_Jennifer_Miranda_Lobijin_Alamy.jpg?width=1280&auto=webp&quality=80&disable=upscale)
الأمن السيبراني
#الأمن_السيبراني
#ميزانية_الأمن
تأمين الميزانية: إثبات عائد الأمن السيبراني
في العام الماضي، زادت الانتهاكات الناتجة عن استغلال الثغرات بنسبة 180%، بينما تجاوز متوسط تكلفة خرق البيانات في الولايات المتحدة 5 ملايين دولار. ومع ذلك، لا تزال المؤسسات بطيئة في زيادة ميزانيات الأمن السيبراني، حيث يعتمد العديد منها على ممارسة خطيرة تتمثل في تمويل الاستثمارات الأمنية اللازمة فقط لإثبات الامتثال. نعلم جميعًا في مجال الأمن السيبراني أن الوقاية خير من العلاج، فلماذا يبقى من الصعب على قادة الأمن تبرير ميزانيات أكبر؟
تتمثل المشكلة في كيفية دفاع قادة الأمن السيبراني عن إنفاقهم؛ فالمقاييس التقليدية للعائد على الاستثمار (ROI) لا تكفي. ذلك لأن هذه المقاييس لا تأخذ في الاعتبار العوامل الكثيرة التي تساهم في قيمة الاستثمار الاستباقي في الأمن السيبراني، وبالتالي تعاني من صعوبة في إثبات قيمتها الكاملة من الناحية المالية.
لماذا لا تكفي ROI في مجال الأمن السيبراني
تظل ROI المعيار الذهبي في معظم أجزاء الأعمال الأخرى لتبرير الإنفاق وقياس كفاءة الاستثمار، لكن تطبيقها على الأمن السيبراني يمثل تحديات مميزة. على عكس المجالات الأخرى، مثل المنتجات والمبيعات، التي يمكن أن تُعزى مباشرة إلى توليد الإيرادات، فإن قياس الجهود الاستباقية في الأمن السيبراني يتطلب تعيين قيمة بناءً على تكلفة الوقاية، وليس الإيرادات. عائدك لم يعد ربحًا، بل دولارات تم توفيرها من خلال منع خرق محتمل، أو ضرر سمعة، أو فترة توقف، أو تأثير على الإيرادات لاحقًا. تجنب هذه المشكلات له تأثير مالي حقيقي، لكنه تأثير غير مباشر، وتوفير تكاليف افتراضية.
تشمل التأثيرات المعقدة لخرق البيانات الكثير من العوامل، بما في ذلك التكاليف المباشرة وغير المباشرة التي يجب أخذها في الاعتبار لقياس تأثير الأمن السيبراني بدقة. تفشل ROI في التقاط أي من هذه التكاليف. في الواقع، كشفت تقارير حديثة أن العديد من قادة الأمن يدركون بالفعل أوجه قصور ROI:
-
77% يعتقدون أن ROI تغفل عن استجابة الحوادث والاستقرار على المدى الطويل
-
66% أكدوا عدم قدرة ROI على احتساب التكاليف غير المباشرة والمبالغة في تقدير التكاليف المباشرة
-
أكثر من نصفهم يعتقدون أن ROI تفشل في النظر في جميع العوامل التي تساهم في قيمة الأمن السيبراني
ومن الصحيح أن تكلفة خرق البيانات تكاد تكون مستحيلة القياس بشكل صحيح باستخدام ROI. على سبيل المثال، تم تقدير تكلفة خرق بيانات Equifax، الذي أثر على أكثر من 147 مليون شخص، بأكثر من 1.4 مليار دولار، بما في ذلك تسوية بملايين الدولارات مع لجنة التجارة الفيدرالية الأمريكية، ومكتب حماية المستهلك المالي، ومدعي عام الولاية، وتكاليف التشغيل، وتكاليف توظيف بدلاء للمديرين التنفيذيين، والمزيد.
ومع ذلك، ما لم يتم تضمينه في التكلفة التي تزيد عن مليار دولار هو الضرر الذي لحق بالسمعة نتيجة لهذا الخرق. انخفضت أسهم الشركة بنسبة 35% خلال أسبوعين ولم تتعافَ لمدة عامين. كما طُلب من المؤسسة تقديم ستة تقارير ائتمانية إضافية سنويًا للمستهلكين الأمريكيين من يناير 2020 حتى عام 2027.
