من «مسرحية الامتثال» إلى «الدفاع الفعال»

إعادة النظر في حوكمة الهوية من أجل عالم لا ينتظر المراجعات السنوية

ملخص تنفيذي

تعمل برامج حوكمة الهوية في مختلف القطاعات انطلاقاً من افتراض خاطئ، وهو أن المراجعات الدورية للوصول، والسياسات الموثقة، وتقارير التدقيق الخالية من الملاحظات تشكل وضعاً أمنياً يمكن الدفاع عنه. لكن هذا ليس صحيحاً.

لقد تغير مشهد التهديدات تغيرًا جذريًا. فالهويات، سواء كانت بشرية أو غير بشرية، يتم إنشاؤها وتعديلها واستغلالها في غضون أجزاء من الثانية. تتغير حقوق الوصول باستمرار بين دورات المراجعة. وعندما يحدث خرق، لا يسأل المدققون والمنظمون والمفتشون وشركات التأمين والمحامون عما إذا كانت هناك سياسات مطبقة. بل يسألون عما إذا كانت تلك السياسات قد نُفذت، في الوقت الفعلي، في اللحظة التي وقع فيها الحادث.

تدفع هذه الورقة بأن النموذج التقليدي لإدارة الهوية (IGA)، الذي يعتمد على حملات المراجعة السنوية أو الفصلية، يخلق ما نسميه ‘فجوة الإهمال’: وهي فجوة آخذة في الاتساع بين ما تنص عليه وثائق السياسات الثابتة للمؤسسة وما تقوم به أنظمتها الديناميكية فعليًّا. وإذا تُركت هذه الفجوة دون معالجة، فإنها لا تشكل مجرد خطر أمني. بل هي عبء، وبالنسبة للمؤسسات المالية والوكالات الحكومية، فهي أيضًا نتيجة تدقيق في انتظار الحدوث.

والبديل هو التحول إلى «حوكمة الدفاع النشط» (ADG)، وهو نموذج تعمل فيه الحوكمة كطبقة رقابة مستمرة وآلية وقائمة على المخاطر، بدلاً من أن تكون مجرد عملية تصديق دورية. وعند تنفيذها بفعالية، تُحوّل «حوكمة الدفاع النشط» حوكمة الهوية من مركز تكلفة للامتثال إلى قدرة أمنية تشغيلية، والأهم من ذلك، إلى مصدر للدفاع القابل للاستخدام في الدعاوى القضائية.

تهدف ورقة الموقف هذه إلى تزويد الممارسين وقادة البرامج والمسؤولين التنفيذيين بإطار عمل لتقييم وتطوير نهجهم في مجال الامتثال الداخلي (IGA)، بحيث يتجاوز مجرد الأنشطة الدورية للامتثال ويتجه نحو نموذج مستمر وقابل للدفاع عنه في مجال الامتثال الداخلي (ADG). وستتناول هذه الورقة بالتفصيل ما يلي:

لماذا لا تكفي دورة المراجعة التقليدية لاتفاقيات التقييم المستقل (IGA) لمواجهة المخاطر الحالية
كيف تؤدي الفجوة في الحوكمة الناجمة عن ذلك إلى مخاطر قانونية وتنظيمية
إطار عمل لتنفيذ مفهوم "القدرة الدفاعية المتقدمة" (ADG)، بدءًا من القدرات الأساسية وصولاً إلى القدرة الدفاعية الكاملة
المؤشرات التي يمكن للمؤسسات استخدامها لقياس فعالية ADG
اعتبارات التنفيذ للمؤسسات في أي مرحلة من مراحل نضج الحوكمة

مشكلة "مسرحية الامتثال"

مفارقة التدقيق النظيف

تحقق المؤسسات اليوم بشكل روتيني نتائج قوية في عمليات تدقيق SOC 2 من النوع الثاني، وتقييمات الاستعداد لتطبيق اللائحة العامة لحماية البيانات (GDPR)، ومراجعات الامتثال لقانون DORA، وعمليات تدقيق أمن المعلومات في مجال العدالة الجنائية (CJIS)، لتتعرض بعد ذلك لانتهاكات تتعلق بالهوية في غضون أسابيع قليلة من حصولها على شهادة الامتثال تلك. وهذا ليس من قبيل الصدفة، بل هو نتيجة هيكلية لكيفية تصميم أطر الامتثال التقليدية وكيفية استجابة المؤسسات لها.

