المنظمات في المملكة المتحدة تجد نفسها في وضع غير مريح. بعد خروج بريطانيا من الاتحاد الأوروبي، تم الحفاظ على معايير قوية لحماية البيانات من خلال القانون العام لحماية البيانات في المملكة المتحدة، بينما تم أيضًا رسم مسار مستقل.
كان طموح المملكة المتحدة هو أن تظل قابلة للتشغيل البيني مع الأطر الأوروبية مع تعزيز الابتكار والقدرة التنافسية.
المدير العام للاستراتيجية والعمليات في أوروبا والشرق الأوسط وأفريقيا في Kiteworks.
في حين أن هذا يبدو جيدًا على الورق، إلا أن التنفيذ يروي قصة مختلفة تمامًا.
يستمر المقال أدناه
وتكشف بيانات المسح الأخير أن الشركات في المملكة المتحدة تتبع باستمرار المعايير العالمية فيما يتعلق بالقدرات التشغيلية اللازمة لإثبات الامتثال، وليس فقط توثيقه. وفي العديد من المجالات الحيوية، لا تتخلف المنظمات البريطانية عن القادة العالميين فحسب، بل تتخلف أيضًا عن جيرانها في فرنسا وألمانيا.
كيف تقف المملكة المتحدة
ترسم الأرقام صورة ثابتة للأداء الضعيف. بالنسبة لاكتشاف حالات الشذوذ في الذكاء الاصطناعي، أبلغت المنظمات في المملكة المتحدة عن قدرة تبلغ 37% فقط. تبلغ نسبة استعادة بيانات التدريب 44% فقط. ويمثل هذا قدرات الاستجابة الأساسية للحوادث التي لم تمنحها الشركات البريطانية الأولوية.
والأمر الأكثر إثارة للقلق هو المجالات التي تتخلف فيها المملكة المتحدة عن المستويات العالمية بشكل كبير. تصل نسبة إدارة SBOM إلى 23% فقط في المملكة المتحدة، مقارنة بـ 28% عالميًا. وتبلغ نسبة المراقبة المستمرة للبائعين 28%، مقابل 35% عالميًا.
ولعل الأمر الأكثر إثارة للدهشة هو حقيقة أن 9% فقط من المؤسسات في المملكة المتحدة لديها قواعد تشغيل مشتركة للاستجابة للحوادث مع مورديها الخارجيين.
تسلط هذه المقاييس الضوء على كيفية قيام المؤسسات في المملكة المتحدة ببناء البنية التحتية التشغيلية اللازمة لاكتشاف الحوادث، والاستجابة بفعالية، والإثبات للجهات التنظيمية أن الضوابط تعمل بشكل أبطأ من نظيراتها.
ضعف في رؤية سلسلة التوريد
تستحق أرقام سلسلة توريد البرامج اهتمامًا خاصًا. ففي نهاية المطاف، أصبحت هجمات سلسلة التوريد هي الناقل الرئيسي للجهات الفاعلة التهديدية المتطورة. تعد قدرة الشركات على فهم المكونات الموجودة في بيئة برامجها أمرًا أساسيًا للدفاع ضد هذه الهجمات.
لا تستطيع المؤسسات تصحيح الثغرات الأمنية في المكونات التي لا تعلم أنها تقوم بتشغيلها.
وفي الوقت نفسه، أصبحت رؤية سلسلة التوريد بمثابة توقع تنظيمي بشكل متزايد. في حين أن المملكة المتحدة لا تخضع بشكل مباشر لـ NIS2، فإن المنظمات العاملة في الأسواق الأوروبية أو التي تخدم العملاء الأوروبيين تواجه هذه المتطلبات من خلال علاقاتها التجارية.
علاوة على ذلك، أشارت الهيئات التنظيمية في المملكة المتحدة إلى اهتمام متزايد بإدارة مخاطر سلسلة التوريد عبر قطاعات متعددة.
