باتت المنطقة تُشكل إحدى الأهداف الرئيسية للهجمات الإلكترونية عبر الإنترنت. وقد أشارت نتائج توصل إليها تقرير متخصص إلى أن 56% من الشركات في المنطقة خسرت أكثر من نصف مليون دولار أمريكي في عام 2015 نتيجة للهجمات الإلكترونية، مقابل 33% منها على الصعيد العالمي.

جيم جايجر

ولمواجهة ذلك، عملت الشركات في مختلف أنحاء المنطقة على زيادة معدل إنفاقها على أدوات أمن وحماية المعلومات، إلا أن أحد أكبر التحديات التي ماتزال تواجهه هذه الشركات عند استثمارها في أدوات جديدة لحماية معلوماتها يتمثل في الإجابة على السؤال الذي يجب أن يسأله المدراء الماليين دائماً: “ماهي القيمة التي يمكن الحصول عليها من هذا الاستثمار؟”.

 تجنب الألة الحاسبة عند احتساب العوائد

لكن شركة “برايس ووترهاوس كوبرز” PwC ، التي أصدرت هذه التقرير، أشارت الى أنه لا يمكن استخدام طريقة أو نهج معين لتحديد العائد على الاستثمار في المنتجات الأمنية الجديدة، فلا توجد قواعد معينة أو سريعة لتطبيق ذلك – لهذا يجب تجنب الآلات الحاسبة التي تستخدم لتحديد العائد على الاستثمار بشتى الوسائل.

إن تحديد حجم الاستفادة من شراء منتجات حماية جديدة تشبه عملية تحديد هدف متحرك، والأهم من ذلك هو أن كل شركة هي شركة فريدة من نوعها. فالبنية التحتية لأي شركة وحجمها والمخاطر التي يمكن أن تعاني منها بسبب أي هجوم إلكتروني – هي أمور تختلف من شركة لأخرى. ما يعني أن الاستراتيجيات الأمنية الناجحة يمكن أن تختلف بشكل كبير بين الشركات.

أين هي القيمة؟

للوهلة الأولى تبدو الأدوات الأمنية غير مفيدة ولا يمكنها توفير الكثير من الوقت والمال. فهي ستؤدي إلى مزيد من التنبيهات التي ستغرق فريق أمن المعلومات بمحاولات التحقق والتعقب للتهديدات الأمنية المحتملة، لكن هذا لا يعني بأن الأدوات الأمنية لا تقدم أي قيمة للشركات. إنما من خلال تحديد ذلك، يمكن بناء جدوى أو دراسة خاصة بالحلول الأمنية يمكن للمدير المالي فهمها وتحديد القيمة التي يمكن الحصول عليها.

إن التحديات الكامنة وراء عملية تحديد العائد على الاستثمار في أدوات حماية المعلومات لا تقلل من أهمية توفير هذه المعلومات وتوضيحها لقادة الشركات وأعضاء مجالس الإدارة. الزيادة الكبيرة في أعداد شركات تصنيع أدوات حماية المعلومات في الأسواق مؤخراً مع الحلول المتشابه التي يقدمونها بالإضافة إلى ادعاءاتهم المتشابهة في القدرة على “حل المشاكل الأمنية”، كلها أسباب تجعل من عملية اختيار حل شامل لحماية المعلومات أكثر صعوبة. بات الأمر معقداً أكثر بالنسبة لرؤساء تقنية المعلومات ورؤساء حماية المعلومات لفهم الثغرات الأمنية وأماكن وجودها، وهذا لا يقلل من أهمية مساعدة المدراء التنفيذيين وأعضاء مجلس الإدارة على فهم قيمة البرامج الأمنية المقترحة وأهمية الحصول عليها.

فيما يتعلق بقطاع أمن المعلومات فإن الفائدة الأكبر التي يمكن الحصول عليها هي في تقليل نسبة المخاطر الأمنية. لكن لسوء الحظ، باتت مقولة “اشتري هذه الأداة أو قم بتوظيف هذا الشخص وسوف تقل نسبة الحوادث الأمنية لديك” تعتبر مقولة نظرية للغاية ولا يمكن تطبيقها بسهولة على الواقع العملي. ومن المرجح أن تكون هذه المقولة قد استخدمت عند شراء أدوات أمنية في السابق لكنها أدت إلى احتمال أكبر لسرقة البيانات – إنها لعبة محفوفة بالمخاطر.