تقوم أطر الامتثال، بحكم طبيعتها، بتقييم الوضع في لحظة زمنية محددة. وتهدف مهمة SOC 2 إلى تقييم ما إذا كانت الضوابط موجودة وتعمل بفعالية خلال فترة محددة. أما تدقيق CJIS فيتأكد من أن سياسات الوصول التي تحكم معلومات العدالة الجنائية موثقة ويتم الالتزام بها.

تختلف الأطر، لكنها تشترك في نفس القيد: فترة زمنية محددة، ولقطة لحالة التحكم، وليس مستمر التنفيذ.

تواجه المؤسسات المالية الخاضعة لتوجيهات FFIEC أو الجزء 500 من NYDFS أو PCI DSS v4.0 مدققين يطلبون بشكل متزايد أدلة على وجود ضوابط مستمرة، وليس مجرد شهادات في لحظة معينة. تعمل الوكالات الفيدرالية الخاضعة لقانون FISMA أو FedRAMP أو NIST SP 800-53 وفقًا لنماذج حوكمة توثق الضوابط في وقت التفويض، ولكن قد لا تعكس تلك الوثائق التنفيذ التشغيلي بين دورات المراجعة. في كل حالة، يلتقط إطار العمل الخاص بالتدقيق لحظة معينة. ولا تتوقف بيئة التهديدات خلال دورة المراجعة.

والنتيجة هي ما يطلق عليه الممارسون بشكل متزايد «مفارقة التدقيق النظيف» أو «مفارقة الامتثال»: فكلما زادت ثقة المؤسسة في نتائج تدقيقها، زادت في الواقع تعرضها للمخاطر. إن لوحة المؤشرات الخضراء التي يتم إنشاؤها استنادًا إلى بيانات تعود إلى ثلاثة أو ستة أو أحد عشر شهرًا مضت لا تُعد دليلاً على وجود ضوابط. بل هي دليل على الماضي التحكم، وفي حالة حدوث خرق، فإن هذا التمييز هو كل شيء.

إذا تعرضت مؤسستك اليوم لخرق أمني كبير يتعلق بالهوية، فلن يسأل المحققون عما إذا كانت لديكم سياسة حوكمة. بل سيسألون عما إذا كانت تلك السياسة سارية المفعول ومُطبقة في اللحظة التي وقع فيها الخرق. وإذا كان الجواب “نقوم بمراجعتها سنويًا”، فأنت لست فقط غير آمن. بل إنك في موقف لا يمكن الدفاع عنه.

تقادم المراجعة: تاريخ انتهاء الصلاحية الخفي في كل مراجعة

كل حملة لتوثيق الصلاحيات، ومراجعة الاستحقاقات، وعملية إقرار الأدوار لها تاريخ انتهاء صلاحية لا يقوم أحد بتوثيقه. وبمجرد انتهاء الحملة، تبدأ البيانات التي تم توثيقها في الابتعاد عن الواقع. ونسمي ذلك «تدهور التدقيق».

في بيئات المؤسسات الحديثة، لا تعتبر الهويات وحقوق الوصول المرتبطة بها ثابتة. فهناك حسابات خدمات يتم إنشاؤها وتكوينها بشكل خاطئ. كما يتم توظيف المتعاقدين وتتوسع نطاقات وصولهم إلى ما يتجاوز النية الأولية. يتغير دور الموظفين ويكتسبون امتيازات لم يتم إلغاؤها أبدًا. وتتكاثر الهويات غير البشرية، بما في ذلك مفاتيح واجهة برمجة التطبيقات (API) وحسابات الأجهزة ووكلاء الذكاء الاصطناعي (Agentic AI) وروبوتات أتمتة العمليات الروبوتية (RPA)، عبر البنية التحتية مع الحد الأدنى من الرقابة.

في هذا السياق، تعني دورة المراجعة الفصلية أن انحرافات الوصول تظل دون اكتشاف لمدة تصل إلى تسعين يومًا قبل أن تصبح قابلة للكشف أصلاً. ويعني المراجعة السنوية تعرضًا غير خاضع للمراقبة لمدة تصل إلى عام كامل. وتدرك مجتمع المخترقين هذه الديناميكية جيدًا. تُقاس فترات البقاء للهجمات القائمة على الهوية بالأسابيع والأشهر، وليس بالساعات، وذلك على وجه التحديد لأن إيقاعات الحوكمة التقليدية تخلق فرصًا يمكن التنبؤ بها.

