Analysts Discuss Security Trends at the Gartner Security and Risk
Management Summit, October 16 - 17, in Dubai
Dubai, United Arab Emirates,
16 October 2017 — Middle East and
North Africa (MENA) spending on information security technology and services is
on pace to reach US$1.8 billion in 2017, an increase of 11 percent over 2016,
according to Gartner, Inc.
Sam Olyaei, senior research analyst at Gartner, provided the latest outlook for the
information security industry today at the Gartner
Security and Risk Management Summit, which is taking place here
October 16- 17.
Security services will continue to be the
fastest growing segment in line with global trends, especially IT
outsourcing, consulting and implementation services. The growth for security
services will be driven by ongoing skills shortages in the information security
domain as well as increased awareness of threats.
In a region where the oil and gas industry is critical to many local
economies converging of operational technology (OT), Internet of Things (IoT), and IT is pushing
many organizations to start considering how to handle the potential new
security vulnerabilities created. This will result in additional interest to
invest in security products and services to mitigate these new risks that
traditional information security practices are not accustomed to.
Rising awareness among chief executive officers
(CEOs) and boards of directors about the business impact of security incidents,
and an evolving regulatory landscape, have led to continued spending on
security products and services not to mention increased accountability at the
board level when it comes to security implications making metrics and executive
communication a hot topic for leaders today.
"However,
improving security is not just about spending on new
technologies. As seen in the recent spate of global security incidents, doing
the basics right has never been more important. Organizations can improve their
security posture significantly just by addressing basic security and risk
related hygiene processes like patch management, regular and scalable
vulnerability scanning, centralized log management, internal network
segmentation, backups and system hardening. Do not buy a tool just because a
tool exists, invest in people and process to maintain and operate these tools," said Mr.
Olyaei.
“The region is also fixated on check box
compliance – a hallmark of immaturity when it comes to security. In essence
there is a false sense of security in the GCC,” Mr. Olyaei said. “Digital
business is transforming the region and it is all about managing risk; managing
risk is about understanding the major perils a business will face, and
prioritizing controls and investments in security to achieve business
outcomes.”
Other security trends
that Gartner is following include:
GDPR-related consulting and implementation
services are expected to drive at least 10 percent of the overall security
spend on security services through 2019.
The GDPR goes into effect in May 2018. However, Gartner expects the
implementation, assessment and audit of the business processes, technology
implementations and data protection mandates related to the GDPR to be the core
focus of spending in the security services market for organizations doing
business with or in the European Union. Gartner believes this will drive at
least 10 percent of market demand for security services through to 2019.
Organizations will need to prepare for, and augment, their security stance to
accommodate these new data protection regulatory mandates.
By 2020, security skill management
programs that include experimental recruitment and talent retention practices
will rise to 20 percent, up from less than 1% today.
Persistent shortfalls in information security talent prevent
organizations from implementing their information security programs, leaving
gaps in coverage, stalled projects and increased risk of breaches due to the
lack of information security on new business projects. New strategic
developments, such as securing IoT, applications and services for digital
businesses, will create new challenges, because the required skills simply do
not exist. To effectively address the increasing security talent shortage,
organizations need to experiment with new recruiting practices. They should
also actively manage security skill and talent retention, because talent and
skill management are competitive advantages.
By 2020, 40 percent of
all managed security service (MSS) contracts will be bundled with other
security services and broader IT outsourcing (ITO) projects, up from 20 percent today.
To deal with the complexity of designing,
building and operating a mature security program in a short space of time, many
large organizations are looking to security consulting and ITO providers that
offer customizable delivery components that are sold with the MSS. As ITO
providers and security consulting firms improve the maturity of the MSS they
offer, customers will have a much broader range of bundling and service
packaging options through which to consume MSS offerings. The large contract
sizes associated with ITO and security outsourcing deals will drive significant
growth for the MSS market through 2020.
Through 2020, public cloud IaaS workloads
will suffer at least 60 percent fewer security incidents than those in
traditional data centers.
Gartner
has concluded that the security posture of major cloud providers is as good as
or better than most enterprise data centers, and that security should no longer
be considered a primary inhibitor to the adoption of public cloud services.
However, simply moving on-premises workloads to a public cloud doesn't automatically
make these workloads more secure. New approaches are needed that exploit the
programmatic infrastructure of public cloud IaaS providers. If these
capabilities are properly leveraged, the workloads will be better protected
than those in most traditional enterprise data centers. Successful attacks
typically result from misconfiguration, mismanagement, missing patches and
mistakes; thus, the more automation is used to remove and reduce human error
(and to tackle the patching problem), the more secure services will be.