وأخيرًا، مع انتشار أنظمة الذكاء الاصطناعي، فإنها تجلب تعقيدًا إضافيًا لسلسلة التوريد. تعتمد نماذج الذكاء الاصطناعي على مجموعات بيانات التدريب وواجهات برمجة التطبيقات التابعة لجهات خارجية والمكونات المدربة مسبقًا والخدمات الخارجية. يضيف كل تكامل ثغرة أمنية محتملة.
في ظل معدلات اعتماد SBOM الحالية، تفتقر المنظمات في المملكة المتحدة إلى الرؤية فيما يتعلق بجزء متزايد من ممتلكاتها التكنولوجية على وجه التحديد حيث تصبح هذه الملكية أكثر تعقيدًا.
عمى الطرف الثالث
ومما يثير القلق أيضًا حقيقة أن المنظمات في المملكة المتحدة أبلغت عن مراقبة مستمرة للبائعين بنسبة 28٪ فقط، وهي أدنى نسبة بين الأسواق الأوروبية التي شملتها الدراسة. تصل كتيبات قواعد اللعبة المشتركة إلى 9% فقط.
النظر في ما يعنيه هذا في الممارسة العملية. عندما يواجه أحد الموردين المهمين حادثًا أمنيًا، فإن 91% من المؤسسات في المملكة المتحدة ليس لديها قواعد لعب محددة مسبقًا للاستجابة المنسقة. لا توجد مسارات تصعيد موثقة. لا توجد بروتوكولات اتصال متفق عليها. لا يوجد فهم مشترك لمن يفعل ماذا ومتى.
يؤدي هذا إلى التعرض بموجب القانون العام لحماية البيانات في المملكة المتحدة، والذي يتطلب اتخاذ تدابير مناسبة لضمان تقديم المعالجات ضمانات كافية. وقد فسرت الجهات التنظيمية ذلك باستمرار على أنه يشمل الرقابة المستمرة، وليس مجرد الأحكام التعاقدية التي يتم تحديدها في بداية العلاقة.
تشير نسبة 28% الخاصة بالمراقبة المستمرة للبائعين إلى أنه حتى الرقابة المستمرة لا تزال متخلفة. تعتمد معظم المؤسسات في المملكة المتحدة على التقييمات الدورية بدلاً من الرؤية المستمرة لموقف مخاطر البائعين. في بيئة التهديد حيث تتغير الظروف بسرعة، قد لا تعكس اللقطات الدورية الواقع الحالي.
تعقيدات ما بعد خروج بريطانيا من الاتحاد الأوروبي
تحمل نتائج حوكمة البيانات عبر الحدود أهمية خاصة بالنسبة لمؤسسات المملكة المتحدة. ومع تبني آليات عبر الحدود في سير العمل بنسبة 32% تقريبًا، فإن المملكة المتحدة تتساوى تقريبًا مع فرنسا وألمانيا.
من المؤسف أن المنظمات في المملكة المتحدة تواجه تعقيدات إضافية في تدفق البيانات عبر الحدود على وجه التحديد لأن خروج بريطانيا من الاتحاد الأوروبي خلق حدودا جديدة. جدد الاتحاد الأوروبي قرار الملاءة البريطاني في 19 ديسمبر لمدة ست سنوات أخرى.
تعتمد التحويلات من الاتحاد الأوروبي على ثقة المنظمات الأوروبية في معايير المملكة المتحدة. وكلاهما يتطلب من المنظمات في المملكة المتحدة إظهار ضوابط تشغيلية قوية، وليس مجرد الامتثال للسياسة.
يتطلب الحفاظ على الكفاية إثباتًا مستمرًا على أن حماية البيانات في المملكة المتحدة تظل بشكل أساسي معادلة للمعايير الأوروبية. وفي مستويات القدرة التشغيلية الحالية، قد تواجه المنظمات في المملكة المتحدة صعوبة في تقديم هذا العرض التوضيحي.
إن تكافؤ السياسات ضروري ولكنه غير كاف. ويتوقع المنظمون على نحو متزايد وجود دليل على أن السياسات تترجم إلى ممارسة.
