لسنوات عديدة، اعتمدت علاقات الأمن السيبراني الخارجية بين البائعين والعملاء على العقود والثقة. هذا النموذج يظهر الآن عمره. وفي العام الماضي وحده، أبلغت 51% من المؤسسات في المملكة المتحدة عن حدوث اختراق مرتبط بطرف ثالث، في حين أصبح البائعون بمثابة ناقلات هجوم مثالية للجهات الفاعلة المعادية.
مدير خدمات أوروبا والشرق الأوسط وأفريقيا في NetSPI.
الامتثال القائم على الثقة للأمن القائم على الأدلة
إن ما كان ناجحًا في السابق بالنسبة لموردي الخدمات الأمنية، وهو الامتثال القائم على الثقة، أصبح الآن الحد الأدنى، فضلاً عن كونه نهجًا قديمًا للاستراتيجية السيبرانية الحديثة وحماية البيانات.
يستمر المقال أدناه
العقود والضمانات المكتوبة لا تفعل الكثير لحماية المؤسسات في الممارسة العملية، وفي كثير من الأحيان، يُترك العملاء مع رؤية محدودة للوضع الأمني الحقيقي لمورديهم.
في السنوات القليلة الماضية، شهدنا وثائق واستبيانات وكميات وفيرة من الشهادات التي أصبحت تلقي بظلالها على المتانة الواضحة. لقد تحول التركيز نحو المربعات المحددة، بدلاً من إثبات القوة.
وبدلاً من ذلك، نحتاج إلى الانتقال من الإخبار إلى العرض؛ الدليل على الوعد.
يتطلب نموذج الأمن القائم على الأدلة أن يثبت البائعون بشكل فعال أن نهجهم الأمني قوي وقابل للقياس وفعال. إن الامتثال لا يعني المرونة في مشهد التهديدات الحالي، وبدلاً من ذلك، لن يكون هناك سوى نهج متسق واستباقي.
العمى الهيكلي
بالطبع لا يقوم معظم البائعين بإخفاء نقاط الضعف عن العملاء عمدًا. القضايا هي الكمون والرؤية. سرعان ما تصبح التقييمات في الوقت المناسب قديمة وتفقد أهميتها مع تغير الأنظمة والتقدم التكنولوجي ونشر التعليمات البرمجية الجديدة.
يمكن للمورد الذي يعتبر آمنًا عند نقطة الاعتماد أو التوقيع التعاقدي أن يحمل مخاطر مادية بعد أسابيع فقط دون اتباع نهج ثابت لإدارة الثغرات الأمنية.
غالبًا ما يكون تطوير الرؤية الشاملة لنقاط الضعف عبر المؤسسة أمرًا صعبًا. ولسوء الحظ، يختار بعض البائعين طريق الجهل المتعمد والتفاؤل الأعمى. يوفر هذا الأسلوب المال للبائع، على حساب زيادة المخاطر التي تتحملها كعميل.
حتى عند العثور على ثغرات أمنية جديدة، غالبًا ما يكون لدى العملاء رؤية ضئيلة أو معدومة. لقد أدى النهج المخصص لأمن الطرف الثالث إلى خلق شكل من أشكال العمى الهيكلي حيث توجد المخاطر ولكنها تظل غير مرئية.
ولمعالجة هذه المشكلة، يجب على البائعين التحرك نحو الإشارة باستمرار إلى المرونة التشغيلية والسيبرانية، بدلاً من الاعتماد على الضمانات الثابتة.
الضمان في الممارسة العملية: اختبار الاختراق
من الناحية العملية، هذا يعني شيئًا: اختبار الاختراق المستمر.
بالنسبة للبائعين الذين يقومون بإجراء اختبارات غير متكررة أو مخصصة، تكافح فرق الأمان لمواكبة المشهد سريع التطور، مما يترك نقاط الضعف غير محددة ويعرض العملاء للخطر.
