تفتقد الشركات اليوم للعديد من الأمور الهامة المتعلقة بأمن المعلومات على الرغم من الإستثمارات الكبير تجاه التكنولوجيا بهدف ضمان أفضل أداء للأعمال. ومع ذلك، تتوجه هذه الاستثمارات التكنولوجية نحو الاهتمام بالتطوير والسرعة في خدمة العملاء أكثر من الإهتمام بحماية البيانات نفسها.
ولقد قال راجات موهانتي، المؤسس المشارك، رئيس مجلس الإدارة والرئيس التنفيذي لشركة «بالاديون» “إن فرق الأمن والامتثال بالشركات يسعون بطلب تخصيص ميزانيات مالية من المدراء الماليين من أجل تعزيز برامج الأمن والامتثال. ورغم ذلك، ونظرًا لطبيعة عمل الإدارات المالية في البُعد عن المخاطرة المتعلقة بإدارتهم و أعمالهم، فيتم التركيز على الأمور الخاصة بالأعمال الأساسية. وفي ضوء ذلك، فإن الخطوات التي يجب أن تؤخذ تجاه إدارة مخاطر أمن المعلومات ستكون للمدراء الماليين، ومن ضمنها جلب الأفكار المبتكرة لمساعدة الشركات في الإبقاء على المنافسة”.
ووفقًا للأبحاث التي قامت بها مؤسسة “جارتنر”، فإن حجم الإنفاق على تكنولوجيا أمن المعلومات في الشرق الأوسط و إفريقيا قد بلغ 1.1 مليار دولار أمريكي في العام 2015، بزيادة قدرها 3.3% عن العام 2014. كذلك شهد حجم الإنفاق على الأمن بشكل عام زيادة في المنطقة حيث قدرت نسبة الزيادة بحوالي 15% في 2015.
و صرح المحللون في “جارتنر” بأن الشركات في منطقة الشرق الأوسط أصبحوا يدركون الآن أن مجرد إعتماد إستراتيجيات وقائية اعتيادية ليست كافية، وأنها بدأت في التركيز على نهج الكشف والاستجابة من أجل تحسين الوضع الأمني لمؤسساتهم.
و أضاف موهانتي: “إن المدراء الماليين و المدراء التنفيذيين في تلك الشركات عليهم تحديد وحصر جميع الأصول التي تحتوي أو تشمل المعلومات الهامة التي يحاولون حمايتها. ويمكن أن تكون أي شىء من التعريف المعلومات الشخصي(PII)، المعلومات الصحية المحمية (PHI)، معلومات بطاقات الدفع (PCI)، أو أي من المعلومات الحساسة أو المعلومات السرية الأخرى الهامة للأعمال. هذه الأصول من المعلومات لا تشمل فقط تطبيقات ولكن أيضا الوسائل الأخرى التي تحتوي على تلك التطبيقات، مثل الخوادم والأشرطة الإحتياطية، أجهزة الكمبيوتر المحمولة وأجهزة الكمبيوتر المكتبي وأقراص الإبهام”.
وهكذا، فإن تحديد نقاط الضعف لتلك الأصول هو الخطوة التالية المهمة .والعمل على إتخاذ قرارات مستنيرة بشأن معالجة الخطر ينطوي على عزل كل مزيج من تلك الأصول والتهديدات لتلك الأصول ونقاط الضعف التي يمكن إستغلالها. إن غياب هذه الجوانب الثلاثة يشير إلى أن هناك خطر محتمل بتعلق بمعلومات الشركة الحساسة.
وبصرف النظر عن تحديد إحتماليات التهديدات وإستغلال نقاط الضعف، فالشركات تحتاج أيضا لعمل قائمة بالمخاطر، مع خطر ترتيب “صدامات المخاطر” الكبيرة لتكون في المرتبة العليا نزولا لصدامات المخاطر الأقل وباقي التهديدات و أنواعها يمكن تحديد تصنيفها فيما بينهم.و بمجرد صدور تلك القائمة يجب على المدراء الماليين و التنفيذين و سائر الإدارات الإجتماع لحزم و بناء الحلول الضرورية و تحديد التكلفة المالية المطلوبة لتفعيل الحماية القصوى من تلك المخاطر.
واختتم “موهانتي” تصريحاته قائلًًا :”إن التقييم المستمر وإعادة عمليات التقييم للمخاطر التي تواجهها الشركة أمر جيد. وأيضا “الوقت والجهد والإلتزام” تُعد من بعض الشروط المسبقة الهامة و الضرورية لمثل هذه التقييمات، و علينا أن نتفق بأن اليقظة المستمرة تجني دوما نجاحات خاصة. وبصرف النظر عن تخفيف التكاليف التجارية الضخمة، فإن توفير الحماية المطلوبة يحفظ الشركة من الأضرار التي قد تصيب سمعتها بسبب خرق بيناتها”.