مراجعة المشرف: الأداة الأقل موثوقية في مجال الحوكمة

أكثر أشكال مراجعة صلاحيات الوصول شيوعًا في برامج إدارة الهوية والوصول (IGA) المؤسسية هو ’تصديق المشرف أو المدير": وهو طلب دوري يُطلب فيه من المديرين مراجعة صلاحيات المرؤوسين المباشرين لهم والتأكد من أن هذه الصلاحيات لا تزال مناسبة. وتعد هذه الممارسة جزءًا لا يتجزأ من أطر الامتثال وتوقعات التدقيق. كما أنها تُعد واحدة من أقل الضوابط فعالية في مجموعة أدوات أمن الهوية.

المشاكل الهيكلية معروفة جيدًا. يُعرض على المديرين كميات هائلة من بيانات الاستحقاقات، لكنهم يفتقرون إلى السياق الفني اللازم لتقييمها تقييمًا هادفًا. كما أن عمليات المراجعة مقيدة بضيق الوقت وتتعارض مع المسؤوليات الأساسية للأعمال. أما الطريق الأسهل، وهو الموافقة التلقائية على ملفات الوصول الحالية، فلا يترتب عليه أي عواقب فورية، حتى وإن كان ذلك يؤدي إلى استمرار المخاطر.

والنتيجة هي ما يُعرف بـ«اللامبالاة المدفوعة بالتدقيق»: وهو سلوك مؤسسي مكتسب يتعامل فيه المراجعون مع حملات الاعتماد على أنها التزامات إدارية بدلاً من أن تكون أنشطة حقيقية لإدارة المخاطر. وهذه الديناميكية تعزز نفسها بنفسها. .

وفي الوقت نفسه، فإن أنواع المراجعات الأكثر احتمالاً للكشف عن مخاطر ذات أهمية، بما في ذلك مراجعات صلاحيات الأدوار، ومراجعات الاستثناءات من السياسات، ومراجعات الوصول إلى البيانات غير المنظمة، ومراجعات الهويات غير البشرية، هي من بين أقل المراجعات التي يتم إجراؤها شيوعاً. وتتطلب هذه المراجعات خبرة متخصصة في المجال ومساءلة عن المسؤولية، وهي عناصر لم تُصمم النماذج التي تركز على المشرفين لتغطيتها.

فجوة الإهمال وعواقبها القانونية

عندما تصبح الحوكمة عبئًا

طوال معظم العقدين الماضيين، كانت النتيجة الرئيسية لضعف إدارة الهوية هي العواقب التشغيلية: الاختراقات، وفقدان البيانات، والإضرار بالسمعة. أما المخاطر القانونية والتنظيمية، رغم واقعيتها، فقد كان يتم التعامل معها في الغالب من خلال التعهدات التصحيحية واتفاقيات التسوية.

هذا المنظور آخذ في التغير. فمتطلبات الإفصاح التي تفرضها لجنة الأوراق المالية والبورصات (SEC) تنص الآن على الإبلاغ الدقيق وفي الوقت المناسب عن الحوادث الجوهرية المتعلقة بالأمن السيبراني، كما تعمل الهيئات التنظيمية بنشاط على تقييم ما إذا كانت المؤسسات قد بذلت العناية المعقولة في ممارساتها الأمنية، وليس مجرد الامتثال لقائمة مراجعة. تضع لائحة DORA، السارية على جميع الكيانات المالية في الاتحاد الأوروبي، متطلبات صريحة لإدارة مخاطر تكنولوجيا المعلومات والاتصالات (ICT) والاستجابة للحوادث، والتي تمتد لتشمل ضوابط الوصول والهوية الخاصة بالأطراف الثالثة. متطلبات سياسة الأمن الخاصة بـ CJIS للوصول إلى معلومات العدالة الجنائية صارمة وغير قابلة للتفاوض، حيث تؤدي إخفاقات ضوابط الوصول إلى عواقب فيدرالية خطيرة. بالنسبة للمؤسسات المالية والوكالات الحكومية، يركز المدققون بشكل متزايد على ما إذا كانت الضوابط تعمل بشكل مستمر، وليس فقط ما إذا كانت موجودة أثناء آخر عملية تدقيق.

في هذا السياق، لن تأخذ الدعوى القضائية أو الإجراءات التنظيمية التي تلي وقوع خرق في الاعتبار ما إذا كانت المؤسسة تمتلك برنامج حوكمة أم لا. بل ستركز بدلاً من ذلك على ما إذا كان هذا البرنامج قيد التشغيل ويتم تطبيقه فعليًا وقت وقوع الحادث. وستسعى عملية الكشف عن الأدلة إلى الحصول على سجلات الوصول وسجلات الاعتماد وموافقات الاستثناءات والأدلة على تطبيق السياسة. ولن يكون السؤال فلسفيًا، بل سيكون استدلاليًا.

