CSHub Editorial Staf

يقصد بالترحيل السحابي هو نقل بعض أو كل موارد تكنولوجيا المعلومات الخاصة بالشركة، وقواعد البيانات، والتطبيقات، والخدمات، والأصول الرقمية، إلى السحابة Cloud.

لقد أدى دفع الشركات للتحرك نحو التخزين المعتمد على السحابة إلى تطورها، مما أدى إلى خلق عقلية السحابة أولاً. ومع تنامي التوجه نحو الرقمنة، أصبح اعتماد السحابة وتطويرها أمرًا ضروريًا للشركات. ونتيجة لذلك بات من المتعين الآن تحقيق الركائز الأربعة لأمن السحابة.

أولاً: المسؤولية

تهدف المؤسسات إلى لاستمرار في توفير تمكين آمن للأعمال. ولضمان بنية تحتية آمنة، يجب أن تكون الرؤية واضحة. ولضمان الرؤية، يجب أن تكون استراتيجية البنية التحتية السحابية في مكانها الصحيح، ولضمان وجود استراتيجية يجب أن تكون المساءلة عن المبادرة واضحة. إن المساءلة الأمنية تقع عاتق مسؤول أمن المعلومات بالشركة، إذ يُعد تعقيد البنية التحتية، ونقاط الضعف الفريدة، ووصول المستخدم، وأمن البيانات، وضوابط التطبيق المتسقة، والموهبة غير المتسقة، من المشاكل الملحة التي يجب معالجتها في أمان السحابة. ويمكن أن يكون العديد من الأشخاص مسؤولين من خلال استشارتهم، لكن شخصًا واحدًا فقط هو الذي يكون مسؤولاً. بينما يجب أن يكون رئيس أمن المعلومات مسؤولاً ومستشارًا ومطلعًا، غير أن ثمة سؤالاً وهو: هل هذه هي الوظيفة الوظيفية المثلى لتكون مسؤولاً عن البنية التحتية السحابية كلها في أي مؤسسة معينة؟ لذلك، فقد تم اقتراح أن يكون كل من منسق ورئيس قطاع أمن المعلومات كمديرين تنفيذيين مناسبين لتولي دور المساءلة للبنية التحتية السحابية كلها.

وغالبًا ما يتم تقديم رسالة إخبارية ردًا على أسئلة الأمان السحابية، إذ تعتمد على مدى الاستعداد للمخاطرة. ومع ذلك، فإن معظم مجالس الإدارة والرؤساء التنفيذيين وأصحاب المصلحة في الأعمال، يشعرون أن لديهم رغبة في المخاطرة. لذلك يرى الخبراء أن وجود نقطة واحدة للمساءلة في المنظمات التي تتوفر لديها نسب توزيع عالية، إنما يُمَثِّل تحديًا ما لم يحدد برنامج الحوكمة مفاهيم النظام والبيانات والخدمة الملكية الوظيفية. فالخدمة السحابية تتخذ ببساطة مركز بيانات شخص آخر؛ إذ يكون مسؤول أمن المعلومات مسؤولاً عن أمان السحابة، ويكون المالك الوظيفي للبيانات والخدمات المستخدمة في مركز البيانات، وكذلك يعد مسؤولاً عن الحصول على الخدمة المناسبة بالتكلفة المناسبة وتقديمها في الوقت المناسب. وبالتالي، فإن تمكين أصحاب الأعمال من العمل في السحابة بوعي أمني يعني المسؤولية التي يكون مسؤول أمن المعلومات مسؤولاً عنها. وللاضطلاع بهذه المسؤولية، يجب على هذا المسؤول التأكد من استشارتهم وإبلاغهم في الوقت الفعلي بآليات التشغيل في السحابة.

ثانيًا: الاستراتيجية

يجب على مسؤول أمن المعلومات وضع استراتيجية أمان سحابية لضمان استشارة أصحاب الأعمال وإبلاغهم بعملية الأمن السيبراني. وهناك ثلاثة جوانب مختلفة لأمن السحابة التي يجب أخذها في الاعتبار في تلك الاستراتيجية، وهي: أمان السحابة، والأمن أثناء الوصول إلى السحابة، بالإضافة إلى أمن التطبيقات والبيانات في السحابة.

