تقرير التهديدات السحابية لعام 2020: السحابة العامة تتحوّل سريعًا إلى أداة تمكينية للشركات، رغم وجود فجوات أمنية كبيرة في معظمها

تُظهر دراسة أجريت مؤخرًا على 750 شركة رائدة في الأمن الإلكتروني وتقنية المعلومات حول العالم، مزايا البنية التحتية السحابية وما تعِد به من فرص لتعزيز الابتكار وخفض التكاليف وتحسين الأمن الإلكتروني. غير أن التقرير السنوي الثالث بشأن التهديدات السحابية الصادر عن أوراكل وكي بي إم جي لعام 2020 يشير إلى وجود فجوات أمنية أساسية لدى معظم الشركات بسبب نقص الكفاءات، وطرق التفكير غير العصرية، والهندسة المفرطة للأدوات الأمنية، وعدم وضوح هوية الجهة المسؤولة عن عناصر معينة في المنصة السحابية.

الخطر الإلكتروني على المنشآت: هل تزداد حدّته أم تتضاءل في ظل الهندسة السحابية؟

يشعر الكثير من فرق العمل في الشركات بتزايد الضغوط جرّاء الحاجة إلى التكيّف والابتكار في المنظومة التجارية الجديدة التي فرضها فيروس كورونا المستجد. وبموازاة ذلك، توفر البنية التحتية السحابية القابلة للتوسعة والمنصات الرقمية القائمة على السحابة خيارًا جاذبًا لتلبية احتياجات العملاء المحددة وتقليص النفقات العامة في آن.  ويستخدم 90% من الشركات اليوم البرمجية كخدمة (SaaS)، و76% منها تستخدم البنية التحتية كخدمة (IaaS)، في حين يتوقع 50% من الشركات نقل بياناتها إلى السحابة خلال سنتين. 

وفي هذا السياق، يلفت لوغان سمبسون، رئيس قسم خدمات الأمن الإلكتروني في كي بي إم جي فخرو إلى "وجود قطيعة بين وحدات الأعمال، والامتثال، وتقنية المعلومات، والأمن الإلكتروني، وإدارة المخاطر. وهذه الفجوة في التواصل وتنسيق الإجراءات وتبادل الثقة بين الفرق تؤدي في الأغلب إلى نتائج معاكسة أو إلى تطوير حلول سحابية تعرّض المنشأة لمستويات كبيرة من المخاطر الإلكترونية بدلًا من أن تستفيد من الخصائص الأمنية المحسّنة في الهندسة السحابية."

الأمن وسط الظلام: كم منتجًا أمنيًا نحتاج لإيقاف قرصان؟

تظهر الدراسة أن اختصاصيي تقنية المعلومات يستخدمون مجموعة أشبه بفسيفساء من منتجات الأمن الإلكتروني المختلفة، حيث يستخدم 78% من المؤسسات أكثر من 50 منتجًا مختلفًا للأمن الإلكتروني، ويستخدم 37% أكثر من 100 منتج. غير أن منتجات الأمن السحابي تتطلّب تكاليف إضافية لتوريدها وتنفيذها وصيانتها بشكل منفصل عن منتجات الأمن الموجودة في الموقع، وهذه التكاليف الإضافية لا تكون في العادة محتسبة ضمن الكلفة الإجمالية لامتلاك هذه المنتجات عند اتخاذ قرار بالانتقال إلى السحابة.

انتقال المسؤولية: ارتباك أكبر يعني خروقات أمنية أكثر 

أدى الاستهلاك المتزايد للمنتجات السحابية إلى نشوء مناطق رمادية جديدة، إذ تحاول فرق تقنية المعلومات ومزوّدو الخدمات السحابية فهم مسؤولياتهم الفردية في منظومة أمن البيانات. وقد طال هذا الارتباك فرق أمن تقنية المعلومات وجعلها تتخبّط في مواجهة مشهد التهديدات المتنامية.