More detailed analysis is
available to Gartner clients in "Forecast: Information Security, Worldwide,
2015-2021, 2Q17 Update”,
"It's Time to Align Your Vulnerability Management
Priorities With the Biggest Threats," “Middle East Context:
'Managing Risk and Security at the Speed of Digital Business”,”Middle East Context:
'Adapt Your Traditional Staffing Practices for Cybersecurity”,
«جارتنر» تتوقع نمو الإنفاق على أمن المعلومات في الشرق الأوسط وشمال إفريقيا بنسبة 11 بالمائة ليبلغ 8.1 مليار دولار خلال العام 2017
المؤسسة تناقش أبرز التوجهات الخاصة بأمن المعلومات خلال فعاليات «قمة جارتنر للأمن وإدارة
المخاطر» التي تنظم يومي 16 و17 أكتوبر في دبي
المؤسسة تناقش أبرز التوجهات الخاصة بأمن المعلومات خلال فعاليات «قمة جارتنر للأمن وإدارة
المخاطر» التي تنظم يومي 16 و17 أكتوبر في دبي
دبي، الإمارات العربية المتحدة، 16 أكتوبر
2017: توقعت مؤسسة الدراسات والأبحاث العالمية «جارتنر» ارتفاع معدلات
الإنفاق على تقنيات وخدمات أمن المعلومات في الشرق الأوسط وشمال إفريقيا لتبلغ 1.8
مليار دولار خلال العام 2017، بزيادة قدرها 11 بالمائة عما سجله العام 2016.
وكان سام عليائي، كبير محللي الأبحاث لدى «جارتنر»، قد
استعرض اليوم أحدث التوقعات الخاصة بأمن المعلومات اليوم، خلال قمة جارتنر
للأمن وإدارة المخاطر، التي تُنَظّم فعالياتها في دبي يومي 16
و17 أكتوبر.
ويواصل قطاع الخدمات الأمنية تسجيل معدل النمو الأسرع بين القطاعات،
تماشياً مع التوجهات العالمية، لا سيما الاستعانة بمصادر خارجية في مجال تقنية
المعلومات، والاستشارات، وخدمات التنفيذ. كما أن تواصل الافتقار للمهارات في مجال
أمن المعلومات، وارتفاع مستوى الوعي حول التهديدات، ستعزز من معدلات النمو في مجال
الخدمات الأمنية.
أما على صعيد المنطقة التي يلعب فيها قطاع النفط والغاز دوراً بالغ
الأهمية والحيوية بالنسبة للعديد من اقتصاداتها، فإن تقارب التقنيات التشغيلية، وإنترنت
الأشياء، وتقنية المعلومات دفع الكثير من المؤسسات للنظر في كيفية التعامل مع
الثغرات الأمنية الجديدة المتوقع ظهورها، الأمر الذي سيؤدي إلى تركيز سياسات
الاستثمار في مجال المنتجات والخدمات الأمنية، بهدف الحد من هذه المخاطر الجديدة،
التي لم تعتد ممارسات أمن المعلومات التقليدية مواجهتها.
من جهةٍ أخرى، أدى ارتفاع مستوى الوعي بين كبار المدراء التنفيذيين،
ومجالس الإدارة حول مدى تأثُّر الأعمال بالحوادث الأمنية، وحول تطور الشؤون
التنظيمية، إلى مواصل سياسة الإنفاق على المنتجات والخدمات الأمنية، ناهيك عن
ارتفاع سقف المساءلة على مستوى مجلس الإدارة، وذلك عندما يتعلق الأمر بالانعكاسات
الأمنية، ما جعل المقاييس والإدارة التنفيذية للاتصالات موضوعاً ساخناً على طاولة
اجتماعات القادة في يومنا الراهن.
