"إتش بي": دراسة حديثة تكشف المخاطر الأمنية المترتبة على سوء إدارة تصاريح الاستخدام

بيان صحفي

تاريخ النشر: 27 ديسمبر 2011 - 10:05 GMT

Al Bawaba

بينت الدراسة العالمية الحديثة التي كشفت "إتش بي" عن نتائجها اليوم بأن المصدر الأول للتهديدات الأمنية المتزايدة التي تتعرض لها البيانات الحساسة والسرية في موقع العمل هو الثغرات في آلية ضبط ومراقبة نشاط المستخدمين الحاصلين على تصاريح خاصة وواسعة، بما يتضمن مدراء قواعد البيانات ومهندسي الشبكات وأخصائيي أمن تقنية المعلومات.

وقد كشفت نتائج هذه الدراسة، المعنونة "غياب الضوابط الأمنية في تصاريح الاستخدام الخاصة الممنوحة لبعض المستخدمين"، والتي تم إجراؤها من قبل معهد "بونيمون"، عن الحقائق الآتية:

رجح المشاركون في الاستبيان (بنسبة 52%) حصولهم على تصاريح تخولهم الاطلاع على معلومات محظورة وسرية لا حاجة لهم بالاطلاع عليها وتتجاوز متطلبات المناصب التي يشغلونها.

رجح المشاركون في الاستبيان (بنسبة تتجاوز 60%) بأن المستخدمين الحاصلين على التصاريح الخاصة يقومون بالاطلاع على البيانات السرية من باب الفضول لا بموجب متطلبات العمل.

تعتبر معلومات العملاء وبيانات الأعمال العامة الأكثر عرضة للمخاطر الأمنية، أما التطبيقات الأكثر عرضة فغالباً ما تتضمن التطبيقات المتنقلة وتطبيقات الإعلام الاجتماعي والتطبيقات الخاصة بوحدات الأعمال.

ادعى العدد الأكبر من المشاركين في الاستبيان الذي تم إجراؤه في إطار هذه الدراسة بأنهم يمتلكون سياسات واضحة ومحددة لضبط نشاطات الأفراد الحاصلين على تصاريح الاستخدام الخاصة التي تضمن لهم حقوق الدخول إلى مجموعة معينة من أنظمة تقنية المعلومات، إلا أن عدم الثقة بمدى إمكانية مراقبة بعض التصاريح المحددة كان الموقف الواضح لدى 40% من المشاركين، حيث لم يكونوا متأكدين من مدى التزام أصحاب التصاريح الخاصة بالسياسات المعتمدة في هذا المجال.

تلجأ المؤسسات إلى طرق مختلفة للحفاظ على سيطرتها على هذا النوع من المسائل الأمنية. وقد أكدت نسبة 27% من المشاركين بالاستبيان بأن مؤسساتهم تستخدم الضوابط التقنية للهوية وتصاريح الدخول المرتبطة بها لمراقبة حالات تشارك تصاريح إدارة النظم الحاسوبية أو تصاريح الاستخدام الفائقة من قبل المستخدمين الذين تم منحهم إياها، في حين أكدت نسبة 24% من المشاركين بأنهم يجمعون بين التقنية وآليات العمل. وقد أقرت نسبة 15% من المشاركين بضعف الضوابط المفروضة على تصاريح الاستخدام الخاصة، فيما أكدت نسبة 11% بأنهم غير قادرين على الكشف عن حالات تشارك الحقوق المترتبة على تصاريح الاستخدام الخاصة.

وبهذا الصدد، قال تايفون توبكوك، المدير الإقليمي للبرمجيات في "إتش بي" الشرق الأوسط: "تلقي هذه الدراسة الضوء على المخاطر التي لا تعيرها المؤسسات القدر من الاهتمام الذي توليه عادة لتنصيب ملفات إصلاح الأخطاء الحرجة في الأنظمة والدفاع عن محيط موقع العمل وغيرها من القضايا الأمنية، وذلك بالرغم من كونها تشكل تهديدات فعلية وثغرات تعرض البيانات الحساسة للخطر. وتأتي نتائج هذا البحث الهام لتؤكد بوضوح على الحاجة الملحة للارتقاء بإدارة سياسات تصاريح الاستخدام، إلى جانب حلول الذكاء الأمني المتطورة، مثل حلول الهوية والمحتوى للمستخدمين الحاصلين على تصاريح خاصة، وذلك لتحسين عملية المراقبة الأمنية بالغة الأهمية".