إن المنظمة التي لا تستطيع تقديم سوى سجلات الاعتماد السنوية دون أي دليل على المراقبة المستمرة لم تثبت امتثالها. بل إنها أظهرت الفجوة بين سياستها الموثقة ووضعها الأمني الفعلي، وقد فعلت ذلك في السياق الأكثر ضررًا على الإطلاق.

تحديد فجوة الإهمال

«فجوة الإهمال» هي الفجوة المتسعة بين ما تنص عليه وثائق السياسات الثابتة للمؤسسة وما تقوم به أنظمة الهوية الديناميكية فعليًّا بين دورات المراجعة. وهي ليست مجرد خطر نظري، بل هي تعرض موثّق للمخاطر يتزايد حجمه مع مرور كل يوم بين إجراءات الحوكمة.

هناك عدة عوامل تسهم في هذه الفجوة:

أولاً، انحراف الوصول: تراكم الاستحقاقات وتعيينات الأدوار (بما في ذلك تعريفات الأدوار التي عفا عليها الزمن) ومنح الأذونات التي تحدث بين فترات المراجعة دون أن تؤدي إلى اتخاذ أي إجراء إداري.

ثانياً، زمن الاستجابة للكشف: هو الوقت الذي ينقضي بين حدوث حالة شاذة في الوصول وإدراك المؤسسة لها من خلال عملية الحوكمة الخاصة بها.

ثالثًا، تأخر التصحيح: الفترة الزمنية الفاصلة بين اكتشاف الوصول المخالف للسياسة وإلغائه أو تصحيحه فعليًّا.

في حالة حدوث خرق، تُعد «ثغرة الإهمال» المجال الذي تقع فيه المسؤولية. وسيقوم محامو المدعي والجهات التنظيمية بتقييمها من الناحية الزمنية: ما هي المدة التي استمر فيها الوصول غير المصرح به، ومتى كان ينبغي اكتشافه، وما الذي كان سيتخذ برنامج حوكمة معقول بشكل مختلف.

الهويات غير البشرية: سطح الهجوم الذي لم يخضع للمراجعة

لقد اتسع نطاق الهويات بشكل كبير ليتجاوز المستخدمين البشريين. فحسابات الخدمات، ورموز API، وهويات الأجهزة، وروبوتات RPA، ووكلاء الذكاء الاصطناعي تشكل الآن حصة كبيرة من إجمالي الهويات في معظم بيئات المؤسسات. وغالبًا ما تعمل هذه الهويات غير البشرية بامتيازات عالية، ونادرًا ما تظهر في حملات المراجعة الإشرافية، كما أن نطاقات وصولها تتطور بشكل طبيعي مع تغير الأنظمة وعمليات التكامل.

من وجهة نظر المهاجم، تمثل الهويات غير البشرية هدفًا جذابًا للغاية: فهي تتمتع بامتيازات كبيرة، وتتميز بانخفاض مستوى الكشف عنها، وتتيح وقتًا طويلاً للبقاء داخل النظام قبل اكتشافها. ومن الناحية القانونية، تثير حسابات الخدمات المخترقة التي تُستخدم كقنوات للتحرك الأفقي تساؤلات محددة حول ما إذا كانت المؤسسات قد حافظت على رقابة فعالة على جميع أنواع الهويات، وليس فقط تلك التي تظهر في المخطط التنظيمي.

إن برامج الحوكمة التي لا تستطيع إثبات قدرتها على المراقبة الفعالة وتطبيق السياسات فيما يتعلق بالهويات غير البشرية تعمل في ظل ثغرة هيكلية يزداد وعي الجهات التنظيمية والمحامين والمنافسين بها.

حوكمة الدفاع النشط: إطار عمل للرقابة المستمرة

التحول الفلسفي

تمثل "حوكمة الدفاع النشط" (ADG) إعادة توجيه جذرية للطريقة التي يتم بها تصور حوكمة الهوية وتطبيقها. فالنموذج التقليدي يطرح السؤال التالي: "من الذي يمتلك حق الوصول؟" أما نموذج ADG فيطرح السؤال التالي: "لماذا تتمتع هذه الهوية بحق الوصول هذا، في الوقت الحالي، وهل يتوافق هذا الوصول مع السياسة الحالية وموقف المخاطر؟"

هذا ليس مجرد تمييز فلسفي. بل إنه يعكس تغييرًا هيكليًا في كيفية عمل الحوكمة ضمن بيئة العمليات الأمنية. في النموذج التقليدي، تعتبر الحوكمة وظيفة دورية، وهي عبارة عن حملة يتم تنفيذها، ثم تنتهي، ثم تنتظر حتى يتم استئنافها. أما في نموذج ADG، فإن الحوكمة عبارة عن تدفق مستمر للبيانات عن بُعد: حيث يتم تقييم كل حدث وصول، وإجراء توفير، وتغيير في الاستحقاقات وفقًا للسياسة في الوقت الفعلي، مع قدرات استجابة آلية لا تتطلب دورات مراجعة بشرية لتصبح سارية المفعول.

