وجدت دراسة استقصائية عالمية أجرتها شركة Checkmarx أن ما يقرب من نصف فرق التطوير "تمتلك" الآن أمن التطبيقات

نشرت شركة Checkmarx، الشركة الرائدة في مجال أمن التطبيقات السحابية للمؤسسات، تقريرها البحثي السنوي بعنوان "دليل مسؤولي أمن المعلومات الرئيسيين لتوجيه أمن التطبيقات في عصر DevSecOps". وبناءً على استطلاع رأي شمل 200 من مسؤولي أمن المعلومات الرئيسيين من مختلف الصناعات والمناطق، كشفت الدراسة العالمية عن العوامل الرئيسية التي تدفع الاتجاه نحو تعاون أوثق بين فرق التطوير والأمن. أحد النتائج الرئيسية هو أن 49% من مسؤولي أمن المعلومات يقولون إن المشترين الآن يأخذون أمان التطبيق (AppSec) في الاعتبار عند اتخاذ قرارات الشراء. في الواقع، في ما يقرب من نصف شركات المنتجات المعتمدة على البرمجيات، انتقلت الرقابة الأمنية خارج مكتب مسؤول أمن المعلومات بالكامل.

مع تزايد تعقيد التطبيقات وحجمها -مدفوعًا بالذكاء الاصطناعي والخدمات المصغرة وهندسة التطبيقات الهجينة- أصبحت فرق الهندسة مسؤولة بشكل متزايد عن ضمان التسليم الآمن والقابل للتطوير. مع دورات الإصدار الأسرع وقواعد التعليمات البرمجية المتوسعة، تتحول قرارات AppSec والميزانيات نحو فرق التطوير لتضمين الأمان في وقت مبكر وبكفاءة أكبر في عملية التطوير.

قال Jonathan Rende، كبير مسؤولي المنتجات في شركة Checkmarx: "نحن نشهد تغييرًا محوريًا: أصبحت AppSec الآن أداة تمييز تنافسية وأولوية في الميزانية ومسألة تتعلق بمجلس الإدارة". "مع تولي فرق التطوير مسؤولية أكبر، يتعين على مسؤولي أمن المعلومات التركيز على الحوكمة والاستراتيجية والتعاون للإبقاء نتائج الأمن على المسار الصحيح".

 النتائج الرئيسية: يعد أمان التطبيق أمرًا بالغ الأهمية لقرارات الشراء

كشف مسؤولو أمن المعلومات الرئيسيين الذين يستجيبون من الصناعات بما في ذلك البنوك والتمويل والإعلام والتأمين والبرمجيات والتصنيع والقطاع العام أن برامج وممارسات AppSec القوية تظل عامل تمييز قوي في قرارات الشراء التي يتخذها عملاؤهم. تشمل نقاط البيانات الرئيسية ما يلي:

• أفاد 49% من المشاركين أن المشترين يأخذون في الاعتبار أمان التطبيق بشكل منتظم في قرارات الشراء

• أشار 24% إلى أن أمان التطبيق هو "دائمًا" عامل في تلك القرارات

• ويظهر هذا الاتجاه بشكل أكثر وضوحًا في أوروبا، حيث أفاد 58% من المشاركين بأن الأمان هو "دائمًا" عامل، مقارنة بـ 33% في منطقة آسيا والمحيط الهادئ و8% فقط في أمريكا الشمالية.

ووجدت دراسة Checkmarx أيضًا أن عملية صنع القرار أصبحت لامركزية بشكل متزايد، حيث أصبحت فرق التطوير تؤثر في كثير من الأحيان على ممارسات الأمان وحتى امتلاك سلطة الميزانية. وكشفت الدراسة ما يلي:

• في المنظمات التي تقوم بتطوير المنتجات القائمة على البرمجيات، يتم تقسيم المسؤولية، حيث يقوم 50% من المنظمات بتعيين مسؤوليات الأمن إلى مسؤولي أمن المعلومات الرئيسيين بينما يقوم 43% منها بنقل الإشراف الأمني إلى فرق التطوير

• تقول 56% من المؤسسات أن معظم فرق التطوير الخاصة بها متكاملة بالكامل مع برامج AppSec

وأضاف Rende: "مع انتقال المسؤولية الأمنية نحو فرق التطوير، ينتقل التمويل أيضًا. لهذا السبب يحتاج مسؤولي أمن المعلومات الرئيسيين اليوم إلى القيادة بتأثير، وإنشاء حواجز حماية، وليس حواجز على الطرق".

 لا يزال دور الأمن في قاعة الاجتماعات غير متسق

يسلط تقرير الدراسة الضوء على فجوة مستمرة في كيفية توصيل المعلومات الأمنية على المستوى التنفيذي. في حين أن 62% من مسؤولي أمن المعلومات يقدمون مقاييس AppSec إلى مجالس إداراتهم، فإن معظمهم يركزون فقط على عدد نقاط الضعف، بينما يربط 25% فقط تلك المخاطر بنتائج الأعمال مثل سمعة العلامة التجارية أو التعرض التنظيمي. ويؤكد هذا الانفصال على الحاجة الملحة إلى أن يقوم مسؤولو أمن المعلومات الرئيسيين بتأطير الأمن من حيث مخاطر الأعمال، وهو شرط أساسي لضمان الدعم المستدام على المستوى التنفيذي.