كشفت شركة Qualys عن نتائج تقريرها لعام 2025 بشأن تقييم حالة مخاطر الأمن السيبراني، والذي أظهر وجود ثغرات كبيرة في برامج إدارة تلك المخاطر لدى المؤسسات، رغم تزايد الاستثمارات في هذا المجال.

وقد أُجريت الدراسة بتكليف من Qualys، ونفذتها منصة Dark Reading، وتوصّلت إلى أن معظم المؤسسات لا تزال تجد صعوبة في مواءمة برامج إدارة المخاطر السيبرانية مع أولويات الأعمال. فبينما أفادت 49% من المؤسسات المشاركة في الدراسة بامتلاكها برنامجًا رسميًا لإدارة هذه المخاطر، فإن 18% فقط تستخدم سيناريوهات مخاطر متكاملة تقيس التأثير على الأعمال، بما في ذلك نقل الخطر عبر التأمين.

وأشار التقرير إلى أن 30% فقط من المؤسسات تنجح في مواءمة برامجها مع الأهداف التجارية، في حين أن 43% من هذه البرامج لم يمضِ على إطلاقها سوى أقل من عامين، و19% لا تزال قيد التخطيط.

ورغم تزايد حجم الإنفاق على الأمن السيبراني، يرى 71% من المشاركين أن مستوى الخطر السيبراني إما في ازدياد أو لم يشهد تغييرًا، إذ:

• يرى 51% أن التعرّض للمخاطر آخذ في التزايد

• يرى 20% أن مستوى الخطر لم يتغير

• أشار 6% فقط إلى حدوث انخفاض في مستوى الخطر

ولا تزال رؤية الأصول الرقمية تمثّل تحديًا رئيسيًا؛ إذ تؤكد 83% من المؤسسات أنها تجري جردًا دوريًا لأصولها، غير أن 13% فقط تقوم بذلك بشكل مستمر. كما تعتمد 47% من المؤسسات على العمليات اليدوية، فيما تعتبر 41% أن عدم اكتمال الجرد يُعد من أبرز العوائق.

وفي ما يتعلق بتحديد أولويات المخاطر، لا تزال المنهجيات تعاني من نقص في النضج؛ إذ تستخدم 68% فقط أساليب تقييم مخاطر متكاملة، بينما تعتمد 19% على مؤشرات CVSS فقط، و18% تقوم بتحديث ملفات المخاطر للأصول شهريًا.

وعلى الرغم من أن 90% من المؤسسات تُقدّم تقارير عن المخاطر السيبرانية إلى مجالس إداراتها، فإن 14% فقط تتضمن تقاريرها تحليلات مالية، و22% فقط تُشرك الفرق المالية. كما لا يُشرك أصحاب المصلحة من فرق الأعمال سوى في أقل من نصف الحالات.

من جهته، صرّح مايورش إكتاري، نائب رئيس إدارة المنتجات في Qualys، بأن الأساليب الحالية لا تفي بالغرض في تقليل المخاطر السيبرانية، مشددًا على أهمية اعتماد نموذج “مركز عمليات المخاطر” (ROC) الذي يُدمج بين بيانات الثغرات، والأصول، والتهديدات، لتوفير رؤية موحدة وشاملة.

وأوصى التقرير المؤسسات بما يلي:

• فهم المخاطر وتحديد أولوياتها استنادًا إلى الأصول الحيوية للأعمال

• استخدام مؤشرات مخاطر متنوعة تتجاوز الفحص التقليدي للثغرات

• الانتقال من الاستجابة للحوادث إلى منهج استباقي لتقليل المخاطر

واختتم إكتاري بالإشارة إلى أن دمج سيناريوهات المخاطر ذات التأثير المباشر على الأعمال من شأنه تحسين التواصل مع مجالس الإدارة، ودعم اتخاذ قرارات استراتيجية أكثر فاعلية.

مقالات ذات صلة

عرض الكل