لا تختفي حملة الاعتماد الرسمية للوصول في هذا النموذج، بل يتم إعادة صياغتها. فبدلاً من أن تعمل كآلية رقابة أساسية، تُستخدم عمليات الاعتماد الدورية لتأكيد وتوثيق ما تم اكتشافه وإدارته وتوثيقه بالفعل من خلال الرصد المستمر. وتقوم الحملة بالتحقق من صحة النظام والسياسات، ولم تعد هي النظام نفسه.

القدرات الأساسية لبرنامج ADG

يعتمد برنامج حوكمة الدفاع النشط الفعال على عدة قدرات مترابطة:

مراقبة مستمرة للوصول مع تقييم السياسات في الوقت الفعلي، واستبدال دورات المراجعة الثابتة بمحفزات حوكمة تعتمد على الأحداث
تحديد أولويات الشهادات بناءً على المخاطر، وتوجيه جهود المراجعة البشرية نحو حقوق الوصول والهويات الأكثر عرضة للمخاطر، بدلاً من توزيعها بشكل متساوٍ على جميع حقوق الوصول
توفير الوصول "في الوقت المناسب" (JIT)، حيث يُمنح الوصول خلال فترة زمنية محددة عندما تقتضي المخاطر ذلك، ويكون هذا التوفير مرتبطًا بحاجة مؤكدة وليس بحق دائم
إدارة الهويات غير البشرية، والتي تنطوي على تطبيق نفس إجراءات المراقبة المستمرة وإنفاذ السياسات على حسابات الخدمات وبيانات اعتماد واجهة برمجة التطبيقات (API) والذكاء الاصطناعي وروبوتات أتمتة العمليات الروبوتية (RPA) وهويات الأجهزة، تمامًا كما هو الحال مع المستخدمين البشريين
قياس "الوقت حتى الإلغاء" (TTR)، الذي يتتبع المدة الزمنية المنقضية بين حدوث تغيير في الهوية وإلغاء حق الوصول المتأثر، باعتباره مؤشرًا أمنيًا أساسيًا

تسجيل آلي بمستوى التدقيق يولد سجلات مستمرة ومقاومة للتلاعب تتضمن قرارات الوصول وتقييمات السياسات وإجراءات الحوكمة، وتكون متاحة على الفور للمراجعة التنظيمية أو القانونية

الحوكمة في الوقت المناسب والتوافق مع نهج "الثقة الصفرية"

تتصدى حوكمة الوصول «في الوقت المناسب» لإحدى نقاط الضعف الهيكلية الأكثر استمرارًا في حوكمة الوصول التقليدية، ألا وهي «الامتيازات الدائمة». ففي معظم بيئات المؤسسات، يتم منح حق الوصول ثم يستمر سريانه إلى أن يتم إلغاؤه صراحةً، وهو ما يعني عمليًّا في كثير من الأحيان أن حق الوصول يستمر إلى أجل غير مسمى. وتُعد الامتيازات الدائمة عاملاً رئيسيًّا في تمكين «التحرك الأفقي» و«تصعيد الامتيازات» في الهجمات القائمة على الهوية.

تقلب حوكمة JIT هذا النموذج رأساً على عقب فيما يتعلق بطلبات الوصول عالية المخاطر، وليس بالنسبة للموارد اليومية مثل البريد الإلكتروني. فبدلاً من التعامل مع جميع الامتيازات على أنها دائمة حتى يتم إلغاؤها، فإنها تطبق منحاً محددة المدة وخاضعة لتقييم السياسات في الحالات التي يشكل فيها الوصول الدائم أكبر قدر من المخاطر. يصبح كل حدث وصول مرتفع أو حساس قرارًا إداريًا، وليس مجرد أثر قديم. والهدف ليس خلق احتكاك لكل طلب وصول، بل ضمان أن يكون الوصول، حيثما تقتضي المخاطر ذلك، متعمدًا ومحدودًا زمنيًا ومرتبطًا بحاجة تم التحقق منها، بدلاً من الوصول الدائم الذي يستمر لمجرد أنه تم منحه في الماضي.