فكيف يمكن لمؤسسة أن تحسب شيئًا غير ملموس، مثل المليارات من التكاليف غير المباشرة التي تكبدتها Equifax بسبب الضرر الذي لحق بالسمعة والمتطلبات التنظيمية الجديدة؟ يجب على المؤسسات إعادة صياغة إنفاق الأمن السيبراني كعائد على التخفيف من هذه المشكلات، وليس فقط عائدًا على استثمارهم الأمني الأولي.
تقديم عائد التخفيف، طريقة جديدة لإثبات القيمة
يرتقي عائد التخفيف (RoM) بـ ROI من خلال استخدام "الخسائر المخففة" كفائدة للاستثمار بدلاً من الربح الصافي. يمكن لقادة الأمن تقدير RoM من خلال أخذ إجمالي تكلفة الخسائر المخففة مطروحًا منها تكلفة الاستثمار ثم تقسيمها على تكلفة الاستثمار نفسها. بهذه الطريقة، يحصل قادة الأمن على رؤية أكثر شمولية للتأثير المالي لمبادرات الأمن السيبراني ويمكنهم التواصل بفعالية حول كيفية توافق الجهود مع الأهداف التنظيمية الرئيسية الأخرى. كما يساعد RoM قادة الأمن في:
-
تبسيط قيمة الأمن السيبراني إلى مصطلحات مالية وإظهار تقليل المخاطر القابل للقياس
-
دعم تبريرات الميزانية وتحديد أولويات أفضل للمبادرات الأمنية ذات التأثير
-
التواصل بوضوح حول تأثير الأمن لمجلس الإدارة وأصحاب المصلحة الآخرين غير المعنيين بالأمن
RoM يقدم فوائد على مستوى الصناعة
على مستوى المؤسسة، يقوم RoM بتحديد فوائد الأمن السيبراني الاستباقي الأكثر تجريدًا، مثل ثقة العملاء، والسمعة، والاستقرار. بينما يقوم قادة الأمن بتقييم الأدوات الأمنية في مجموعتهم باستمرار والدفاع عن المزيد من الإنفاق على أدوات الأمن السيبراني لمواكبة التهديدات، يمكنهم الآن القيام بذلك بدقة أكبر وباللغة التي يفهمها القادة الماليون: المال.
على مستوى الصناعة، سيساعد اعتماد RoM أيضًا المؤسسات على توحيد قياس القيمة ومساعدتها في جني أكبر الفوائد. يمكن أن يساعد إطار عمل موحد لقياس القيمة المؤسسات على مقارنة أدائها ضمن صناعتها ومساعدتها في تحديد الأماكن التي تتأخر فيها في نضوج الأمن مقارنة بنظرائها، مما يرفع في النهاية مستوى النضوج العام في المشهد الأوسع.
تعزيز الاستثمارات ومواءمة أصحاب المصلحة
مع استمرار ارتفاع حوادث الأمن السيبراني، يحتاج قادة الأمن إلى وسيلة دفاعية للتواصل حول قيمة تقليل المخاطر الاستباقية. تفشل ROI التقليدية في التقاط الخسائر التي تم تجنبها، مما يجعل من الصعب الدفاع عن الاستثمار الكافي والتخطيط على المدى الطويل.
يقدم RoM مسارًا أوضح. من خلال ربط استثمارات الأمن بالنتائج القابلة للقياس — مثل تقليل احتمالية الاختراق والأثر المالي — يمكن لرؤساء أمن المعلومات (CISOs) توحيد أصحاب المصلحة الداخليين وتبرير الإنفاق بناءً على المخاطر الواقعية. هذا يمكّن من إجراء محادثات ميزانية أكثر فعالية ويضع نضج الأمن كميزة تنافسية للأعمال.
تُعتبر GISEC GLOBAL أكبر وأهم تجمع في مجال الأمن السيبراني في منطقة الشرق الأوسط وأفريقيا، حيث يجمع بين كبار مسؤولي الأمن السيبراني العالميين، وقادة الحكومة، ومشتري التكنولوجيا، والهاكرز الأخلاقيين، وذلك على مدار ثلاثة أيام مليئة بالابتكار والاستراتيجيات والتدريبات السيبرانية الحية.
📌 احجز مساحتك
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!
-
-
-
-
-
