يبدأ الأمر بالنوايا الطيبة. لكن الشيطان -الإرهاق في حالتنا- يكمن في التفاصيل. لدى المؤسسة أداة لوقف التصيد الاحتيالي، وأخرى لمراقبة نقاط النهاية، و غيرها لمراقبة أحمال العمل السحابية. ومع مرور الوقت، و تداخل و تعدد الأدوات الأمنية، يبدأ إرهاق قادة أمن المعلومات. يعود ذلك لمسؤوليتهم عن العديد من المنتجات وإدارة الضغوط التي تعاني منها فرقهم. لكل أداة مؤشرات وتنبيهات خاصة بها، بالإضافة إلى صعوبات في تجديد رخصها أو اشتراكاتها. لدى Mirko Zorz أفكاراً هامة عن هذا الموضوع يشاركها معكم روبودين.
فوضى الأدوات – إرهاق قادة أمن المعلومات
يواجه قادة أمن المعلومات في كل مكان إرهاقاً ينتج عن تنوع وتداخل الأدوات. وسطياً تستخدم المؤسسات أكثر من 11 أداة لإدارة نقاط النهاية والأمان، مما يؤدي إلى تحديات تشغيلية مثل وإرهاق التنبيهات. بشكل عام، غالباً ما يُنظر إلى شراء أدوات جديدة على أنه تقدم. كل أداة تعد بكشف أفضل، واستجابة أسرع، أو تحكم أكثر دقة. لكن كل إضافة تُنشئ مستويات جديدة من التكامل والتدريب والإدارة. ويؤدي ذلك إلى ثلاث مشاكل شائعة:
- طوفان التنبيهات: لا يستطيع محللو الأمن مواكبة التنبيهات من منصات متداخلة. تتجاهل بعض الفرق التنبيهات، وغالباً ما تفوتها التهديدات الحقيقية وسط سيل المعلومات المزعج.
- تكرار الأدوات: تقدم العديد من الأدوات وظائف متشابهة. قد تغطي إحدى أدوات نقطة النهاية فحص الثغرات الأمنية، ولكن منصة أمان السحابة الخاصة بك تفعل ذلك أيضاً. التكرار يُهدر الوقت والمال.
- إجهاد المواهب: يتطلب كل منتج جديد خبرة. تقضي الفرق ساعات في تعلم واجهات مستخدم جديدة، وإدارة التراخيص، أو جعل الأدوات تتواصل مع بعضها البعض. هذا الوقت هو بمثابة -وقت ضائع- لا يستثمر لتقليل المخاطر الحقيقية.
إن اعتماد المزيد من أدوات الأمان لا يعني بالضرورة أمناً سيبرانياً أفضل أو مستوى أقل من إرهاق قادة أمن المعلومات. في الواقع، فإن هذه الأدوات تبلغ فقط عما تراه – لكنها لا تعرف ما يغيب عنها. وبالتالي، فإن هذا التشتت في الرؤية قد يضلل قادة الأمن فيدفهم إلى اتخاذ قرارات بالغة الأهمية بناءاً على معلومات مجتزأة. على سبيل المثال، دون نظام تسجيل شامل وموثق لجميع الأصول وضوابط الأمان، تعمل العديد من المؤسسات في ظل ما يُطلق عليه “وهم الرؤية”.
وكذلك، فإن مسؤولي أمن المعلومات يعجزون عن تقييم فجوات التغطية أو إثبات الامتثال لمتطلبات اللوائح التنظيمية . وهذه النقاط العمياء ليست مجرد نظريات. فكل أصل مُهمَل أو عنصر تحكم مُهيئ بشكل خاطئ يُصبح باباً مفتوحاً للمهاجمين. ومن هنا أتت فكرة أن كل من فجوات التغطية تلك تُمثل خطراً، ويسهل على المهاجمين اكتشافها واستغلالها بشكل متزايد.
كما أن غياب الرؤية الواضحة يُعكّر صفو المساءلة لأنه يُنشئ زوايا مظلمة تُغفل، مما يُصعّب تحديد المسؤولية عن إصلاح المشكلات. حتى عند معرفة الفجوات، غالباً ما يبدأ إرهاق قادة أمن المعلومات عندما تجد فرق الأمن نفسها غارقة في بيانات من أدوات كثيرة وتعمل لفصل الحقائق عن الوهم. مع تضارب البيانات وعدم وجود سياق حيوي لفهم مدى خطورتها، قد تُصاب فرق الأمن بالشلل.