يتوافق هذا النهج بشكل مباشر مع مبادئ بنية "الصفر ثقة" (Zero Trust)، ولا سيما متطلبات التحقق المستمر وتطبيق مبدأ "أقل الامتيازات". كما أنه ينتج أدوات الحوكمة الأكثر قابلية للدفاع عنها في سياق التنظيم أو التقاضي: فهذه الأدوات مزودة بختم زمني، ومرتبطة بالسياسات، وآلية، وتوضح ما تقوم به وظيفة الحوكمة في المؤسسة عمليًا بدلاً من ما تطمح إليه نظريًا. عندما يسأل المحققون عن سبب وصول هوية معينة إلى مورد معين في لحظة معينة، يقدم نموذج الحوكمة JIT إجابة دقيقة وموثقة.

قياس ما يهم حقًا

المؤشرات التي تعكس الواقع الأمني

لطالما قُيِّمت برامج الحوكمة من خلال معدلات إنجاز الحملات: أي النسبة المئوية للمراجعات التي تم اعتمادها خلال فترة زمنية محددة. ويكاد هذا المقياس أن يكون منفصلاً تمامًا عن النتائج الأمنية. فمعدل إنجاز الحملات بنسبة مائة بالمائة، الذي يتم تحقيقه من خلال الموافقات الشكلية، هو دليل على الامتثال الإداري، وليس على إدارة المخاطر.

يتطلب برنامج ADG مجموعة مختلفة من المقاييس، تركز على الوضع الأمني الفعلي وإمكانية الدفاع القانوني. وتشمل المقاييس الرئيسية التي يجب أخذها في الاعتبار ما يلي:

معدل تنفيذ السياسات (مستمر)، ليحل محل معدل إتمام الحملات باعتباره المؤشر الرئيسي للرقابة
معدل الكشف عن الحالات الشاذة في الوقت الفعلي، والذي يقيس النسبة المئوية للحالات الشاذة في الوصول التي تم الكشف عنها ضمن فترات زمنية محددة بموجب اتفاقية مستوى الخدمة (SLA)
"الوقت حتى الإلغاء" (TTR)، وهو تتبع الوقت المنقضي منذ حدوث حدث الهوية وحتى إلغاء حق الوصول
نطاق الهويات غير البشرية، وهو قياس النسبة المئوية للهويات غير البشرية الخاضعة لإدارة فعالة
معدل اعتماد الوصول الفوري (JIT)، الذي يقيس النسبة المئوية للوصول المتميز الممنوح عبر آليات الوصول الفوري مقارنة بالامتيازات الدائمة
اكتمال أدلة التدقيق، وقياس مدى توفر وسلامة سجلات الحوكمة المستمرة لأي فترة معينة

"مدة الصلاحية حتى الإلغاء" كمؤشر على مستوى مجلس الإدارة

يستحق "الوقت حتى الإلغاء" (TTR) اهتمامًا خاصًا لأنه يقيس بشكل مباشر الفترة الزمنية المتاحة للمهاجم عقب وقوع حدث متعلق بالهوية، سواء كان ذلك إنهاء الخدمة أو تغيير الدور الوظيفي أو اكتشاف حالة شاذة أو انتهاكًا للسياسة.

تقيس المؤسسات التي تمتلك قدرات ناضجة في مجال الحوكمة المستمرة "الوقت المستغرق في الاستجابة" (TTR) بالدقائق. أما المؤسسات التي تعتمد على دورات مراجعة دورية، فتقيسه بالأيام أو الأسابيع، أو حتى إلى أجل غير مسمى (إن قامت بقياسه أصلاً) بالنسبة لأنواع الوصول التي لا تشملها الحملات القياسية. هذا الاختلاف ليس مجرد فارق بسيط. إنه الفرق بين هجوم على الهوية يتم احتواؤه وآخر يتحول إلى خرق جوهري. بالنسبة للمؤسسات المالية والوكالات الحكومية، فإن هذا الاختلاف مهم بما يتجاوز مركز عمليات الأمن. يتوقع المفتشون بشكل متزايد إجابة دقيقة وموثقة عن مدى سرعة إلغاء الوصول بعد وقوع حدث محفز، وليس إشارة إلى دورة الاعتماد التالية.

