في عام 2023، يستثمر الرؤساء التنفيذيون لأمن المعلومات (CISOs) ومديرو إدارة الهوية والوصول (IAM) بكثافة في حلول الهوية الموحدة التي تتمتع بأمن قوي في جوهرها.
إنهم يقومون بهذا التحول لأن حلول الهوية المجزأة لم تعد قادرة على تأمين الأعداد المتزايدة من المستخدمين والأجهزة والاستحقاقات والبيئات - والتكاليف والمخاطر والتعقيدات المتزايدة الناتجة عن هذا النمو. تفي الهوية بحالات استخدام متعددة عبر المؤسسات: فهي تمنع المخاطر الأمنية وعمليات الاستيلاء على الحسابات والاختراقات الأمنية من خلال المصادقة متعددة العوامل (MFA). وتوفر تجربة أفضل للمستخدمين من خلال إمكانات الدليل وتسجيل الدخول الأحادي (SSO) التي تسهل إدارة الوصول بشكل أسهل. يمكن أن توفر الهوية وصولاً آمناً عبر ملكية تكنولوجيا المعلومات، بما في ذلك الأجهزة المحمولة والتطبيقات السحابية وتسريع التحول الرقمي.
ويمثل هذا الاتجاه نحو حلول منصة الهوية الموحدة تعديلاً عن النمط السائد على مدى السنوات الثلاث الماضية الذي يركز على المصادقة القوية للموظفين عن بُعد، ويوسع نطاق الأمن عبر جميع مكونات الهوية. ويزعم مدراء أمن المعلومات وخبراء الأمن وفرق تكنولوجيا المعلومات أنهم يواجهون تحولات دراماتيكية في الثقافة والأمن، حيث يفسح العمل من المنزل المجال للعودة إلى المكتب، كل ذلك في الوقت الذي يتحول فيه الموظفون إلى معطفهم ويغيرون وظائفهم في كل لحظة. وتعني هذه التحولات أن بيانات اعتماد كل مستخدم هي طريق لخروقات مدمرة للبيانات - فكل مستخدم هو مستخدم ذو امتيازات وصول مميزة.
استجاب البائعون مثل مايكروسوفت وشركات الاستثمار مثل توما برافو من خلال إضافة إدارة الوصول وخدمات الدليل والمصادقة بدون كلمة مرور ووظائف الهوية الأخرى بسرعة إلى محافظهم الخاصة. ومع ذلك، يتطلع مدراء أمن المعلومات الذين تمت مقابلتهم في هذا التقرير، مع استثناءات قليلة، إلى البائعين الذين يركزون على الأمن لمنع الهجمات القائمة على الهوية الأمنية، واكتشاف التهديدات الأمنية، وإنتاج منصة أو نسيج أو تجربة هوية موحدة تركز على الأمن.
أجرت شركة Impact Leaders، بالنيابة عن RSA Security، مقابلات مطولة مع 25 مديراً تنفيذياً في الشركات الكبيرة حول خطط إنفاقهم لعام 2023 وتصوراتهم لاستراتيجية الهوية والتحول الرقمي ومجال إدارة الوصول والهجمات القائمة على الهوية والتقنيات والاتجاهات.
علاوةً على ذلك، في يناير 2023، استشارت شركة Impact Leaders عبر الهاتف ستة من كبار المسؤولين التنفيذيين في الشركات الكبيرة التي يبلغ متوسط إيراداتها $40 مليار دولار أمريكي للحصول على اقتباسات ورؤى ذات صلة حول وجهات نظرهم حول الهوية الموحدة التي تركز على الأمن.
يرى مدراء أمن المعلومات أن مزود واحد يركز على الأمن هو الشريك المناسب للهوية في المستقبل. يُظهر بحث "إمباكت ليدرز" أن مدراء أمن المعلومات لديهم آراء قوية حول سبب تركيزهم على الهوية الآن، وسبب أهمية التجربة الموحدة، وسبب أهمية التركيز الأمني من قبل مزودي الهوية المفضلين لديهم.
يشعر المديرون التنفيذيون في مجال تكنولوجيا المعلومات بالضغط لتوسيع نطاق حماية البيانات من مجرد الدفاع عن محيط الأمن إلى الدفاع المتعمق. ومع العمل عن بُعد، يمكن القول إن الهوية أصبحت الامتداد الأبعد لهذا المفهوم: فهي المحيط الجديد حيث يعمل الموظفون من المنزل ومساحات العمل المشتركة والمقاهي والأماكن العامة الأخرى.
