لقد حان وقت إدارة المخاطر السحابية
في عام 2022، 80% من الشركات شملها الاستطلاع أقروا بأنهم تعرضوا لحادث أمني سحابي واحد على الأقل. ثم في منتصف عام 2023 94% من الشركات أفاد الذين شملهم الاستطلاع أنهم كانوا يستخدمون على الأقل نوعًا من الخدمة السحابية.
لا جدال في شعبية نقل تكنولوجيا المعلومات إلى السحابة، كما أن وتيرة اعتماد السحابة شاقة. ومع ذلك، مع قيام الشركات بنقل المزيد من خدمات تكنولوجيا المعلومات إلى السحابة، تثار أسئلة حول ما إذا كانت الشركات مستعدة لإدارة المخاطر السحابية في مجالات تشمل الأمن السيبراني ومعالجة البيانات وحماية الملكية الفكرية والحوكمة.
وقالت شركة KPMG: “هناك مخاطر، وبالفعل واجه أكثر من نصف المؤسسات مشكلات في العام الماضي”. في مقال. “من بينها التأخير في تكنولوجيا المعلومات، وفقدان البيانات، وفقدان الإنتاجية، وانقطاع التطبيقات، وانتهاكات الامتثال التنظيمي، وتضاؤل القدرة على تقديم الخدمات.”
لا شيء من هذه الأحداث عارضة. فشل السحابة، أو حدوث اختراق كبير للأمان أو البيانات، مثل ما حدث مؤخرًا صفر في الخرقيمكن أن يهز سمعة الشركة وحتى بقاءها. ومع ذلك، فإن العديد من الشركات لا تدرج السحابة كمشكلة تتعلق بإدارة المخاطر.
ما هي قضايا إدارة المخاطر المشتركة التي تواجهها الشركات يفعل المراقبة والتخطيط ل؟
وتدور معظمها حول المخاطر التي تواجه الميزانية العمومية المالية، مثل وجود عدد كبير جدًا من القروض عالية المخاطر في الدفاتر إذا كنت مؤسسة مالية، أو وجود عدد كبير جدًا من الموردين في أجزاء محفوفة بالمخاطر من العالم إذا كنت شركة مصنعة. أصبحت الخروقات السيبرانية والتعافي من الكوارث في مجال تكنولوجيا المعلومات أيضًا من اهتمامات إدارة المخاطر، لكن القليل من المؤسسات قامت بتوسيع إدارة المخاطر لتشمل مزودي الخدمات السحابية.
الأمر متروك لرئيس قسم المعلومات لطرح هذه المشكلة.
يجب على الشركات إدارة المخاطر السحابية
تشمل المخاطر التي ينطوي عليها استخدام الخدمات السحابية مخاوف تكنولوجيا المعلومات مثل الخروقات الأمنية وسوء الخدمة ومعالجة البيانات والسرية. ولكنها تمتد أيضًا إلى المسؤولية والامتثال وقابلية التأمين.
فيما يلي مراجعة نقطة بنقطة:
الأمن السيبراني ومخاطر التأمين السيبراني. لا يزال التأمين السيبراني مجالًا متطورًا حيث تتخلف شركات التأمين عن التقدم التكنولوجي. وهذا خطر في حد ذاته، لأن شركات التأمين قد لا تقدم أو توسع التغطية للخروقات الأمنية التي تنشأ في السحابة.
وقد تكون الشركات أيضًا غير مستعدة. لقد قام معظمهم بالفعل بتوسيع تغطية المسؤولية التجارية الخاصة بهم لتشمل الهجمات السيبرانية ضد شبكاتهم وأجهزتهم الطرفية وتكنولوجيا المعلومات الداخلية. لذلك، قد يشعرون أنهم محميون، حتى لو حدث خرق في السحابة. لسوء الحظ، قد لا تمتد سياسات التأمين السيبراني الحالية للشركات إلى الحماية التأمينية للحدث السيبراني الكارثي القائم على السحابة والذي يحدث في خدمة سحابية خارجية تستخدمها الشركة المؤمنة.
تجدر الإشارة أيضًا إلى أن العقود القياسية التي يصدرها مقدمو الخدمات السحابية لعملائهم تعطي ضمانات ببذل “أفضل جهد” في حالة حدوث خرق أمني سحابي أو فشل في الخدمة، ولكن نادرًا ما تضمن هذه العقود أن يتحمل مزود السحابة المسؤولية المالية عن أي خسائر.
جزء من إدارة المخاطر هو التأكد من أن لديك حماية تأمينية في حالة وقوع حدث كارثي مثل اختراق الأمان أو البيانات في السحابة. يجب أن تتضمن استراتيجية إدارة المخاطر الخاصة بك الاجتماع مع مزود التأمين الخاص بك للتأكد من أن التأمين الإلكتروني الخاص بك يغطي الأحداث التي يمكن أن تنشأ في السحابة، بالإضافة إلى تلك الموجودة في تكنولوجيا المعلومات المحلية لديك.