أمَّا بالنسبة لأمان السحابة، فلسوء الحظ، إنه يعتمد على مزود السحابة؛ إذ تمتلك معظم المؤسسات العالمية مزيجًا من التقنيات مثل: إي دبليو إسAWS ، وآزور Azure ، وجوجل كلاود Google Cloud، وأرويكل كلاد Oracle Cloud ، وآي بي إم IBM Cloud كلاود، وتينسينت كلاودTencent Cloud، وعلي بابا كلاود Alibaba Cloud  وغيرها. وعندما يتم اختراق أحد هذه الأساليب، يجب أن تكون أي شركة منها تستخدم المزود المكشوف قادرة على اكتشاف الحادث ومعالجته وفقًا لذلك؛ وهو ما يؤثر في الأمان أثناء الوصول إلى السحابة وأمان التطبيقات والبيانات في السحابة. أمَّا بالنسبة للأمان أثناء الوصول إلى السحابة، فإن الوصول الآمن مع الهوية يحدث من خلال بي إي إمPAM ، وزيرو ترست Zero Trust ، وآي إي إم IAM ، وساسيSASE ؛ إذ أصبح التطور نحو بنية أمنية تستخدم الهوية كقوة طرد مركزي ذات صفة إلزاميًا.

وبالنسبة لأمن التطبيقات والبيانات في السحابة، فمن الواضح أن عناصر الإجراءات الصارخة لأمان السحابة تكمن في أمان التطبيقات والبيانات في السحابة؛ إذ تظل بعض الأصول في مكان العمل، بينما يتم وضع بعض الأصول في السحابة. وقد ضمنت عقلية الرفع والتحول التي تتوافق مع انفجار الأدوات التعاونية المستوحاة من جائحة كوفيد – 19، أن أي مؤسسة عالمية معينة تعاني من تعقيد البنية التحتية السحابية. ويؤدي الترحيل نحو السحابة ببساطة إلى فتح نقاط ضعف فريدة، لكن تعقيد البنية التحتية السحابية هو الذي يحجب الرؤية وينقل فرص التهديد. وتساعد الهوية كمحيطٍ في أمان البيانات إذا كان بالإمكان التعرف على من يقوم بالوصول إلى ماذا وأين ومتى ولأي غرض، مع القدرة على أن تمر هذه الهوية عبر طبقات متعددة من المصادقة. وعادةً ما تكون عناصر التحكم في الأمان هي المكان الذي يلتقي فيه المطاط بالطريق. فما تم حله من قبل بالمعرفة الضمنية والتكنولوجيا الرئيسية يجب أن يتم حله الآن من خلال الفطنة التجارية والمهارات الشخصية. 

إن موهبة الأمن السيبراني الحالية ليست بالضرورة موهبة مستقبلية في مجال الأمن السيبراني. فقد أظهرت الدراسات الاستقصائية أن الاستثمارات في هذا المجال تجاوزت نفقات الميزانية خلال السنوات القليلة الماضية. ورغم أنه قد يكون انحرافًا، فإن التعليقات على مدار الأشهر القليلة الماضية تشير إلى أن الوصول الآمن لم يعد أحد أهم مجالات الاستثمار، غير أن هناك تكاليف لاحقة لا مفر منها؛ لكن التحول في الاستثمار قد يعني أن مؤسسة الشركات العالمية ربَّما تكون هي تحديد مستوى الأمان أثناء الوصول إلى السحابة. لذا، فمع هذا الأمن الذي يأتي من خلال حلول حديثة المصدر، يجب التحقق منه، وربَّما تكون المواهب المطلوبة هي أهم جانب في دور مسؤول أمن المعلومات للمضي قدمًا.

أمَّا بالنسبة للامتثال التنظيمي، فيجب أن تأتي أي قرارات سحابية يتم اتخاذها بعد قراءة للتشريعات المحلية المقترحة في جميع أنحاء العالم. فقد ثبت أن مفهوم توفير أموال المنظمة من خلال عدم الإنفاق في مجال، من الواضح أنه سيخضع للرقابة التنظيمية قريبًا، هو فكرة حمقاء.

