جارتنر: المؤسسات تنفق 5.6 بالمائة من إجمالي ميزانية تقنية المعلومات على أمن تقنية المعلومات

تنفق المؤسسات بالمتوسط ما نسبته 6.5 بالمائة من إجمالي ميزانية تقنية المعلومات على أمن تقنية المعلومات وإدارة المخاطر، وفقاً لأحدث بيانات المقاييس الرئيسية لتقنية المعلومات IT Key Metrics Data الصادرة عن مؤسسة الدراسات والأبحاث العالمية جارتنر. ومع ذلك، يتراوح معدل الإنفاق على أمن تقنية المعلومات في كل مؤسسة من حوالي 1 إلى 13 بالمائة من ميزانية تقنية المعلومات، وهو حسب رأي المحللين مؤشر وهمي على نجاح البرنامج.

في هذا السياق قال روب ماكميلان، مدير الأبحاث لدى مؤسسة الدراسات والأبحاث العالمية جارتنر: “يرغب العملاء في معرفة فيما إذا كان معدل إنفاقهم على أمن المعلومات يكافئ ما ينفقه الآخرون على مستوى الصناعة، والجغرافيا، وحجم الشركة، وذلك من أجل تقييم مدى نجاح ممارساتهم في مجال الأمن والبرامج ذات الصلة”.

وأضاف قائلاً: “لكن المقارنات العامة بالمتوسطات العامة للصناعة لا تخبرنا الكثير عن مستوى الأمن في المؤسسة، فقد يكون إنفاقك على نفس مستوى الإنفاق الذي يقوم به نظرائك من الشركات، إلا أنك تنفق على أمور خاطئة، وهو ما يشكل نقطة ضعف كبيرة بالنسبة لك. بالمقابل، قد يكون إنفاقك مثالي، إلا أن رغبتك في المخاطرة تختلف عن نظرائك من الشركات”.

من جهةٍ أخرى، واستناداً على البيانات الصادرة عن مؤسسة جارتنر، فإن الغالبية العظمى من المؤسسات ستواصل إساءة استخدام بيانات معدل إنفاقها على أمن تقنية المعلومات كبديل لتقييم وضعها الأمني حتى العام 2020.

ودون وجود سياق لمتطلبات الشركات، وتحمل المخاطر، ومستويات الرضا، فإن مؤشر الإنفاق على أمن تقنية المعلومات كنسبة مئوية من ميزانية تقنية المعلومات لن يوفر بحد ذاته معلومات مقارنة صحيحة، والتي ينبغي استخدامها من أجل تخصيص مصادر تقنية المعلومات أو الشركة. وعلاوةً على ذلك، لا تقيس إحصاءات معدل الإنفاق على تقنية المعلومات لوحدها مدى فعالية وكفاءة تقنية المعلومات، كما أنها ليست مقياساً على مدى نجاح تقنية المعلومات في المؤسسات. كل ما تقوم به وببساطة هو تقديم وجهة نظر دليليه حول متوسط التكاليف، دون الأخذ بعين الاعتبار التعقيد أو الطلب.

تحديد الميزانية “الحقيقية” للأمن
يتم تقسيم معدل الإنفاق على الأمن بشكل عام ما بين التجهيزات، والبرمجيات، والخدمات (التعهيدات الخارجية والاستشارات)، والموظفين. ومع ذلك، فإن أي إحصاءات تصدر حول معدل الإنفاق الصريح على الأمن هي بطبيعتها “معتدلة”، لأنها تقلل من الحجم الحقيقي لاستثمارات الشركة في أمن تقنية المعلومات، لأن المزايا الأمنية متداخلة ما بين التجهيزات، أو البرمجيات، أو الأنشطة، أو المبادرات غير المخصصة للمهام الأمنية.

