تتطور ممارسات حوكمة أمن المعلومات وفقاً لآخر التقارير السنوية المتعلقة بخصوصية المستخدم النهائي، أو إدارة مخاطر تقنية المعلومات، أو أمن المعلومات، أو استمرارية الأعمال، أو الامتثال التنظيمي، والصادرة عن مؤسسة الدراسات والأبحاث العالمية جارتنر. حيث شملت الدراسة الاستقصائية التي قامت بها مؤسسة جارتنر 964 مستفتى يعملون في كبرى المؤسسات ضمن سبع دول، وذلك خلال الفترة ما بين شهري (فبراير/ شباط وأبريل/ نيسان 2015).

في هذا السياق قال نائب الرئيس وزميل مؤسسة الدراسات والأبحاث العالمية جارتنر، توم شولتز: «إن رفع مستوى الوعي حول مدى تأثير مخاطر الأعمال الرقمية، إضافة إلى المستويات العالية من الشيوع المتعلق بحوادث الأمن الإلكتروني، يجعل من مخاطر تقنية المعلومات قضية مطروحة على طاولة مجلس الإدارة. فقد أشار 71 في المئة ممن شملتهم الدراسة إلى أن بيانات إدارة مخاطر تقنية المعلومات تؤثر على القرارات الصادرة عن مجلس الإدارة، وهو ما يعكس ارتفاع مستوى التركيز على معالجة مخاطر تقنية المعلومات كجزء من حوكمة الشركات».

ويتابع توم شولتز حديثه قائلاً: «إن الأسباب الرئيسية الداعية إلى تسلسل رفع التقارير إلى خارج محيط تقنية المعلومات ترمي إلى تحسين الفاصل ما بين التنفيذ والرقابة، وذلك من أجل تعزيز مكانة الشركة في مجال توظيف أمن المعلومات، وللخروج من العقلية السائدة بين الموظفين والأطراف المعنية والتي تقول إن «الأمن هي مشكلة متعلقة بتقنية المعلومات». كما أن المؤسسات تدرك وبوتيرة متنامية أن الأمن يجب أن يُدار ضمن قضايا مخاطر الأعمال، وليس فقط كقضية تشغيلية مرتبطة بتقنية المعلومات. وهناك تفهم متزايد حول التحديات التي يثيرها الأمن الإلكتروني، والتي تتجاوز النطاق التقليدي لتقنية المعلومات لتشمل مجالات أخرى مثل أمن التقنيات التشغيلية OT، وأمن إنترنت الأشياء IoT».

من جهة أخرى، نلحظ تحسناً في مستوى الأسبقية التي تتم من خلالها رعاية واحتضان البرمجيات الأمنية، فقد أشار 63 في المئة من المستفتين إلى أنهم يتلقون الرعاية والدعم الخاصين ببرامج أمن المعلومات من القيادة التي تقع خارج نطاق مؤسسة تقنية المعلومات، وتمثل هذه النسبة زيادة كبيرة من 54 في المئة حققتها خلال العام 2014. أما مستوى رعاية الرئيس التنفيذي و/أو مجلس الإدارة فقد حافظ على ثباته بنسبة 30 في المئة (29 في المئة حققها في العام 2014)، في حين ارتفع مستوى الرعاية المقدمة من قبل اللجنة الإدارية من 7 إلى 12 في المئة. وهنا تجدر الإشارة إلى وجود العديد من الاختلافات الإقليمية المثيرة للاهتمام، فـ 57 في المئة من المستفتين من أميركا الشمالية أشاروا إلى أن الرعاية تأتي من خارج نطاق تقنية المعلومات، وهي نسبة أقل بكثير من 63 في المئة سجلها المستفتون من أوروبا الغربية و67 في المئة سجلها المستفتون من منطقة آسيا/المحيط الهادئ.

ويتطرق توم شولتز إلى هذه النقطة بالقول: «ينبغي وجود رئيس تنفيذي أول للبرمجيات الأمنية، وهو أمر جوهري لابد منه، ومن دون ذلك ستحظى البرمجيات الأمنية بفرصة ضئيلة للحصول على الدعم اللازم من بقية أقسام المؤسسة. ويجب أن تتألف اللجنة الإدارية الخاصة بأمن معلومات الشركة CISSC بشكل رئيسي من ممثلي قطاع الأعمال، فتوقعاتنا تشير إلى أن مستوى الرعاية المقدمة من هذه الهيئات واللجان يواصل نموه في ظل تطور وتحسن مستوى وظائف الحوكمة. وبكل تأكيد، سيصبح منتدى الحوكمة الفعالة، مثل اللجنة الإدارية الخاصة بأمن معلومات الشركة CISSC، الممثل الرسمي لكل من الرئيس التنفيذي، ومجلس الإدارة، وكبار مديري وحدات الأعمال».

أما بالنسبة لمدى فعالية السياسات الأمنية، فعلى رغم أن نصف المستفتين أفادوا بأن لجنة الحوكمة تضطلع بمهام تقييم واعتماد سياسات، فإن 30 في المئة فقط من المستفتين أشاروا إلى أن وحدات الأعمال BUs تشارك بفعالية في صياغة السياسات التي من شأنها التأثير على مسيرة أعمالهم. وعلى رغم أن هذه النسبة تشكل تحسناً كبيراً عما سجلته في السنوات السابقة (16 في المئة خلال العام 2014)، فإنها لاتزال تعتبر مؤشراً على الافتقار لوجود مشاركة فعالة مع وحدات الأعمال. وهذا النقص الحاد في المشاركة هو السبب الرئيسي وراء العديد من المخاطر المختلفة التي تظهر بين فريق العمل الأمني ووحدات الأعمال، والتي قد تؤدي إلى طرح ضوابط مفرطة وغير مدارة، ما يؤدي بدوره إلى حصد نتائج تدقيق غير ضرورية، وفي نهاية المطاف إلى انخفاض الإنتاجية.