أولويات القيادات الأمنية
هناك خمسة مجالات تتطلب اهتمامًا فوريًا من قادة تكنولوجيا المعلومات والأمن في المملكة المتحدة.
أولاً، تسريع اعتماد SBOM. جعل إدارة مخزون البرامج شرطًا أساسيًا لعمليات النشر الجديدة، وخاصة أنظمة الذكاء الاصطناعي. طلب وثائق التبعية من البائعين كشرط شراء.
ثانياً، الاستثمار في المراقبة المستمرة للبائعين. تجاوز التقييمات الدورية نحو الرؤية المستمرة لموقف المخاطر الحرج للبائع. إعطاء الأولوية للموردين الذين لديهم إمكانية الوصول إلى البيانات الحساسة أو وظائف العمل الهامة.
ثالثاً، إنشاء ترتيبات مشتركة للاستجابة للحوادث. استخدم الآليات التعاقدية الحالية لإنشاء ترتيبات استجابة رسمية مع البائعين المهمين. قم بإجراء تمارين الطاولة سنويًا. توثيق مسارات التصعيد قبل وقوع الحوادث.
رابعًا، بناء قدرات الاستجابة للحوادث الخاصة بالذكاء الاصطناعي. تفتقر المنظمات في المملكة المتحدة إلى القدرات اللازمة لحوكمة الذكاء الاصطناعي. لا تعالج أدلة التشغيل التقليدية للاستجابة لحوادث تكنولوجيا المعلومات أوضاع فشل الذكاء الاصطناعي. القدرات المبنية لهذا الغرض ضرورية.
وأخيرا، تفعيل الضوابط عبر الحدود. بعد خروج بريطانيا من الاتحاد الأوروبي، تواجه المنظمات في المملكة المتحدة تعقيدات إضافية في تدفقات البيانات عبر الحدود. تعامل مع هذا باعتباره مجالًا تشغيليًا من الدرجة الأولى مع ضوابط ومراقبة مخصصة، وليس مجرد ممارسة امتثال تتم معالجتها من خلال التوثيق.
قوي في السياسة، ضعيف في الإثبات
وبطبيعة الحال، ليس كل شيء سيئا. يظل الإطار التنظيمي للمملكة المتحدة قويًا كما أن خبرتها في مجال الأمن السيبراني معترف بها عالميًا. ومع ذلك، فإن الأطر والخبرات لا تترجم تلقائيًا إلى قدرة تشغيلية. يتعين على المنظمات في المملكة المتحدة أن تقوم بمهمة بناء البنية التحتية اللازمة لإثبات الامتثال، وليس مجرد المطالبة به.
وستكون المؤسسات التي تسد هذه الفجوات في وضع يمكنها من الحفاظ على ثقة العملاء، وتلبية التوقعات التنظيمية، والمنافسة بفعالية في الأسواق التي تتطلب بشكل متزايد قدرات أمنية مثبتة. وأولئك الذين لا يجدون ذلك سيجدون أنفسهم يشرحون سبب عدم تطابق وثائقهم مع عملياتهم.
الفجوة ليست في السياسة. إنه دليل. بالنسبة للمنظمات البريطانية التي تتعامل مع تعقيدات ما بعد خروج بريطانيا من الاتحاد الأوروبي، لم يعد هذا الدليل أكثر أهمية من أي وقت مضى.
لقد أبرزنا أفضل متصفح خاص.
تم إنتاج هذه المقالة كجزء من قناة Expert Insights التابعة لـ TechRadarPro حيث نعرض أفضل وألمع العقول في صناعة التكنولوجيا اليوم. الآراء الواردة هنا هي آراء المؤلف وليست بالضرورة آراء TechRadarPro أو Future plc. إذا كنت مهتمًا بالمساهمة، اكتشف المزيد هنا: https://www.techradar.com/news/submit-your-story-to-techradar-pro
التعليقات