 أسئلة تنتظر اجابات

بدلاً من محاولة تقدير مستويات المخاطر التي يمكن أن تواجهها أي شركة فيما يخص أمن المعلومات وما هو احتمال تعرضها لهجوم إلكتروني ما، الأمر الأكثر أهمية هو الوقت أو الأشخاص التي يمكن لأداة حماية جديدة أن توفرها، وكيف تساعد هذه الأداة الشركات على العمل بكفاءة وفعالية أكبر. وهنا مجموعة من الأسئلة الأساسية الخاصة بذلك:

– هل يمكن لهذه الأداة أن تؤتمت الأنشطة الشاقة اليومية؟

– هل يمكنها أن تقلل من الحاجة إلى توظيف المهارات العالية والموظفين المتخصصين الذين يصعب الحصول عليهم عادة؟

  • هي ستسمح للمحللين من المستوى الأول بالقيام بمهام المحللين من المستوى الثاني؟
  • هي ستسمح للمحليين من المستوى الثالث بالقيام بمهام موظف الاستجابة للحوادث الأمنية؟

– هي ستقلل من الوقت الذي تحتاجه الشركات لمواجهة التهديدات الأمنية؟

– هل ستساعد على تعزيز عمل القسم المتخصص بأمن المعلومات بالكامل. على سبيل المثال الحد من عدد الموظفين المسؤولين عن النقاط النهائية أو عدد الأجهزة المستخدمة في حماية الشبكات في شركتك؟

  • هل ستقلل من الحاجة إلى دمج الأجهزة الأمنية المتعددة؟
  • هل ستقلل من عدد الشاشات التي يجب على موظفي المراقبة التركيز عليها؟

– هل يمكن لهذه الأداة أن تحسن من سرعة ودقة استجابة الشركات للحوادث الأمنية؟

بالنسبة لأي مدير مالي، فإن طريقة العمل هذه ستوفر له فرصة كبيرة لتوظيف المزيد من الأموال وتعزيز العائد على الاستثمار في الحلول الأمنية. وفي الوقت نفسه، تساعد على الحد من الخروقات الأمنية التي يمكن أن تتعرض لها أي شركة وهو الأمر الذي يركز عليه أعضاء مجلس الإدارة بشكل كبير.

فوائد لابد من احتسابها

من المستحيل تقريباً بالنسبة لأي شركة تحديد التكاليف التي يمكن أن يسببها أي اختراق أمني، فالقضية لا تتعلق فقط بتعويض ضحايا هذا الاختراق أو تحديد الخسائر المالية، بل يضاف إلى ذلك سمعة هذه الشركة وما يتعلق بذلك من تبعات ونتائج. لا يمكن لأحد أن يتوقع أن يقوم أي مدير مالي أو مجلس إدارة بتوقيع شيك على بياض لتعزيز أمن معلومات الشركة، ولذلك من المهم للغاية توضيح حجم التوفير الذي يمكن أن تحققه أي شركة من خلال بناء فريق عمل متخصص بأمن المعلومات يعمل بكفاءة كبيرة ومن خلال تخفيض تكاليف الأجهزة الأمنية والتقليل من المخاطر، وذلك لفهم القيمة التي يمكن أن تحققها الشركة من تنفيذ ذلك.

  *صدر التقريرفي مارس 2015 تحت عنوان شعور زائف بالأمان والمبني على استطلاع شمل 300 شركة من شركات الشرق الأوسط

*جيم جايجر، رئيس استراتيجيات الخدمات الإلكترونية في شركة “فيديليس سايبرسكيوريتي”، مؤلف التقرير:

جمع جيم جايجر المسؤول الأول عن تطوير وتحسين استراتيجية الشركة وأعمالها الخاصة بالخدمات الإلكترونية. بين عدة مناصب مهمة شغلها في سلاح الجو الأمريكي وفي قيادة البرامج الحاسوبية المتطورة في مجموعة من الوكالات الفدرالية عندما كان يعمل في شركة “جنرال دايناميكس”. وقد تمكن جيم مؤخراً من إدارة وتطوير أعمال شركة “فيديليس نتورك ديفينس آند فورينسكس” بما في ذلك مختبر ديجيتال فورينسكس. كما قاد جيم فريق التحقيقات الخاص ببعض أكبر الخروقات الأمنية التي واجهتها أكبر الشبكات العالمية في قطاع تقنية المعلومات.