وهو ما تطرق إليه السيد سام عليائي قائلاً: "على أية حال، إن تحسن
المستوى الأمني لا يرتبط بمعدل الإنفاق على التقنيات الجديدة فحسب، بل يستند على
تطبيق الخطوات الرئيسية بشكل صحيح في هذا المجال، وأكبر دليل على ذلك الحوادث
الأمنية التي شهدناها في الآونة الأخيرة على الصعيد العالمي. ولن تستطيع المؤسسات
تحسين وضعها الأمني بدرجة كبيرة إلا عن طريق تطبيق الخطوات الأمنية الرئيسية،
ومعالجة المخاطر المرتبطة بكيفية تنفيذ الممارسات والعمليات الصحيحة، مثل إدارة
التصحيح، والفحص الدوري والقابل للتوسع بحثاً عن الثغرات الأمنية، وإدارة السجلات
المركزية، وتجزئة الشبكات الداخلية، وتطبيق نظام النسخ الاحتياطية، وتقوية أداء
النظام. ولا تندفعوا لشراء برنامج لمجرد طرحه وتوفره في الأسواق، بل عليكم الاستثمار
في الأشخاص والعمليات من أجل الحفاظ على هذه البرامج، وتشغيلها".
وأضاف قائلاً: "كما أن المنطقة لا زالت تمتثل لنظام الفحص
والاختيار، وهو مؤشر على عدم النضج على المستوى الأمني، فجوهر الأمر يشير إلى
انتشار شعور عام وزائف بالأمان في هذا المجال على مستوى دول الخليج. كما أن
الأعمال الرقمية تعمل على الارتقاء بدول المنطقة، وكل ما يدور فيها يرتبط بشكل
مباشر بإدارة المخاطر، التي تستند على جوهر معرفة وفهم المخاطر الرئيسية التي
ستواجه الأعمال، وتحديد أولويات الضوابط والاستثمارات في مجال الأمن، من أجل تحقيق
نتائج الأعمال".
ومن التوجهات الأمنية الأخرى التي استعرضتها مؤسسة جارتنر:
من المتوقع تعزيز الخدمات الاستشارية
والتنفيذية المرتبطة باللائحة العامة لحماية البيانات (GDPR) لإجمالي معدل الإنفاق على
الحلول الأمنية بما لا يقل عن 10 بالمائة، وذلك في مجال الخدمات الأمنية حتى العام
2019
ستدخل اللائحة العامة لحماية البيانات (GDPR) حيز التنفيذ بدءاً من شهر
مايو من العام 2018. ومع ذلك، تشير توقعات مؤسسة جارتنر إلى أن تنفيذ، وتقييم،
وتدقيق عمليات الشركات، والتطبيقات التقنية، وحماية البيانات الإلزامية المتعلقة باللائحة
العامة لحماية البيانات، ستكون موضع التركيز الجوهري للإنفاق في سوق الخدمات
الأمنية، وذلك بالنسبة للمؤسسات التي تربطها علاقات عمل مع الشركات العاملة في
الاتحاد الأوروبي. وترى مؤسسة جارتنر بأن هذا الأمر سيعزز من مستوى الطلب على
الخدمات الأمنية بما لا يقل عن 10 بالمائة حتى حلول العام 2019، حيث سيتوجب على
المؤسسات تحضير وتعزيز موقفها الأمني ليتماشى مع بنود هذه اللائحة العامة لحماية
البيانات.
بحلول العام 2020، سيرتفع معدل الطلب على
برامج إدارة المهارات الأمنية، التي تتضمن التوظيف التجريبي وممارسات الاحتفاظ
بالمواهب، إلى 20 بالمائة، بعد أن كانت تشكل أقل من 1 بالمائة في يومنا الراهن
الافتقار المستمر إلى المواهب الأمنية في مجال المعلومات يمنع المؤسسات
من تنفيذ برامج أمن المعلومات الخاصة بهم، ما يترك العديد من الفجوات العصية على
التغطية، والمشاريع المتوقفة، وزيادة مستوى خطر التعرض للاختراقات، وذلك بسبب
افتقار مشاريع الأعمال الجديدة لأمن المعلومات. ومن شأن التطورات الاستراتيجية
الجديدة، بما فيها حماية إنترنت الأشياء IoT والتطبيقات والخدمات الخاصة
بالشركات الرقمية، خلق الكثير من التحديات الجديدة، لأن المهارات المطلوبة
لمواجهتها غير متاحة. وللتصدي بفعالية للنقص المتنامي في مجال المواهب الأمنية،
ينبغي على المؤسسات اتباع ممارسات توظيف جديدة، كما يجب عليهم أيضاً إدارة المهارات
الأمنية والاحتفاظ بالمواهب بكفاءة أكبر، لأن إدارة المواهب والمهارات تعتبر من
المزايا التنافسية.
