالمملكة المتحدة، وخلال الفترة ما بين 2-3 نوفمبر في مدينة دبي بالإمارات العربية المتحدة.

كما ستتم مشاركة المعلومات الصادرة عن قمم جارتنر للأمن وإدارة المخاطر 2015 على موقع تويتر عن طريق الصفحة: http://twitter.com/Gartner_inc، وذلك باستخدام الوسم #GartnerSEC.

أخبار مرتبطة