وفقًا لتقرير تحقيقات اختراق البيانات لعام 2022 الصادر عن شركة Verizon (DBIR)، فإن 82% من الاختراقات تضمنت استخدام بيانات اعتماد مسروقة والتصيد الاحتيالي وغيرها من نقاط الضعف البشرية كنقطة انطلاق للاختراقات الأمنية.1
لا توجد مؤسسة آمنة بدون خطة للتعامل مع المخاطر الأمنية مثل بيانات الاعتماد والتصيّد الاحتيالي والاستيلاء على الحسابات وغيرها من الثغرات الأمنية بشكل آمن.2 كما أظهر تقرير تحليل بيانات المجرمين أن المجرمين يزيدون من استغلالهم لبيانات اعتماد المستخدمين بمعدل يضاهي السنوات الخمس الماضية مجتمعة.3
سواءً كانت المؤسسة تغمس إصبع قدمها في بركة "المصادقة القوية" أو تقوم بتجديد التحكم في الوصول لدعم التحول المفاجئ إلى قوة عاملة عن بُعد، فإن الهوية تمثل أكثر من مجرد مشروع أمني آخر. إنها المقياس الأكثر دقة لصحة برنامج إدارة المخاطر بشكل عام.
100% من الرؤساء التنفيذيين لأمن المعلومات وقادة التكنولوجيا الذين شملهم الاستطلاع يقدرون فعالية التكلفة على التكلفة وحدها.
عندما تنمو شركة ما - سواء كانت تنمو بشكل عضوي أو عن طريق الاستحواذ - يمكنها الاعتماد على الهوية لتسهيل عمليات دمج الشركات المستحوذ عليها، ودمج الخدمات السحابية، ومساعدة الموظفين الداخلين في عملية الانتقال بشكل أسهل ووقت أسرع لتحقيق الإنتاجية الكاملة. كما أنها تساعد أيضاً في عمليات تسريح الموظفين؛ حيث يسهل إلغاء التعيين لأنه يمكن أتمتته. باختصار، الهوية هي أساس إدارة المخاطر التقنية.
شرح المديرون التنفيذيون في مجال تكنولوجيا المعلومات والأمن الذين تمت مقابلتهم من أجل هذا التقرير بالتفصيل استراتيجياتهم لتسجيل الدعم للهوية الموحدة التي تركز على الأمن. وقالوا إنهم يحصلون على المزيد من الميزانية، والمزيد من عدد الموظفين، والمزيد من الدعم الدائم من الإدارة العليا لمبادرات الهوية من خلال التركيز على القيمة في أعلى وأسفل الميزانية العمومية. حيث يُظهر الخط السفلي قيمة التكاليف التي تم تجنبها، مثل الحد من المخاطر، وتقليص حجم الأعمال، والامتثال التنظيمي، ومنع الاختراقات الأمنية، وما إلى ذلك، بينما يُظهر الخط العلوي قيمة الفوائد التي تم الحصول عليها، مثل الإيرادات، والأعمال الجديدة، ومعدلات التجديد، وتحسين تجارب المستخدمين، وما إلى ذلك. تتبع الهوية الموحدة التي تركز على الأمن في كل من الخطين العلوي والسفلي للميزانية العمومية في أربعة محاور (الشكل 1).
الشكل 1: دوافع الأعمال لحلول الهوية
المصدر: إمباكت ليدرز
أشار أكثر من نصف مدراء أمن المعلومات إلى أن الجانب "الأكثر إزعاجاً" في مسألة الهوية هو العمل مع أربعة أو أكثر من مزودي خدمات الهوية. ثلثا مدراء أمن المعلومات يفضلون وجود مزود واحد أو اثنين من مزودي الهوية بدلاً من عدة بائعين.
بينما يعتقد عدد قليل فقط من مديري أمن المعلومات (أقل من 10%) أن سوق الأمن السيبراني بعد عقد من الآن سوف ينحصر في عدد قليل من كبار المزودين، مثل مايكروسوفت وبالو ألتو نتوركس وأمازون وتوما برافو، إلا أن هذا ببساطة أمر مستبعد.
لقد تمت تجربة الاندماج في صناعة الأمن عشرات المرات على مدار الأربعين عاماً الماضية ولم تنجح.
يتدافع مزودو الموارد السحابية الكبار اليوم لبناء محافظ منتجاتهم ودمج ما أمضت المؤسسات عقودًا من الزمن في صقله في مراكز البيانات الخاصة بها في غضون سنوات قليلة.
إن اندفاع هؤلاء المزودين الكبار إلى أن يكونوا "كل شيء في مجال تكنولوجيا المعلومات" يخلق مقاومة طبيعية في تبني الشركات، لأن مزودي الخدمات السحابية الكبار لن يواكبوا ديناميكيات الأعمال سريعة الحركة أو يعالجوا المخاطر الأمنية سريعة التطور. وعلاوة على ذلك، لن تضع الشركات الكبيرة كل بيضها في مزود واحد للخدمات السحابية، وفقاً لأبحاث شركة Impact Leaders.
