|
من المسؤول الحقيقي عن أمن التطبيقات؟
نشر بتاريخ: 26/01/2018 ( آخر تحديث: 26/01/2018 الساعة: 10:07 )
بيت لحم- معا- يعتبر الانتشار الكبير للتطبيقات المستخدمة في قطاع الأعمال اليوم جزءا أساسيا من الطرق التي نقوم من خلالها بتوليد المعلومات والوصول إليها، سواء عن طريق السحابة أو الأجهزة المحمولة أو الحواسيب.
وقد كشف تقرير خاص بقطاع أمن المعلومات صدر مؤخرًا أن أمن الشبكات يحظى بتمويل أفضل مقارنة بحجم التمويل الخاص بأمن التطبيقات، وهو ما يؤثر بشكل كبير على أداء قطاع الأعمال اليوم. وبات يُنظر في ذات الوقت إلى الجهة المسؤولة عن أمن التطبيقات بشكل مختلف، ففي استطلاع رأي أجرته مؤخراً شركة "F5" نتوركس بالتعاون مع معهد بونيميون، أشار 56% من المستطلعين إلى أن مسؤولية أمن التطبيقات تحولت اليوم من أقسام تكنولوجيا المعلومات إلى المستخدم النهائي أو حتى أصحاب التطبيقات. وبالنظر إلى النتائج التي أفضى إليها الاستطلاع، من هو إذاً المسؤول الحقيقي عن أمن التطبيقات؟ كثيراً ما يتم توزيع المسؤوليات المتعلقة بأمن التطبيقات على العديد من الأقسام في معظم الشركات، لكن في هذا التقرير أشار 21% من المستطلعين إلى أن كبير موظفي المعلومات أو رئيس قسم التكنولوجيا هم من تقع عليهم المساءلة حول أمن التطبيقات. من جهة أخرى قال 20% إنه لا تقع المسؤولية الكاملة على شخص واحد أو إدارة واحدة، وفي التقرير أيضاً أشار 20% من المستطلعين إلى أن وحدات الأعمال هي المسؤولة عن أمن التطبيقات، بينما أشار 19 في المئة آخرين إلى أن رئيس قسم تطوير التطبيقات هو المسؤول الأول عن ذلك. وقد يبدو الأمر أشبه بلعبة “تبادل التهم” حيث ترمي كل جهة بالمسؤولية على الجهة الأخرى. ومع ذلك، لاتزال العديد من الشركات تعمل على ترتيب أعمالها بما يتوافق من الانتشار الواسع والمفاجئ للعديد من التكنولوجيات الجديدة مثل “إنترنت الأشياء“. هذه التكنولوجيات التي باتت تتسلل بشكل كبير إلى كافة جوانب حياتنا المهنية والشخصية. ونتيجة لذلك، غالباً ما تكون إدارات تكنولوجيا المعلومات غير مستعدة، وغير قادرة على امتلاك الموارد اللازمة لتنفيذ استراتيجيات دفاعية كافية للتعامل مع هذا السيل من التكنولوجيات الناشئة. وسلط التقرير الضوء على نتائج بارزة أخرى أيضاً، حيث قال 50% من المستطلعين إن التطبيقات تعاني من النصيب الأكبر من الهجمات الإلكترونية، بينما ادّعى 58% أن هذه الهجمات التي تستهدف التطبيقات هي الأشد مقارنة بالهجمات الإلكترونية التي تستهدف الشبكة. ومن المثير للاهتمام معرفة أن الحوادث الأمنية الأكثر شيوعًا التي شهدتها التطبيقات غير الآمنة خلال الأشهر الـ 12 الماضية كانت عبارة عن هجمات إدخال لغة الاستعلام المُهيكلة "SQL Injections" بنسبة 29% وهجمات الحرمان من الخدمة "DDoS" بنسبة 25% بالإضافة إلى هجمات الاحتيال على شبكة الإنترنت 21%. وقال مايكل براون، مدير هندسة النُظم في F5 نتوركس" مع انتشار التطبيقات اليوم واستخدامها بشكل