أحد الحلول يكمن في إرساء رؤية موحدة وموثوقة لمشهد الأمن تسمح للمؤسسات بالقياس والمقارنة والعمل بثقة عبر إنشاء مصدر واحد للحقيقة. لنتذكر، لا يؤثر إرهاق قادة أمن المعلومات على العمليات فحسب، بل يؤثر أيضاً على الروح المعنوية، حيث يتناسب الإرهاق طرداً مع تزايد حجم التهديدات المكتشفة من عدد متزايد من الأدوات على عدد متزايد من الأصول.
إرهاق قادة أمن المعلومات – هل الدمج هو الحل؟
مع تقلص الميزانيات ووصول الفرق إلى أقصى طاقتها، يُعيد كبار مسؤولي أمن المعلومات النظر في احتياجاتهم وما لا يحتاجونه. ويكتسب دمج الأدوات زخماً متزايداً لأنه يقلل التعقيد وينشر منتجات الأمن على عدد أقل من المنصات. لكن الدمج لا يعني تسليم كل شيء إلى مورد واحد. بل يعني اختيار أدوات تتكامل جيداً، وتتوافق مع قدرات فريقك.ولذلك فإن دمج الأدوات وتحسينها أضحى أولوية قصوى لدى قادة أمن المعلومات لمعالجة نقاط الضعف. من الناحية العملية، فإنّ توحيد عدد الموردين يُقلّل من تكاليف الموارد والتكاليف غير المباشرة المرتبطة بتقييم مخاطر الموردين كما يساهم في انخفاض تكاليف الترخيص أو الاشتراك، و توحيد الأدوات التي تستخدمها فرق تكنولوجيا المعلومات والأمن.
لمواجهة إرهاق قادة أمن المعلومات فالمطلوب تبسيط وتوحيد أدوات الأمن في بيئة تتزايد فيها التهديدات السيبرانية باستمرار ويتوسّع نطاق الأدوات اللازمة لتأمين البيئات، وتقليل المخاطر، وحماية هويات المستخدمين. وهناك العديد من المجالات التي تمّ فيها بالفعل توحيد ناجح،
ومن الأمثلة الهامة على هذا النجاح، حلول حماية نقاط النهاية والكشف عن نقاط النهاية والاستجابة لها كأمثلة رئيسة تمّ دمجها في منصات موحدة ذات وكيل (Agent) واحد. كما يمكن اعتبار منصات إدارة المخاطر كمؤشر على التطور القادم في في مجال دمج الأمن، حيث تمثل منصات إدارة التعرض للثغرات الأمنية التطور التالي في سوق إدارة الثغرات الأمنية، إذ تساعد فرق الأمن على دمج أدواتها لمعالجة الثغرات الأمنية بفعالية أكبر من الحلول .إن هذه الأمثلة، تساعد عمليات الدمج المؤسسات على تقليل نشر الأدوات، والقضاء على صوامع البيانات (data silos) ، وتحقيق تخفيضات كبيرة في تكاليف التشغيل والترخيص.
من أين نبدأ؟
عندما يرغب مسؤولو أمن المعلومات في الحد من توسع الأدوات، عليهم البدء بالتركيز على التكامل والتوحيد، بدلاً من إضافة المزيد من الأدوات. تتمثل الخطوة الأولى في تقييم حزمة أدوات الأمن الحالية وتحديد الأدوات الزائدة أو غير الفعالة. بدلاً من توسيع مجموعة الأدوات، ينبغي على مسؤولي أمن المعلومات إعطاء الأولوية لضمان عمل الأدوات الحالية بسلاسة، مما يُنشئ نظاماً بيئياً أمنياً موحداً.
يُمكن أن يُحدث ربط شبكة بيانات أمنية نقلة نوعية، إذ يربط بين الأدوات ومصادر البيانات المختلفة، مما يُتيح تنسيقاً أفضل وسياقاً أفضل للتنبيهات. لا يُقلل هذا النهج من ضغط التنبيهات فحسب، بل يُحسّن أيضاً مستوى اكتشاف التهديدات والاستجابة لها من خلال ربط البيانات عبر الأنظمة، مما يُعزز الكفاءة دون الحاجة إلى أدوات إضافية. من خلال دمج الحلول الحالية وتوحيدها، يُمكن لمسؤولي أمن المعلومات تبسيط العمليات، وتقليل التعقيد، وإنشاء نظام دفاعي متناغم و أكثر مرونة.
إذا كنت تسعى للحد من توسع الأدوات في مؤسستك، فابدأ بإطار عمل بسيط:
- جرد البيانات. اذكر جميع الأدوات المستخدمة. حدد التداخلات والمنتجات المهملة. تجد العديد من المؤسسات أنها تدفع ثمن أدوات لا تستخدمها أصلاًَ.
- قِس الاستخدام الفعلي. تحدث مع فريقك. ما الأدوات التي يثقون بها؟ وما الأدوات التي يتجاهلونها؟ غالباً ما تكشف بيانات الاستخدام عن مواطن الهدر.