لا يركز مقدمو الخدمات السحابية الكبار على الأمان. قد يأخذون الأمر على محمل الجد، ولكن هذا يختلف عن جعله سبب وجودهم. اليوم ولسنوات قادمة، يخطط مدراء أمن المعلومات للاستعانة بمزودي خدمات متخصصين لمعالجة أكبر شرائح فطيرة أمن تكنولوجيا المعلومات: المخاطر الأمنية، والهجمات القائمة على الهوية، والهوية والوصول هي شرائح يريد مدراء أمن المعلومات وفرق تكنولوجيا المعلومات أن يهتموا بها في لقمة واحدة.
يقول 72% من المديرين التنفيذيين في مجال تكنولوجيا المعلومات أن الأمن هو العامل الأساسي عند اختيار مزود الهوية.
يرغب مدراء أمن المعلومات الذين يبحثون عن حلول الهوية اليوم في الحصول على شريك بائع يمكنهم الاعتماد عليه، شريك يدمج البنية التحتية للهوية ودورة حياتها بالكامل، وشريك يعكس أفضل الممارسات من خبراء الأمن:
"لا يمكن أن يكون Windows شريكنا الأمني الوحيد. فهو لا يقوم بالقدر الكافي للتأمين والتكامل مع بيئتنا المجزأة ومئات التطبيقات النهائية."
-CISISO، $30bn شركة المنتجات الاستهلاكية
هذا ما قاله أحد مدراء أمن المعلومات عندما سُئل عن سبب تفضيلهم لمحفظة منتجات موحدة من مزود يركز على الأمن:
"لا يمتلك موظفونا في كثير من الأحيان هواتف ذكية في العمل، ومع ذلك ما زلنا بحاجة إلى مستوى عالٍ من الأمان في كل جزء من أجزاء هويتنا وبصمة الوصول. لديّ آمال كبيرة في المصادقة متعددة العوامل (MFA) بدون كلمة مرور في المستقبل، ولكنني اليوم بحاجة إلى شريك يمكنه إنجاز الهوية وتشغيلها والحفاظ على أمانها."
-مدير تنفيذي، شركة تصنيع رقاقات 500 الثرية
حصل أحد الاتحادات الائتمانية الوطنية، وفقًا لما ذكره رئيس قسم المعلومات لديه، على $2.9 مليون دولار أمريكي في صافي الفوائد التي تعود على البنية التحتية والمخاطر على مدار عامين من خلال نشر حل هوية موحد يركز على الأمن:
"لقد سمعنا قصصًا مرعبة من أقراننا في الاتحادات الائتمانية الأخرى، ومن الشركات المحلية في مجال الرعاية الصحية، الذين تعرضوا للهجوم واضطروا إلى دفع فدية بعملة البيتكوين أو توقفوا عن العمل لأيام أو أسابيع أثناء استعادة العمليات. لقد علمنا أن الأمر بالنسبة لنا كان مجرد مسألة وقت حتى نتعرض للهجوم."
-مدير تنفيذي، اتحاد ائتماني وطني
يرغب 841% من المشاركين في الاستطلاع في أن تتكامل حلول الأمان مع مايكروسوفت، بينما لا يرغب 921% من المشاركين في الاستطلاع في الاعتماد كلياً على أمان مايكروسوفت.
مايكروسوفت هي المزود الحالي والمحترم للبنية التحتية المحلية في معظم المؤسسات الكبيرة. كما أن مايكروسوفت هي أيضًا مزود خدمات سحابية محترم مع Microsoft Azure Active Directory ومجموعة متنامية من التطبيقات السحابية.
يتمثل التحدي الذي يواجهه مدراء أمن المعلومات في أن Microsoft لا تقدم نفس المنتجات بنفس الوظائف لكل من البيئات السحابية والموارد المحلية. إنها في الأساس محفظتان من المنتجات التي لا يمكنها تكرار الأداء في عمليات النشر الخاصة بكل منهما.
كل بيانات اعتماد هي هدف للمجرمين المتمرسين؛ لذلك يجب التعامل مع كل مستخدم على أنه يتمتع بامتيازات الوصول.
يفضل مدراء أمن المعلومات توحيد الهوية بدلاً من وجود مزود واحد أو اثنين. ينتج عن مزود هوية موحد يركز على الأمن فوائد قابلة للقياس في كل من تطوير نظام أمني أقوى، ومنع المخاطر، وتعزيز تجربة المستخدم.
الهوية هي جانب البنية التحتية لتكنولوجيا المعلومات الذي له التأثير الأكبر على مخاطر المؤسسة. التركيز الأمني هو العامل الأساسي المستخدم في اختيار مزود الهوية.
تستند هذه المقالة إلى تقرير قادة التأثير الأصلي. اطلع على التقرير الأصلي هنا.