كما يُعد «TTR» أحد أكثر المقاييس فعالية في تقديم التقارير إلى مجلس الإدارة، لأنه يُترجم القدرات الفنية في مجال الحوكمة إلى نتائج ملموسة في مجال الحد من المخاطر. فالمنظمة التي تستطيع إثبات أن متوسط «TTR» لديها يقل عن خمسة عشر دقيقة عقب وقوع حادثة اختراق، تكون قد أرسلت رسالة مهمة بشأن وضعها الأمني، وهو أمر لا يمكن لمعدل إتمام الحملات أن يعبر عنه.

اعتبارات التنفيذ

مستوى النضج

الانتقال من نهج إدارة الهوية (IGA) الذي يركز على الامتثال إلى نهج إدارة الهوية التكيفية (ADG) ليس تغييرًا يحدث في خطوة واحدة. بل هو مسار تطوري تتبعه معظم المؤسسات بشكل تدريجي، بدءًا من فئات الهوية الأكثر عرضة للمخاطر، ثم توسيع نطاق التغطية بمرور الوقت.

يمر نموذج النضج العملي لتطبيق ADG بأربع مراحل:

المرحلة 1 | التأسيسية: جرد مركزي للهويات، وسير عمل متسق لتوفير الخدمات وإلغاءها، وحملات اعتماد الوصول الأساسية. وتعد هذه المرحلة شرطًا أساسيًا لكل ما يليها.
المرحلة الثانية | الوعي بالمخاطر: إدخال نظام تقييم المخاطر للهويات والصلاحيات، وتحديد أولويات جهود المراجعة بناءً على درجة المخاطر، والتطبيق الأولي لقدرات الكشف عن الحالات الشاذة.
المرحلة 3 | مستمر: تقييم السياسات في الوقت الفعلي، ومحفزات الحوكمة المستندة إلى الأحداث، وقياس وقت الاستجابة (TTR)، والتكامل مع أدوات العمليات الأمنية. وهذا هو عتبة ADG.
المرحلة 4 | قابلة للدفاع: تطبيق حوكمة الوصول في الوقت المناسب (JIT) في الحالات التي يشكل فيها الوصول الدائم أكبر مخاطر، وتغطية كاملة للهويات غير البشرية، وتسجيل مستمر بمستوى التدقيق، وأتمتة إعداد التقارير التنظيمية. تمثل هذه المرحلة الاستعداد التام لمواجهة الدعاوى القضائية.

الذكاء الاصطناعي كعامل مضاعف للقوة في مجال الحوكمة المستمرة

إن حجم عمليات الوصول وتغييرات الصلاحيات وتفاعلات الهوية في المؤسسات الحديثة يجعل من غير الممكن عمليًا تنفيذ الحوكمة المستمرة يدويًّا. ولا تُعد التحليلات المدعومة بالذكاء الاصطناعي مجرد تحسين اختياري لبرنامج الحوكمة المستمرة في Active Directory (ADG)، بل هي مطلب أساسي في البنية التحتية.

عند تطبيقها بفعالية، يمكن لقدرات الذكاء الاصطناعي ضمن منصة إدارة الهوية (IGA) أداء العديد من الوظائف التي تتجاوز النطاق العملي لعمليات المراجعة التي يقوم بها البشر. يمكن لتحليلات السلوك تحديد أنماط الوصول الأساسية لكل هوية والإبلاغ عن الانحرافات التي تستدعي تقييم السياسات. كما يمكن لنماذج التعلم الآلي تقييم درجة مخاطر الصلاحيات الفردية ومجموعات الوصول، مما يتيح تحديد مجموعات الامتيازات الخطرة التي قد تغفلها عمليات المراجعة القياسية للأدوار. ويمكن لمعالجة اللغة الطبيعية تفسير وثائق السياسات وربط الصلاحيات بمقاصد السياسات، مما يتيح تقييم الامتثال آليًا بدلاً من التفسير اليدوي.

والأهم من ذلك، يجب أن تستند قرارات الوصول التي تعتمد على الذكاء الاصطناعي إلى درجات مخاطر قابلة للتحقق وارتباطات موثقة بالسياسات، وليس مجرد مخرجات النماذج. إن العنصر الإداري المهم في السياق القانوني أو التنظيمي ليس أن الذكاء الاصطناعي اتخذ قرارًا، بل أن القرار اتُخذ وفقًا لعملية تقييم سياسات موثقة وقابلة للتدقيق، مع تسجيل أساس المخاطر في وقت اتخاذ القرار.

إعادة تعريف الحوكمة باعتبارها وظيفة أمنية

ولعل التحدي الأهم الذي يواجه عملية الانتقال إلى نموذج ADG هو تحدي تنظيمي أكثر منه تقني. فغالبًا ما تندرج برامج إدارة الهوية المؤسسية (IGA) التقليدية ضمن أقسام الامتثال أو تكنولوجيا الموارد البشرية أو عمليات تكنولوجيا المعلومات. أما نموذج ADG فيتطلب معاملة حوكمة الهوية كقدرة أمنية أساسية، متكاملة مع عمليات الأمن والاستجابة للحوادث ومعلومات التهديدات.