- أعطِ الأولوية للتكامل. ابحث عن منصات تجمع البيانات من الآخرين، أو تُمركز التنبيهات، أو تدعم سير العمل المشترك. واجهات برمجة التطبيقات (APIs) هي الحل المفضل.
- لا تسعى وراء آخر الميزات. اختر الأدوات التي تُعالج أكبر مخاطرك – وليس تلك التي تحتوي على أطول قائمة ميزات. تجنب شراء أدوات “للاحتياط”.
- استثمر في التدريب، وليس فقط في التكنولوجيا. أحياناً تأتي النتائج الأفضل من مساعدة فريقك على استخدام منصة واحدة بشكل أكثر فعالية، بدلاً من إضافة منصة أخرى.
نظرة أشمل للأمن السيبراني
مع تزايد الضغوط على ميزانيات الأمن السيبراني، ستُخضع تكلفة الأدوات غير المستخدمة لمزيد من التدقيق من قِبل مجالس الإدارة والمديرين الماليين. سيكون مديرو أمن المعلومات الذين يستطيعون إثبات خفضهم للإنفاق مع تحسين الوضوح والسرعة في وضع أفضل لإثبات ما يحتاجونه بالفعل. عند بناء برنامج أمني قوي، تُعدّ الرؤية (visibility ) الركيزة الأهم في تقليل إرهاق قادة أمن المعلومات.فلا سبيل لاتخاذ أي إجراء لإصلاح ثغرة أمنية، أو إيقاف حادثة أمنية، أو توفير الأدلة الجنائية دون الرؤية. على العكس من ذلك، بمجرد أن تصل الرؤية إلى مستوى كاف، يُمكن إعطاء الأولوية لتخصصات أخرى مثل الأتمتة ومنع فقدان البيانات -مثلاً-.
من المهم النظر إلى النظام البيئي بأكمله، والتأكد من أن كل أداة ووظيفة تُساهم في رؤية موحدة. هل يعمل كل حل بمعزل عن غيره، أم أنه يندمج مع البنية التحتية الأوسع للأمن السيبراني؟ ويجب أن تسمح جميع الأحداث والسجلات، وما إلى ذلك، بالتكامل مع نظام إدارة معلومات الأحداث (SIEM) الخاص بالشركة . حتى أبسط الأمور، كالوصول عن بُعد، يجب أن يسمح بتسجيل مُفصّل لضمان اتساق جميع عمليات الوصول.
وهنا يُصبح دمج الموردين استراتيجية فعّالة. لأن استخدام أدوات مُتداخلة قد يُؤدي إلى نتائج عكسية. فلا ينبغي استخدام حلول مُكررة لـ EDR، وجدران الحماية، وأنظمة كشف التسلل، وما إلى ذلك، إلا عند الضرورة القصوى مما يعزز الاتساق ويخفف إرهاق قادة أمن المعلومات . كما يجب أن تشمل الرؤية كل طبقة وكل مسار عمل بحيث يكون أمن المعلومات أولوية. ويشمل ذلك كل شيء من السحابة إلى الموظفين عن بُعد، مما يضمن تخطيط جميع الطبقات المهمة وجود الأدوات في كل طبقة . مع وجود أساس صحيح للرؤية، يُمكن لفرق الأمن التحرك بشكل أسرع، والاستجابة بشكل أذكى، وبناء دفاعات أكثر تماسكاً.
في كثير من الأحيان، يقيس مسؤولو أمن المعلومات النضج بعدد الأدوات التي اشتروها. لكن النضج الحقيقي يكمن في القدرة على الاستجابة السريعة، والتواصل بوضوح، والتعافي من الحوادث دون فوضى. ويتطلب ذلك إجراءات دقيقة، وموظفين مدربين تدريباً جيداً، وأدوات مترابطة، مع التركيز على أهمية الموازنة بين التخطيط الاستراتيجي طويل المدى والاستجابة الفورية للتهديدات.
كلمة أخيرة
لم يحدث تداخل وتعقيد الأدوات الأمنية بين عشية وضحاها، ولذلك، لن يُعالج إرهاق قادة أمن المعلومات في لمح البصر. لكن الهدف واضح: فرق الأمن تريد أدواتٍ تُدمج وتُبسط وتدعم مهمتهم، لا أن تُشتت الانتباه عنها. بالنسبة لمديري أمن المعلومات، فإن تقليل الأدوات ليس مجرد عملية تنظيف ، بل هو خطوة استراتيجية. من خلال دمج الجوانب المنطقية والتخلص من الجوانب غير المُجدية، يمكن لقادة الأمن جعل فرقهم أسرع وأكثر كفاءة.