وترى مؤسسة جارتنر، من واقع خبرتها الكبيرة، أن العديد من المؤسسات ببساطة لا تعي حجم ميزانيتها الأمنية، ويعزى ذلك بشكل جزئي إلى وجود عدد قليل من الأنظمة المحاسبية القادرة على تفصيل تكاليف الأمن وفق بنود منفصلة، كما أن العديد من العمليات الأمنية يتم تنفيذها من قبل موظفين لا يخصصون كامل وقتهم للمسائل الأمنية، ما يجعل من المستحيل بمكان حساب كلفة عمل موظفي الأمن بدقة. وفي معظم الحالات، لا يحصل مدير أمن المعلومات CISO على رؤية دقيقة وثاقبة حول معدل الإنفاق على الأمن في جميع أنحاء المؤسسة.
بالمقابل، ولتحديد الميزانية الأمنية الحقيقية، هناك العديد من الأمور التي يجب أخذها بعين الاعتبار، مثل معدات الربط الشبكي التي تحتوي على وظائف أمنية، وحلول حماية سطح المكتب التي بالإمكان إدراجها ضمن ميزانية دعم المستخدم النهائي، والتطبيقات المؤسساتية، وخدمات الاستعانة بمصادر خارجية أو الخدمات الأمنية المدارة، والأعمال المتواصلة أو البرامج الخصوصية، وعمليات التدريب الأمنية التي قد تمول من ميزانية الموارد البشرية.

واستناداً على نتائج أبحاث مؤسسة جارتنر، قد تنفق المؤسسات الآمنة في بعض الأحيان أقل من المتوسط على الأمن، وذلك كنسبة مئوية من ميزانية تقنية المعلومات. وتنقسم المؤسسات التي تنفق النسبة الأقل، والتي تبلغ 20 بالمائة، إلى نوعين مختلفين تماماً من المؤسسات:
المؤسسات غير الآمنة التي تنفق الأقل، و
المؤسسات الآمنة التي قامت بتطبيق أفضل الممارسات لعمليات تقنية المعلومات والأمن، والتي من شأنها الحد من مستوى التعقيد الشامل للبنية التحتية لتقنية المعلومات، والعمل أيضاً على الحد من عدد الثغرات ونقاط الضعف الأمنية.

من جهتها، ترى مؤسسة جارتنر أنه يتوجب على الشركات إنفاق ما بين 4 و7 بالمائة من ميزانيات تقنية المعلومات على أمن تقنية المعلومات، وبإمكانها خفض هذا المعدل في حال كانت تملك أنظمة متقدمة، ورفع المعدل إذا كانت مصادرها مفتوحة وهي عرضة للمخاطر. وهذا يشمل الميزانية الموضوعة تحت تصرف ومسؤولية مدير أمن المعلومات CISO، وليس الميزانية “الحقيقية” أو الإجمالية.

ولإظهار مستوى الاهتمام الواجب في مجال أمن المعلومات، ينبغي على المؤسسات أولاً تقييم مخاطرها، ومعرفة الميزانية الأمنية الموكلة لمدير أمن المعلومات CISO، والميزانية “الحقيقية” للأمن، المحفوظة ضمن مجموعة معقدة من سجلات الحسابات، والتي قد لا تقوم برصد جميع عمليات الإنفاق على الأمن.

وهو ما تحدث عنه روب ماكميلان قائلاً: “من المرجح لجوء مدير أمن المعلومات CISO، الذي يملك المعرفة الشاملة بجميع الوظائف الأمنية التي تجري ضمن المؤسسة، والوظائف الأمنية الضرورية لكن غير المطبقة، وطريقة تمويل هذه الوظائف، إلى استخدام وظائف ممولة بشكل غير مباشر من أجل تعزيز مستوى الفائدة”.

بإمكان عملاء مؤسسة جارتنر قراءة المزيد من خلال التقرير: “تحديد الميزانية الحقيقية لأمن المعلومات”.
كما سيطرح خبراء ومحللو مؤسسة جارتنر المزيد من التحليلات حول توجهات أمن تقنية المعلومات خلال فعاليات قمم جارتنر للأمن وإدارة المخاطر المزمع عقدها خلال العام 2017، والتي سيجري تنظيمها في كل من ناشيونال هاربور بولاية ماريلاند، وفي طوكيو. تابعوا آخر أخبارنا وتحديثاتنا حول الفعاليات القادمة عبر صفحتنا على موقع التواصل الاجتماعي تويتر باستخدام الهاشتاغ: #GartnerSEC.