اختصاصی افتانا
کاهش بودجههاي امنيت فناوري اطلاعات
11 مرداد 1394 ساعت 16:25
شرکت PwC در تحقيق خود تحت عنوان «بيانيه جهاني امنيت اطلاعات» به يافتههايي درخصوص کاهش بودجه امنيت اطلاعات دست پيداکرده که ابهامات و سؤالات زيادي پيرامون آن به وجود آمده است، اما درصورتيکه فرضيات برخي کارشناسان درخصوص نتايج خاص اين بررسي حداقل اندکي درست باشد، بسياري از سازمانها بايد ساختارهاي سازماني خود را که امنيت آي تي در خلال آن جريان دارد، بهطورجدي مورد بازبيني قرار دهند.
شرکت PwC در تحقيق خود تحت عنوان «بيانيه جهاني امنيت اطلاعات» به يافتههايي درخصوص کاهش بودجه امنيت اطلاعات دست پيداکرده که ابهامات و سؤالات زيادي پيرامون آن به وجود آمده است، اما درصورتيکه فرضيات برخي کارشناسان درخصوص نتايج خاص اين بررسي حداقل اندکي درست باشد، بسياري از سازمانها بايد ساختارهاي سازماني خود را که امنيت آي تي در خلال آن جريان دارد، بهطورجدي مورد بازبيني قرار دهند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، اين بررسي که در آن 10هزار مدير اجرايي و امنيت فناوري اطلاعات شرکت داشتهاند نشان ميدهد که بودجههاي جهاني امسال براي آي تي به ميزان چهار درصد با کاهش روبهرو بوده است. اين کاهش در سال ۲۰۱۴ پس از آن روي داد که تحقيق مشابهي نشان ميداد بودجه امنيت طي سه سال گذشته افزايش يافته و حوادث امنيتي که ۴۸ درصد آنها خنثي شدهاند در سال جاري تعدادي معادل ۸/۴۲ ميليون رويداد بوده است. البته بايد گفت که اين جمله آخر چندان هم مثبت و اميدوارکننده نيست، زيرا همين آمار هم نشانگر يکصدوبيست هزار حمله طي هر روز است.
به نظر نااميدکننده ميرسد؟ بله؛ حتي کارشناسان PwC هم از اين کاهش بودجه اظهار تعجب کردهاند؛ بهخصوص اينکه مؤسسه تحقيقاتي گارتنر بنابر آخرين گزارش مجله SC Magazine انگلستان، پيشبيني ميکند که بودجه امنيتي بايد با هشت درصد افزايش به ۷۱ ميليارد دلار برسد. PwC هم هيچ پاسخ مشخصي براي اين کاهش بودجه ندارد، اما بنا بر گزارش درينک واتر، ازآنجاکه بخش زيادي از بودجههاي امنيتي و نيز مديران بخشهاي آيتي و کارکنان آنها، تحت مديريت دپارتمان آي تي و مديرعامل قرار دارد، اين ميزان کاهش در کل بودجه فناوري اطلاعات تا ميزان کمتر از ۴ درصد ثبات خود را حفظ کرد.
اما يک مشکل بغرنج ديگر وجود دارد. برخي کارشناسان به اين نکته اشاره کردهاند که يکي ديگر از دلايل کاهش بودجه امنيتي فناوري اطلاعات، تبديلشدن آن به بخشي از عملکردهاي روزانه شرکتها است و واحدهاي کسبوکار که پروژهها و عملکردهايشان نيازمند ضوابط حفاظتي هستند توجه خاصي به امنيت آي تي ندارند، اما دليل بعدي شايد به اين موضوع برميگردد که بخش زيادي از بودجه آي تي به سبب گرايش سازمانها به سمت خدمات فناوري ابري و SaaS (نرمافزار در قالب خدمات) - که صرفهجويي هزينهاي به همراه دارد - رو به کاهش گذاشته است.
حالا اين دلايل را با يافتههاي PwC در اين خصوص که هيئت مديره شرکتها در مسائل امنيت سطح بالا مشارکت چنداني ندارند و فقط در برخي موضوعات ميتوانند بهصورت سطحي اظهارنظر کنند را کنار هم قرار دهيد. در درجه اول اگر بهراستي امنيت آي تي بيش از پيش با مخارج و هزينهها دستبهگريبان شده است، بنابراين ما در مسير دشواري در حال حرکت هستيم. در درجه دوم اگر هيئت مديره شرکتها تا زماني که حادثه نشت دادهها روي ندهد اهميت چنداني براي امنيت اطلاعات و برنامهريزي ريسک قائل نيستند، بنابراين ما در مسير اشتباهي در حال حرکت هستيم.
اما مسئله بسيار مهم اين است که بدون تعهد و حمايت هيئت مديره و درک و پشتيباني پيوسته، ساختارهاي سلسله مراتبي روزبهروز از امنيت مرتبط با فناوري اطلاعات مهجورتر و بيگانهتر ميمانند. اين مسئله به هزاران دليل، بسيار بد است؛ اما در اين مورد خاص از خطر کاهش بودجه امنيت آي تي پرده بر ميدارد که اگر براي مواجهه با خطرات پيش رو، بودجههاي امنيتي افزايش نمييابند، حداقل بر جاي خود باقي بمانند. همانطور که فيل کراکنل، مدير بخش خدمات حفاظت و امنيت در شرکت مشاوره Company۸۵، ميگويد: با افزايش حملات و تهديدات، اين کاهش بودجه معنايي جز خطر براي کسبوکارها بهدنبال ندارد.
متأسفانه، برخي شرکتها به لحاظ درگيري با اين معضل صدرنشين هستند. بهطور مثال، در مطلبي از فاريست اسميت، مدير ارشد امنيت اطلاعات شرکت نيسان امريکنز، که در مجله آمريکايي SC Magazine منتشر شد، او سازمان خود را در سال آينده در حال گذر از دپارتمان سيستمهاي اطلاعاتي و ورود به خدمات شرکتي ميبيند. به گفته او اين حرکت حوزه امنيت آي تي را به سمت مديريت مهندسي و توليد بسط ميدهد و به گروه همکاران او اجازه ميدهد تا در سرتاسر سازمان و در تمام انواع ابزارهاي کاري روي تهديدات متمرکز شوند.
به عقيده برايان ديلاتر، رئيس اسميت، که خود مديريت بخش خدمات شرکتي را برعهده دارد، اين کار نهتنها حوزه عمل آي تي را گستردهتر ميسازد بلکه به اسميت و همکارانش اجازه ميدهد تا روي مشکلاتي که هميشه توسط رهبر سازمان حل نميشوند متمرکز شوند. هدف نت درواقع تقويت امنيت فناوري اطلاعات براي سازمان است. «قصد ما اين است که امروز بهتر از فردا باشيم.»
«فردايي بهتر از امروز» شايد بايد شعار هر شرکت درزمينه امنيت اطلاعات، برنامههاي مالي و ساختارهاي سازماني مرتبط با آن باشد.
مرجع: خبرنامه اختصاصی شرکت پیشرونگار هدف- شماره اول
کد مطلب: 9869