إن إعادة تحديد دور ADG في هذا السياق تنطوي على آثار عملية. فمن الضروري أن تظهر مؤشرات الحوكمة في تقارير العمليات الأمنية، وليس فقط في لوحات معلومات الامتثال. كما يجب أن تُدرج الحالات الشاذة المتعلقة بالحوكمة في سير عمل أنظمة SIEM وSOAR. ويجب أن يكون للقيادة المعنية بالحوكمة خط اتصال مباشر مع القيادة الأمنية، لا علاقة تبعية تتم عبر وظائف الامتثال أو التدقيق.

ويستلزم هذا التحول أيضًا تغييرًا في طريقة تقييم الاستثمارات في مجال الحوكمة. فالإنفاق على البنية التحتية المستمرة للحوكمة ليس تكلفة للامتثال. بل هو استثمار أمني له نتائج قابلة للقياس في مجال الحد من المخاطر، وله تأثير مباشر على أقساط التأمين السيبراني، والموقف التنظيمي، وموقف الشركة في الدعاوى القضائية.

ضرورة الدفاع

لا تتمثل الفكرة الرئيسية لهذه الورقة في أن الامتثال غير ذي أهمية. تؤدي أطر العمل مثل SOC 2 و DORA وسياسة أمن CJIS وظائف مهمة: فهي تحدد التوقعات الأساسية، وتوفر هيكلًا للتدقيق، وتخلق آليات للمساءلة. الحجة هي أن الامتثال، كما تمارسه معظم المؤسسات حاليًا، غير كافٍ، وأن هذا النقص لم يعد مجرد خطر أمني. بل هو خطر قانوني وسمعي.

لقد تطورت المخاطر المتعلقة بالهوية إلى درجة أصبحت فيها أي خطة حوكمة لا تستطيع إثبات قدرتها على فرض ضوابط وصول مستمرة ومفروضة بموجب السياسات وفي الوقت الفعلي، تعمل في ظل تعرض هيكلي للمخاطر. لا تزال المراجعات الدورية تلعب دورًا، كإثبات وتأكيد للضوابط المستمرة، وكآلية لتحسين السياسات، وكنتيجة تنظيمية. لكنها لا يمكن أن تكون الضابط الرئيسي. فالمخاطر لا تنتظر دورات المراجعة.

إن المؤسسات التي تنتقل إلى نموذج ADG لا تكتفي ببناء برنامج أمني أكثر فعالية فحسب، بل إنها تبني نهجًا إداريًا يمكن الدفاع عنه في السياقات الأكثر أهمية: التحقيقات التنظيمية، ومناقشات مجلس الإدارة، والتحقيقات التي تلي حوادث الاختراق، وحتى في قاعة المحكمة إذا لزم الأمر.

السؤال ليس ما إذا كانت مؤسستك تمتلك سياسة حوكمة أم لا. بل السؤال هو ما إذا كان بإمكانك إثبات أنها كانت فعالة في الأوقات الحاسمة، وأنها لا تزال فعالة حتى اليوم.

نبذة عن هذه الورقة

أعد خبراء حوكمة وإدارة الهوية في RSA ورقة المواقف هذه. وتهدف إلى تزويد الممارسين وقادة البرامج والمسؤولين التنفيذيين المعنيين بإطار عمل لتقييم وتطوير نهجهم في حوكمة الهوية، بحيث يتجاوز أنشطة الامتثال الدورية ويتجه نحو نموذج مستمر وقابل للدفاع عنه يُعرف باسم «حوكمة الدفاع النشط».

قد تكون مهتمًا أيضًا ب...

حوكمة الهوية وإدارتها

ليس لديك مشكلة في السلطة الحكومية الدولية. لديك مشكلة بيانات.

اقرأ الآن

حوكمة الهوية وإدارتها

لماذا تنهار السلطة الحكومية الدولية التقليدية في البيئات الحديثة - وكيف يمكن لنهج أكثر تركيزًا إصلاحها

اقرأ الآن

حوكمة الهوية وإدارتها

تحديث حوكمة RSA ومراجعات الوصول إلى دورة حياة RSA تسريع العمل وتقليل الجهد المبذول

اقرأ الآن

طلب عرض توضيحي

احصل على عرض توضيحي