ثالثًا: الرؤية

لقد شهد كبار المسؤولين التنفيذيين في مجال الأمن السيبراني كل هذا من قبل، وقد تم تنفيذ أنظمة وأدوات جديدة وغير مركزية بشكل متزايد للمساعدة في إدارة أمن المؤسسة منذ بداية نظام أمن المعلومات نفسه. وقد تطورت المنظمات على مدار العقود الخمسة الماضية لتعيش مرة أخرى في “طريق واحد فقط” وهو السحابة. فقد جلب الترابط الحقيقي بين شركاء سلسلة التوريد الترابط الأمني الحقيقي. وقد أدى ذلك إلى ارتباكٍ في التبعية.

ومع كيفية تطوير الأعمال وكيفية ارتباطها بعضها ببعض، كان هناك تطور في تهديدات الأمن السيبراني. ومع تطور تهديدات الأمن السيبراني، فإن بعض المعارف الضمنية الأساسية للتثبيت هي موضع نقاش. ثم إن هناك نقصًا عالميًا كبيرًا في مواهب الأمن السيبراني للوظائف الشاغرة اليوم، بالإضافة إلى استمرار تطور الوظائف. لذلك هناك حاجة أقل لخبراء هندسة الشبكات، بينما هناك حاجة إلى المزيد من خبراء هندسة الشبكات السحابية. كذلك هناك حاجة إلى وظائف الفريق الأزرق بشكل أقل. وبالتالي، فإن عملية اكتساب الرؤية تكمن في بنية الأنظمة، وكذلك تطور الأشخاص الذين يشرفون على تلك الأنظمة جنبًا إلى جنب مع القدرة على الترابط في وقت واحد مع شركاء سلسلة التوريد، ولكن لا يعانون من ارتباك في التبعية.

رابعًا: التمكين

في حين أن الحاجة لأمن المعلومات ظهرت عندما بدأ البشر في التواصل باللغة، فإن الأمن السيبراني الحديث يعد ظاهرة حديثة نسبيًا. فقد تطورت التكتيكات لدى الخصوم، وأن أفضل ممارسات روح العصر تتقدم وفقًا لذلك. إن المسؤول التنفيذي الأمني يتعلم من استراتيجيات الخصومة السابقة للتنبؤ بالهجمات المستقبلية على مشهد تهديد معروف. فعندما يتغير المشهد، يتكيف المسؤول الأمني. وحتى وقت قريب جدًا، كان الدفاع الجيد هو أفضل هجوم. وقد تم افتراض وضع أمني أمامي بطريقة سريعة إلى حد ما، إذ تم إجراء العديد من المحادثات هذه الأيام حول مطاردة التهديدات أكثر من تلك التي تدور حول جدران الحماية. ومع انتقال الأمان إلى كل التفاصيل، انتقلت العمليات التجارية من الأساس إلى السحابة. لذلك، ففي حين أن فلسفة الأمن السيبراني قد أحدثت ثورة، فقد تغيرت عملية الأعمال؛ إذ يحتاج العمل إلى إيجاد واستخدام أدوات جديدة ومختلفة باستمرار لضمان تفوق المؤسسة على التغيير وتوفير قيمة للمساهمين والعملاء في المستقبل البعيد، ولا يمكن أن يحدث هذا إذا لم تستطع الشركة التعلم من الحوادث الأمنية السابقة. لذلك، يجسد أمان السحابة جوهر دور مسؤول أمن المعلومات، إذ يتغير المشهد ويتكيف. لكن هذا التكيف يعني تطورًا في دور هذا المسؤول، الذي يعدُّ مديرًا للمعلومات وعليه أن يتحدث بلغة مشتركة لمجلس الإدارة والمدير التنفيذي وأصحاب المصلحة في الأعمال. ويجب عليه أيضًا استخدام هذه اللغة المشتركة جنبًا إلى جنب مع الموقف الأمامي المفترض حديثًا للعثور على جانب ابتكار الأعمال وتمكينه.

إعداد: وحدة الترجمات بمركز سمت للدراسات

المصدر: Cyber security Hub