كشفت دراسة جديدة أجرتها كاسبرسكي أنّ أكثر من ثلثي الشركات في مصر (71%) تعتزم الاستثمار في أمن الشركات الموردة والمتعاقدة معها لضمان حمايتها من الهجمات السيبرانية، فيما اتخذت ربع الشركات ضمن المنطقة خطوات فعلية في هذا الاتجاه.
ويوضح هذا التحول أنّ المورّدين أصبحوا في نظر الشركات جزءاً من منظومة أمنية متكاملة ومترابطة.
في ظل تصاعد هجمات سلسلة التوريد التي استهدفت شركة من أصل ثلاث عالمياً، وتزايد هجمات العلاقات الموثوقة التي أثرت على شركة من أصل أربع عالمياً خلال العام الماضي، تعيد الشركات تقييم نهج الأمن الداخلي المتبع لديها، انطلاقاً من إدراكها بأنّ تعرضها للأخطار السيبرانية مرهون بالوضع الأمني لأي مقاول أو مورّد لديه صلاحية الوصول إلى أنظمتها وبنيتها الداخلية، وهي إلى ذلك مستعدة لاتخاذ الإجراءات اللازمة للتعامل مع هذه المسألة.
ووفقاً لاستطلاع كاسبرسكي، يدرس 71% من المشاركين عالمياً (71% في مصر) إمكانية الاستثمار في أمن المتعاقدين معهم لتعزيز مرونتهم السيبرانية.
وفي الوقت نفسه، بدأت 26% من الشركات عالمياً (25% في مصر) تقاسم تكاليف التدابير الأمنية مع المتعاقدين معها، لتنتقل بذلك من مرحلة التخطيط إلى التنفيذ العملي.
يعلق على هذه المسألة سيرجي سولداتوف، رئيس مركز العمليات الأمنية لدى كاسبرسكي: «تدرك الشركات حالياً أنّ الأمن يجب ألا يقتصر على حدود مؤسساتها فحسب، بل يجب أن يشمل المنظومة متكاملة.
وتفتقر الشركات الصغيرة إلى القدرات الأمنية الموجودة لدى الشركات الكبيرة التي تقدم لها خدماتها، مما يعرض الشركات الكبيرة إلى أخطار إضافية.
ومن خلال تبادل الموارد والخبرات، يمكن للشركات الكبيرة تدارك هذه الفجوة، وتقوية مواطن الضعف في جميع مراحل سلسلة الاعتماد، لتصبح بذلك محركاً رئيسياً للمرونة السيبرانية العالمية.
»وللحد من أخطار سلسلة التوريد، توصي كاسبرسكي الشركات بتعزيز تدابيرها الأمنية عبر إجراءات تنظيمية تشمل تقييماً صارماً وعملياً يستند إلى البراهين لمزودي البرمجيات.
فمن خلال تقييم ممارسات الأمان لدى الموردين، ومراجعة عملية تطوير البرمجيات، وتطبيق أطر تقييم منظمة، تضمن الشركات ألا تعمل ضمن بنيتها التحتية الداخلية إلا المنتجات الآمنة والمنيعة.
ويوجد دليل أكثر تفصيلاً بشأن طريقة اختيار أفضل منتج عبر الرابط.
للحد من أخطار سلسلة التوريد والعلاقات الموثوقة، توصي كاسبرسكي باتباع الإجراءات التالية:التعاون مع الموردين في المسائل الأمنية.
ينبغي التعاون بشكل وثيق مع الموردين لتحسين تدابيرهم الأمنية.
ويعزز هذا التعاون الثقة المتبادلة بين الطرفين، ويجعل الحماية أولوية مشتركة بينهما.
إجراء تقييم شامل للموردين قبل إبرام أي صفقة تجارية.
لا بدّ من تقييم مستويات الأمان لدى الموردين المحتملين قبل العمل معهم.
ويتضمن ذلك مراجعة سياسات الأمن السيبراني المتبعة لديهم، والمعلومات عن الحوادث السابقة، ومدى امتثالهم لمعايير الأمن ضمن القطاع.
بشأن منتجات البرمجيات والخدمات السحابية، ينبغي جمع بيانات عن الثغرات الأمنية وإجراء اختبارات الاختراق، ويُوصى في بعض الأحيان بإجراء اختبار أمن التطبيقات الديناميكي (DAST).
تطبيق المتطلبات الأمنية التعاقدية.
يجب أن تتضمن العقود مع الموردين متطلبات محددة لأمن المعلومات مثل: إجراء عمليات تدقيق أمني دورية، والتأكد من الامتثال لسياسات الأمان المعمول بها في مؤسستك وبروتوكولات الإبلاغ عن الحوادث الأمنية.
تبني تدابير تكنولوجية وقائية.
يتراجع خطر الأضرار الفادحة الناجمة عن اختراق الموردين كثيراً إذا طبقت مؤسستك ممارسات أمنية مثل مبدأ الحد الأدنى من الصلاحيات، ونموذج الثقة الصفرية، والإدارة المتطورة للهوية.
التعليقات (0)
لا توجد تعليقات حتى الآن. كن أول من يعلق!
أضف تعليقك