ومن خلال محاكاة سلوك المهاجم الحقيقي، لا يُظهر البائعون التزامهم بإطار أمني قوي للعملاء فحسب، بل يعملون أيضًا على تحسين إدارة الثغرات الأمنية بشكل فعال وتقليل مخاطر اختراق البيانات في المقام الأول.
يتم طمأنة العملاء بالأدلة؛ يمكن لفرق الأمن لدى البائع النوم بسهولة بعد معالجة نقاط الضعف لديهم.
بالنسبة للمؤسسات التي تدير العشرات أو المئات من العلاقات مع الجهات الخارجية، يعد هذا المستوى من الرؤية أمرًا بالغ الأهمية لفهم مكان وجود المخاطر الحقيقية وتحسين العلاقات مع العملاء.
لقد حان الوقت لكي يتحدث CISOs
أصبحت سلاسل التوريد أهدافًا رئيسية للجهات الفاعلة المعادية، حيث تؤدي خروقات البيانات إلى تأثير الدومينو المتمثل في تعطيل الموردين والمستودعات والمصنعين. على سبيل المثال، ساهم هجوم جاكوار لاند روفر المدمر في سبتمبر 2025 في خفض النمو الحقيقي عبر الاقتصاد الأوسع للمملكة المتحدة إلى 0.1% فقط.
ومن الأهمية بمكان أن يبدأ البائعون في إثبات أنهم آمنون، من خلال الأدلة. يتمتع مدراء تكنولوجيا المعلومات بمكانة فريدة لرفع المستوى وقيادة المسؤولية في مطالبة فرق الأمان التابعة لجهات خارجية بإثبات إدارتها القوية للإنترنت.
لكي نكون واضحين، يتعلق الأمر بقدر أكبر من التوافق بين البائع والعميل، وليس حول معاقبة البائعين الذين قد لا يكون أمنهم قويًا كما كان مأمولًا. يمثل تقديم الدليل على الوعد تحولًا أساسيًا في نهج الأمن السيبراني لكل من CISOs والجهات الخارجية ومؤسسات العملاء.
عندما يتولى مدراء تكنولوجيا المعلومات المسؤولية، يمكن للشركات في جميع القطاعات بناء قدرتها على الصمود.
كلمات للعيش بها
ولم يعد بإمكان الأمن السيبراني الاعتماد على وعود عفا عليها الزمن وغير كافية ومتأصلة في الثقة والالتزامات التعاقدية.
إن المشهد السيبراني في حالة دائمة من التطور والتغيير، ولم تعد الثقة وحدها مؤشراً موثوقاً لإطار أمني ناضج. وتفشل الضمانات الثابتة والتحقق من الصحة في الوقت المناسب في عكس حقائق البنية التحتية الحديثة، حيث تتطور المخاطر بشكل أسرع بكثير من التوثيق على الإطلاق.
ومن خلال تبني اختبار الاختراق المستمر وتمكين مدراء تكنولوجيا المعلومات من مطالبة البائعين بإثبات وضعهم الأمني بشكل واضح، يمكن للمؤسسات تغيير كيفية إدارة مخاطر الطرف الثالث بشكل أساسي.
يؤدي هذا التحول إلى نقل مشهد الأمن السيبراني والأعمال التجارية بعيدًا عن الثقة العمياء التي تهدد سلامة البيانات بصمت، ونحو الثقة المرتكزة على ضمان مستمر وقابل للقياس.
يعد إثبات الوعود أحد المبادئ الأساسية للأمن السيبراني في العالم الحديث.
لقد عرضنا أفضل برامج حماية نقطة النهاية.
تم إنتاج هذه المقالة كجزء من قناة Expert Insights التابعة لـ TechRadarPro حيث نعرض أفضل وألمع العقول في صناعة التكنولوجيا اليوم. الآراء الواردة هنا هي آراء المؤلف وليست بالضرورة آراء TechRadarPro أو Future plc. إذا كنت مهتمًا بالمساهمة، اكتشف المزيد هنا: https://www.techradar.com/news/submit-your-story-to-techradar-pro
التعليقات