بحلول العام 2020، سيتم تجميع 40 بالمائة
من كافة عقود الخدمات الأمنية المدارة مع خدمات أمنية أخرى، ومشاريع أوسع في مجال تقنية
المعلومات المدارة من مصادر خارجية، بعد أن
كانت تشكل 20 بالمائة في يومنا الراهن
للتعامل مع مستوى التعقيد الكبير في مجال تصميم، وإنشاء، وتشغيل برنامج
أمني قوي وناضج خلال فترة قصيرة من الوقت، تسعى العديد من المؤسسات الكبيرة إلى
التعاقد مع الشركات الاستشارية الأمنية، وشركات توريد تقنية المعلومات المدارة من
مصادر خارجية، القادرة على توفير مكونات التسليم المخصصة، التي تباع مع الخدمات
الأمنية المدارة. وبما أن شركات توريد تقنية المعلومات المدارة من مصادر خارجية،
والشركات الاستشارية الأمنية، تعمل على تحسين مستوى عروض الخدمات الأمنية المدارة
التي تقدمها، فإن العملاء سيحظون بنطاق أوسع بكثير من خيارات الباقات وحزم
الخدمات، التي تتيح لهم إمكانية استثمار عروض الخدمات الأمنية المدارة. كما أن
العقود الكبيرة المرتبطة بتقنية المعلومات المدارة من مصادر خارجية، إلى جانب
صفقات الاستعانة بمصادر خارجية في المجال الأمني، ستؤدي إلى تحقيق نمو كبير على
مستوى سوق الخدمات الأمنية المدارة (MSS) حتى العام 2020.
بحلول العام 2020، ستشهد أحمال عمل البنية
التحتية كخدمة IaaS
في مجال السحابة العامة انخفاض معدل الحوادث الأمنية بنسبة 60 بالمائة على الأقل
مقارنةً بأحمال عمل مراكز البيانات التقليدية
أشارت نتائج تقرير مؤسسة جارتنر إلى أن الوضع الأمني لكبرى شركات توريد
الخدمات السحابية جيد جداً، أو أفضل، من معظم مراكز البيانات في المؤسسات، حيث
ينبغي ألا يعتبر الأمن بعد الآن مثبطاً أساسياً لاعتماد وتبني خدمات السحابة
العامة. ومع ذلك، فإن هجرة أحمال العمل من المؤسسات إلى السحابة العامة لا يجعلها
أكثر أماناً بشكل تلقائي. فهناك حاجة إلى تطبيق منهجيات جديدة للاستفادة من البنية
التحتية البرمجية لشركات توريد خدمات البينة التحتية كخدمة IaaS في السحابة العامة. وفي حال
تمت الاستفادة من هذه القدرات بشكل كامل وسليم، ستتم حماية أحمال العمل بدرجة أفضل
مقارنة بمستويات حماية أحمال العمل الموجودة في معظم مراكز البيانات التقليدية
بالمؤسسات. فالهجمات الناجحة عادةً ما تنجم عن سوء التهيئة أو التكوين، وسوء
الإدارة، وعد إجراء التصحيحات على النظام وتصحيح أخطائه، وبالتالي كلما تمت
الاستعانة بالأتمتة بشكل أكبر من أجل إزالة والحد من الأخطاء البشرية (ومعالجة
مشكلة التصحيح)، ارتفع مستوى أمن وحماية الخدمات.
يشار إلى أن المزيد من التفاصيل متاحة لعملاء مؤسسة جارتنر من خلال تقرير
"التوقعات: أمن المعلومات، في جميع أنحاء العالم، خلال الفترة بين العامين
2015-2021، تحديث الربع الثاني"، وتقرير "حان الوقت
لمواءمة أولويات إدارة الثغرات الأمنية مع أكبر التهديدات"، وتقرير "سياق الشرق
الأوسط: إدارة المخاطر والأمن بسرعة الأعمال الرقمية"،
وتقرير "سياق الشرق الأوسط: مواكبة ممارسات التوظيف التقليدية للأمن
الالكتروني"، وتقرير "توقعات العام 2017: أمن السحابة"،
وتقرير "توقعات العام 2017: إدارة أمن المعلومات".
قمم جارتنر للأمن وإدارة المخاطر
سيقدم محللو وخبراء مؤسسة جارتنر تحليلاً مفصلاً حول أبرز توجهات أمن
تقنية المعلومات خلال فعاليات قمة جارتنر للأمن وإدارة المخاطر 2017، المزمع عقدها
في دبي. يرجى متابعة الأخبار والتحديثات حول هذه
الأحداث عبر موقع تويتر على الوسم #GartnerSEC.