لقد شمل الاستبيان الخاص بهذه الدراسة أكثر من 5 آلاف مدير من مدراء عمليات وأمن تقنية المعلومات في كل من أستراليا والبرازيل وفرنسا وألمانيا وهونغ كونغ والهند وإيطاليا واليابان وكوريا وسنغافورة وإسبانيا والولايات المتحدة الأمريكية والمملكة المتحدة. وقد تضمنت النتائج الأخرى التي تكشفت عنها الأبحاث الحقائق التالية:

تتضمن المعوقات الرئيسية التي تواجه عملية تطبيق حقوق المستخدمين الحاصلين على تصاريح الاستخدام الخاصة عدم القدرة على مواكبة طلبات التغيير والآليات غير المتسقة للحصول على الموافقات، وارتفاع تكاليف المراقبة وصعوبة التحقق من التغيرات التي تصيب التصاريح.

تشتمل مجالات التطوير والتحسين على مراقبة نشاط المستخدمين الحاصلين على تصاريح الاستخدام الخاصة عند قيامهم بنشاطات تتطلب تصاريح الإدارة الفائقة وتحديد الخروقات في تطبيق السياسات المعتمدة على مستوى المؤسسة ككل.

تتنوع احتمالية إساءة استغلال تصاريح الاستخدام الخاصة من دولة لأخرى وفق النتائج التي تم التوصل إليها والتي أشارت إلى أن خطورة الخروقات تبلغ أعلى مستوياتها في فرنسا وهونغ كونغ وإيطاليا، في حين تصل إلى حدها الأدنى في ألمانيا وسنغافورة واليابان.

أكدت نسبة 80% من المشاركين في الاستبيان بأن تنصيب حل للمعلومات الأمنية وإدارة الأحداث يشكل عاملاً محورياً في التحكم بحقوق المستخدم الحاصل على تصريح الاستخدام الخاص وإدارتها وضبطها.

وبدوره قال لاري بونيمون، مؤسس ورئيس مجلس إدارة معهد بونيمون: "تهدف هذه الدراسة إلى تعزيز فهمنا لمستوى حوكمة تصاريح الاستخدام في الشركات العالمية واحتمالات اساءة استغلال المستخدمين الحاصلين على التصاريح الخاصة لموارد تقنية المعلومات واستخدامها لأغراض غير سليمة. وقد تكشفت نتائج هذه الدراسات عن العديد من المظاهر المقلقة، وبينت بوضوح أن العوامل الأكثر أهمية للنجاح في التحكم بحقوق المستخدمين الحاصلين على تصاريح الاستخدام الخاصة وإدارتها وضبطها على مستوى المؤسسة المعنية هي الميزانية المخصصة وتقنيات إدارة الهويات وتصاريح الاستخدام وتقنيات ذكاء الشبكات".

خلفية عامة

"إتش بي" الشرق الأوسط

"إتش بي" شركة تكنولوجيا تعمل في أكثر من 170 بلد حول العالم. وتكتشف "إتش بي" كيف يمكن أن تساعد التكنولوجيا والخدمات الأشخاص على حل مشكلاتهم ومواجهة تحدياتهم وإدراك مسؤولياتهم وطموحاتهم وأحلامهم. وتطبق فكر وأفكار جديدة لإنشاء خبرات أكثر بساطة وقيمة وموثوق فيها من خلال التكنولوجيا، بالإضافة إلى تحسين ظروف معيشة عملائها وعملهم باستمرار.

لا توفر أي شركة أخرى مجموعة منتجات تكنولوجية متكاملة مثلما تفعل "إتش بي"، فهي توفر البنية التحتية وعروض الأعمال التي تبدأ من الأجهزة اليدوية لمعظم أقوى تركيبات أجهزة الكمبيوتر العملاقة في العالم. وتوفر للعملاء مجموعة متنوعة من المنتجات والخدمات من التصوير الرقمي إلى التسلية الرقمية ومن الحوسبة إلى الطباعة المنزلية. من ناحية أخرى، تساعدها هذه المجموعة الشاملة على مطابقة المنتجات والخدمات والحلول الصحيحة لتلبية احتياجات عملائها.