دبي، الإمارات العربية المتحدة، 18 ديسمبر 2016: تنفق المؤسسات بالمتوسط ما نسبته 6.5 بالمائة من إجمالي ميزانية تقنية المعلومات على أمن تقنية المعلومات وإدارة المخاطر، وفقاً لأحدث بيانات المقاييس الرئيسية لتقنية المعلومات IT Key Metrics Data الصادرة عن مؤسسة الدراسات والأبحاث العالمية جارتنر. ومع ذلك، يتراوح معدل الإنفاق على أمن تقنية المعلومات في كل مؤسسة من حوالي 1 إلى 13 بالمائة من ميزانية تقنية المعلومات، وهو حسب رأي المحللين مؤشر وهمي على نجاح البرنامج.
في هذا السياق قال روب ماكميلان، مدير الأبحاث لدى مؤسسة الدراسات والأبحاث العالمية جارتنر: "يرغب العملاء في معرفة فيما إذا كان معدل إنفاقهم على أمن المعلومات يكافئ ما ينفقه الآخرون على مستوى الصناعة، والجغرافيا، وحجم الشركة، وذلك من أجل تقييم مدى نجاح ممارساتهم في مجال الأمن والبرامج ذات الصلة".
وأضاف قائلاً: "لكن المقارنات العامة بالمتوسطات العامة للصناعة لا تخبرنا الكثير عن مستوى الأمن في المؤسسة، فقد يكون إنفاقك على نفس مستوى الإنفاق الذي يقوم به نظرائك من الشركات، إلا أنك تنفق على أمور خاطئة، وهو ما يشكل نقطة ضعف كبيرة بالنسبة لك. بالمقابل، قد يكون إنفاقك مثالي، إلا أن رغبتك في المخاطرة تختلف عن نظرائك من الشركات".
من جهةٍ أخرى، واستناداً على البيانات الصادرة عن مؤسسة جارتنر، فإن الغالبية العظمى من المؤسسات ستواصل إساءة استخدام بيانات معدل إنفاقها على أمن تقنية المعلومات كبديل لتقييم وضعها الأمني حتى العام 2020.
ودون وجود سياق لمتطلبات الشركات، وتحمل المخاطر، ومستويات الرضا، فإن مؤشر الإنفاق على أمن تقنية المعلومات كنسبة مئوية من ميزانية تقنية المعلومات لن يوفر بحد ذاته معلومات مقارنة صحيحة، والتي ينبغي استخدامها من أجل تخصيص مصادر تقنية المعلومات أو الشركة. وعلاوةً على ذلك، لا تقيس إحصاءات معدل الإنفاق على تقنية المعلومات لوحدها مدى فعالية وكفاءة تقنية المعلومات، كما أنها ليست مقياساً على مدى نجاح تقنية المعلومات في المؤسسات. كل ما تقوم به وببساطة هو تقديم وجهة نظر دليليه حول متوسط التكاليف، دون الأخذ بعين الاعتبار التعقيد أو الطلب.
تحديد الميزانية "الحقيقية" للأمن
يتم تقسيم معدل الإنفاق على الأمن بشكل عام ما بين التجهيزات، والبرمجيات، والخدمات (التعهيدات الخارجية والاستشارات)، والموظفين. ومع ذلك، فإن أي إحصاءات تصدر حول معدل الإنفاق الصريح على الأمن هي بطبيعتها "معتدلة"، لأنها تقلل من الحجم الحقيقي لاستثمارات الشركة في أمن تقنية المعلومات، لأن المزايا الأمنية متداخلة ما بين التجهيزات، أو البرمجيات، أو الأنشطة، أو المبادرات غير المخصصة للمهام الأمنية.
وترى مؤسسة جارتنر، من واقع خبرتها الكبيرة، أن العديد من المؤسسات ببساطة لا تعي حجم ميزانيتها الأمنية، ويعزى ذلك بشكل جزئي إلى وجود عدد قليل من الأنظمة المحاسبية القادرة على تفصيل تكاليف الأمن وفق بنود منفصلة، كما أن العديد من العمليات الأمنية يتم تنفيذها من قبل موظفين لا يخصصون كامل وقتهم للمسائل الأمنية، ما يجعل من المستحيل بمكان حساب كلفة عمل موظفي الأمن بدقة. وفي معظم الحالات، لا يحصل مدير أمن المعلومات CISO على رؤية دقيقة وثاقبة حول معدل الإنفاق على الأمن في جميع أنحاء المؤسسة.
بالمقابل، ولتحديد الميزانية الأمنية الحقيقية، هناك العديد من الأمور التي يجب أخذها بعين الاعتبار، مثل معدات الربط الشبكي التي تحتوي على وظائف أمنية، وحلول حماية سطح المكتب التي بالإمكان إدراجها ضمن ميزانية دعم المستخدم النهائي، والتطبيقات المؤسساتية، وخدمات الاستعانة بمصادر خارجية أو الخدمات الأمنية المدارة، والأعمال المتواصلة أو البرامج الخصوصية، وعمليات التدريب الأمنية التي قد تمول من ميزانية الموارد البشرية.
من جهتها، ترى مؤسسة جارتنر أنه يتوجب على الشركات إنفاق ما بين 4 و7 بالمائة من ميزانيات تقنية المعلومات على أمن تقنية المعلومات، وبإمكانها خفض هذا المعدل في حال كانت تملك أنظمة متقدمة، ورفع المعدل إذا كانت مصادرها مفتوحة وهي عرضة للمخاطر. وهذا يشمل الميزانية الموضوعة تحت تصرف ومسؤولية مدير أمن المعلومات CISO، وليس الميزانية "الحقيقية" أو الإجمالية.
ولإظهار مستوى الاهتمام الواجب في مجال أمن المعلومات، ينبغي على المؤسسات أولاً تقييم مخاطرها، ومعرفة الميزانية الأمنية الموكلة لمدير أمن المعلومات CISO، والميزانية "الحقيقية" للأمن، المحفوظة ضمن مجموعة معقدة من سجلات الحسابات، والتي قد لا تقوم برصد جميع عمليات الإنفاق على الأمن.
وهو ما تحدث عنه روب ماكميلان قائلاً: "من المرجح لجوء مدير أمن المعلومات CISO، الذي يملك المعرفة الشاملة بجميع الوظائف الأمنية التي تجري ضمن المؤسسة، والوظائف الأمنية الضرورية لكن غير المطبقة، وطريقة تمويل هذه الوظائف، إلى استخدام وظائف ممولة بشكل غير مباشر من أجل تعزيز مستوى الفائدة".