الأمر نفسه ينطبق على العمليات السحابية مثل معالجة البيانات وحفظ البيانات.
مخاطر الملكية الفكرية وملكية تكنولوجيا المعلومات. إذا قمت بالاشتراك في عرض سحابي SaaS (البرنامج كخدمة) مثل نظام تخطيط موارد المؤسسات (ERP) أو نظام إدارة علاقات العملاء (CRM) أو منصة الذكاء الاصطناعي والتحليلات، فهل تعرف من يملك الوحدات والتقارير الفريدة التي تقوم بتطويرها على النظام الأساسي لنفسك شركة؟
سيقول بعض موفري الخدمات السحابية أنه نظرًا لأنك استخدمت منصتهم، فإنهم يتمتعون بالحرية في إعادة تجميع عملك أو بيعه أو توزيعه على الآخرين، بينما سيكون الآخرون على استعداد للتفاوض معك حتى تتمكن من الحفاظ على ملكية عملك وسريته، وأنك يمكن أن تأخذ معك إذا اخترت الانتقال إلى مزود سحابي آخر.
هناك مؤسسات كبيرة اليوم تستمر في تشغيل أنظمتها على حواسيب مركزية تعمل بأنظمة تشغيل قديمة لأنها طورت أنظمة “صلصة سرية” خاصة بها تمنحها ميزة تنافسية متميزة في أسواقها. ستستمر الشركات في تطوير التطبيقات ذات المزايا التنافسية عندما تكون أنظمتها في السحابة. وعندما يفعلون ذلك، يجب عليهم أن يعرفوا مسبقًا ما إذا كانوا سيمتلكون ما يطورونه، إلى جانب تحديد خطر فقدان هذه الملكية الفكرية وما يمكنهم فعله لمنع الخسارة.
يجب على الشركات إعطاء الأولوية لحماية ملكيتها الفكرية في المفاوضات مع بائعي السحابة كجزء من استراتيجية إدارة المخاطر الخاصة بهم.
مخاطر الامتثال. تتعهد المنصات السحابية الخاصة بالصناعة الخاصة بالرعاية الصحية والتمويل وقطاعات الصناعة الأخرى بالامتثال لمعايير الأمان والخصوصية العامة بالإضافة إلى اللوائح التي تحكم قطاعات الصناعة المحددة التي تخدمها.
ومع ذلك، فإن مجرد وجود الالتزامات لا يعني أن أمان السحابة وإدارتها محدثان، أو أنهما يتطابقان مع أمانك وإدارتك.
كجزء من إدارة المخاطر المستمرة، يجب أن تطلب تكنولوجيا المعلومات من موردي الخدمات السحابية تقديم تقارير حديثة لتدقيق تكنولوجيا المعلومات والأمان التنظيمي. عندما يقوم مدققو تكنولوجيا المعلومات والمنظمون الخارجيون بزيارات لتقييم أمان الشركة والامتثال التنظيمي، يجب أن تتضمن عمليات التدقيق مراجعات لوثائق الأمان والحوكمة لموفر الخدمة السحابية الخارجي. وهذا يضمن أن كل شخص في سلسلة توريد تكنولوجيا المعلومات متوافق، وأنه لا يوجد أي امتثال أو مخاطر تنظيمية.
الملاحظات الختامية
إن مشكلات إدارة المخاطر التي تظهر جنبًا إلى جنب مع السحابة تذهب إلى ما هو أبعد من تكنولوجيا المعلومات. ويجب دمجها في إدارة المخاطر على مستوى المؤسسة ويجب أن تتلقى مراجعات على مستوى مجلس الإدارة.
فيما يلي أسباب ذلك:
أولاً، يتم إسناد العديد من الأنظمة والتطبيقات ذات المهام الحرجة إلى السحابة. ومن خلال نقلها إلى هناك، ليس لدى الشركات أي ضمان بأن تغطية الأعمال التجارية الحالية والمسؤولية السيبرانية تتبعها.
ثانياً، من خلال نقل الأنظمة الحيوية إلى السحابة، تنأى المؤسسات بنفسها عن الإشراف المباشر على الأمن والحوكمة والامتثال التنظيمي. وهذا يقدم مخاطر أكبر.
ثالثًا، إدارة مخاطر الشركات والتفاوض بشأن تأمين المسؤولية التجارية في المؤسسات ليست “مملوكة” لمدير تكنولوجيا المعلومات. غالبًا ما تتم إدارة إدارة مخاطر الشركات والتغطية التأمينية من قبل المجموعة المالية، مع الإشراف المباشر من مجلس الإدارة والرئيس التنفيذي. لقد حان الوقت لمدراء تكنولوجيا المعلومات لإضافة تكنولوجيا المعلومات والسحابة إلى إدارة مخاطر الشركات والرؤية على مستوى مجلس الإدارة لأن هناك الكثير على المحك.