• تخلق نماذج المسؤولية الأمنية المشتركة نوعًا من الارتباك، فيشير 8% فقط من المسؤولين التنفيذيين في مجال أمن تقنية المعلومات إلى أنهم يفهمون تمامًا نموذج المسؤولية الأمنية المشتركة. 

• 92% من الشركات أقرّت بوجود فجوات ما بين استخدامها للسحابة ونضوج برنامج الأمن السحابي الخاص بها.

• 75% من اختصاصيي تقنية المعلومات واجهوا أكثر من مرة حالة فقدان بيانات من خدمة سحابية. 

ومن بين أبرز المخاوف المتعلقة بالأمن السحابي التي استعرضها التقرير نذكر سوء تكوين المجموعات الأمنية، والخوادم المواجهة للبيئة الخارجية، وعمليات المصادقة والتصريح للحسابات ذات الوصول المتميز.

استحداث دور مدير أمن معلومات الأعمال: الأتمتة الذكية لإدماج الأمن في التطوير والتشغيل... هل هذا هو الحلّ؟ 

أشار عدد من الشركات إلى أنها اعتمدت بنجاح مقاربة "التقييم المبكر" للتنسيق ما بين الفرق الداخلية والمورّدين بهدف بناء منصات جديدة لعملها تكون قائمة على مبادئ وإجراءات أمنية متينة. ويلتفت الكثير من الشركات أيضًا إلى تقنية تعلّم الآلة لأتمتة المهام التشغيلية المتزايدة في مجال الأمن الأساسي والمطلوبة للإحاطة بالتهديدات الإلكترونية المتغيّرة.

• 73% من المؤسسات وظّفت أو تعتزم توظيف مدير تنفيذي لأمن المعلومات يتمتع بمهارات أكثر في مجال الأمن السحابي؛ أكثر من نصف المؤسسات (53%) أضافت دورًا جديدًا بالكامل تحت مسمّى مدير أمن معلومات الأعمال، ومهمّته التعاون مع المدير التنفيذي لأمن المعلومات والمساعدة في إرساء ثقافة أمنية في الشركة.

• 87% من اختصاصيي تقنية المعلومات يعتبرون قدرات الذكاء الاصطناعي/تعلم الآلة على أنها "متطلبات إلزامية" في عمليات تداول الأوراق المالية الجديدة لتأمين حماية أفضل من الاحتيال والبرامج الخبيثة وأخطاء التكوين.

وإن الانتقال الناجح إلى نهج الأمن في التطوير والتشغيل يساعد في بناء الثقة واعتماد الهندسات الأمنية المطلوبة في مرحلة مبكرة من المشاريع السحابية.  وتكشف قصص النجاح عن أن الخصائص الأمنية في السابق كانت تُضاف هندسيًا إلى الحلول السحابية في مرحلة لاحقة من المشروع قُبيل مهمة تدقيق على الامتثال أو حالة خرق بيانات حتمية. غير أن اعتماد قنوات التواصل المفتوحة والذهنية الأمنية القائمة على التخفيف من المخاطر في مرحلة مبكرة من اعتماد الحلول السحابية وتطبيق مبادرات الانتقال إليها يؤدي في الأغلب إلى تطبيق ميسّر وبكلفة أقل، ويختصر الوقت فيتيح لفرق العمل مجالًا أكبر للتركيز على العملاء.

ويشير ماناف براكاش، الشريك في قسم الاستشارات، إلى ضرورة اعتماد نهج منسّق لإدارة الأمن السحابي. وتستنتج الدراسة الاستطلاعية أن الانتقال إلى السحابة بهذه الوتيرة السريعة سيُجبر فرق الأمن على تطوير مهاراتها/ اكتساب مهارات جديدة والمشاركة مبكرًا في المناقشات حول التعهيد إلى مورّدي الخدمات السحابية الخارجيين لفهم نموذج المسؤولية المشتركة بكل جوانبه والتمكّن من تحديد المخاطر والأهم إدارتها بشكل مستمر.