كبير على صعيد العمل، باتت أقسام تكنولوجيا المعلومات غير قادرة في كثير من الأحيان على مراقبة ومتابعة نشاط التطبيقات المنتشرة والمستخدمة عبر الشركات. ويمكن لهذا النقص في القدرة على مراقبة التطبيقات أن يؤدي إلى تأخر في الاستجابة للهجمات الإلكترونية حال حدوثها. وهذا ما يمكن أن يؤدي بدوره إلى مواجهة الشركات لتكاليف باهظة بسبب تأخر كبير في تقديم خدماتها، أو تركها عرضة لهجمات إلكترونية أوسع". وقد أشار 35% فقط من المستطلعين إلى أن شركاتهم تمتلك موارد كافية للكشف عن نقاط ضعف أمن التطبيقات، وقال 30% أن لديهم الموارد الكافية لمعالجة نقاط الضعف هذه. لكن بشكل عام، تعتبر قضية التمويل إحدى القضايا الرئيسية والهامة للغاية، حيث تميل الشركات عادة إلى الاستثمار بشكل أكبر في المجالات التقليدية على مستوى تكنولوجيا المعلومات بما في ذلك البنية التحتية والأجهزة والعتاد. إن تحديد استراتيجية خاصة بامتلاك أمن التطبيقات والتحكم بها من شأنه أن يساعد الشركات على تقديم تطبيقات آمنة عبر شبكة موظفيها وتوفير وصول دائم لهم لهذه التطبيقات على مدار اليوم باستخدام أي جهاز ومن أي مكان. حيث أثبتت خطط الاعتماد على شركات تصنيع المنتجات الأمنية فعاليتها في منع حالات انقطاع الخدمة المفاجئة وذلك من شأنه التخفيف من الخسائر التي تؤثر سلباً على ربحية المؤسسة. ولا يتمتع مطورو التطبيقات في كثير من الأحيان بالجاهزية اللازمة لمواجهة الهجمات الإلكترونية المفاجئة وحدهم. تلك الهجمات التي يقوم بها المخترقون حال اكتشافهم لثغرة أمنية دون انتظار ”وهو ما يسمى بهجمات يوم الصفر أو الـ zero-day attacks“. كما أن زيادة الطلب على تصاميم ومنتجات جديدة في الأسواق وتلبية احتياجات العملاء تشهد تسارعاً كبيراً سنة بعد أخرى. ويمكننا القول بشكل مختصر أن المطورين يعانون من نقص الموارد اليوم، كما أنهم في بعض الأحيان يتنازلون عن المعايير الأساسية الخاصة بأمن المعلومات. قضية أمن التطبيقات هي مسؤولية جماعية تقع على عاتق كافة الأطراف في نهاية المطاف، وأصحاب الأعمال ينبغي أن يطبقوا استراتيجية نشر ناجحة لتطبيقاتهم تشمل مسؤوليتها كل من أقسام تكنولوجيا المعلومات والمطورين ومسؤولي ممارسات التطوير والعمليات "DevOps" بالإضافة إلى كبير موظفي المعلومات ورئيس قسم التكنولوجيا الذين يحتاجون إلى توفير مزيد من الموارد الخاصة بهذا المجال الهام ضمن قطاع الأعمال. وفي الوقت الذي تسعى فيه الشركات لأن تكون أكثر مرونة فيما يخص أمن المعلومات، فإن اعتماد أفضل الممارسات ودمج الخبرات اللازمة في كافة أقسام الشركة سيساعد على تجنب المفاجآت عندما تبدأ التهديدات الأمنية الحقيقية التي تستهدف التطبيقات بالظهور. وفي المقابل، نستطيع من خلال العمل والتعاون المشترك تمكين الأقسام الرئيسية على صعيد العمل من الاستفادة من البيانات الحيوية بطرق أكثر أماناً بالإضافة إلى تحفيز الجميع في الشركة وتشجيعهم على مواجهة التهديدات والهجمات الأمنية الخبيثة. |