عندما ترتفع مخاطر التطفل والاختلاسات يبرر بناء الجدران العالية والأبواب الحديدية، سواء كان ما تحميه إنسانا تحافظ على سلامته أو مستندا تحفظه بعناية. وعلى المبدأ نفسه لن يضع أحد أي ممتلك ثمين على قارعة الطريق في حي ينقصه الأمان وبين أناس يفتقرون إلى الثقة. للوصول إلى هذه الحماية تكلفة، تدرس بعناية ويبحث القائمون عليها عن نقطة التوازن الأفضل التي تبرر الاستثمار المادي وتمنع كذلك الآثار الجانبية مثل العزلة أو صعوبة الوصول والاستفادة من المكان أو المرفق الذي تتم حمايته. وفي هذه المبادئ نفسها حماية لمكتسبات المواطن والوطن، ارتفعت ممارسات ومعايير الأمن السيبراني في الأعوام الأخيرة، وصعدت المملكة إلى مراتب مرتفعة مقارنة بعدد كبير من الدول، ورافق ذلك تطورات عديدة في الممارسات التقنية، خصوصا الحكومية، وتكونت بنية تشريعية متطورة، حتى البرامج الأكاديمية التأهيلية المختصة بدأت ترى النور بشكل غير مسبوق.
تقول المعادلة: إن حماية المنظومة التقنية لمنشأة ما بمئات الآلاف من الريالات يعني التقليل من خسائر بعشرات الملايين. وهذا تبسيط متطرف لتصور الوضع، فالأرقام قد تختلف صعودا أو نزولا، لكن الأكيد أن الأثر في حالة تحول التهديد إلى واقعة مخيفة ولا يرغب أحد في مواجهته. والأكيد أن الخسائر المادية ليست وحدها، فخسائر الخصوصية أو نزاهة المعلومات قد لا يمكن تقدير تكلفتها، وربما تفسد مجهودات أجيال عملت فترات طويلة في بناء منظومة ما أو منظمة. وهذا يحدث باستغلال المعلومات من طرف آخر وإساءة استخدامها، أو بتخريبها وتدني جودتها كمدخل مهم لصناعة القرار.
من جانب آخر هناك من يقول: إن التعامل مع الأمن السيبراني مبالغ فيه وقد استفاد منه تحديدا المستشارون منتهزو الفرص بتكوين إيرادات شبه مستدامة من التقييمات السنوية واختبارات الاختراقات ومراجعة الضوابط وتطبيق المتطلبات. بل بعض الدراسات تذكر أن بحثا على عينة من 12 ألف منشأة وصل إلى نتيجة تقول: إن معدل تكلفة الحادثة الواحدة يصل إلى 200 ألف دولار، وهي تكلفة مشابهة لمعدل تطبيق متطلبات إدارة مخاطر الأمن السيبراني في هذه المنشآت نفسها. وتشير كذلك ورقة أخرى إلى أن مستوى النضج في إدارة مخاطر الأمن السيبراني لا يرتبط بالضرورة بحجم الاستثمار الاحترازي.
بعيدا عن التكلفة المباشرة والأثر المباشر لإدارة مخاطر الأمن السيبراني، هناك أيضا تكاليف أخرى غير مباشرة يصعب تقديرها. من ذلك، تجاهل بعض التقنيات الحديثة التي تحوز الحد الأدنى المقبول من المتطلبات، وهذا يعني تكلفة أكبر للتحول الرقمي والوصول للحلول الرقمية المتجددة، على سبيل المثال، وجود ضوابط لتقديم الخدمات السحابية باشتراطات جغرافية محددة أو بطريقة معزولة عن الأنظمة الأخرى، يقلل بشكل كبير من عدد الحلول المتاحة ويؤثر بشكل مباشر في العرض والطلب وهذا يعني ارتفاع التكلفة أو تأخر الاستفادة من التقنية ولهذا ما يتبعه من التأخر في تحقيق الكفاءة والفاعلية وغير ذلك. وبالطريقة نفسها اشتراطات وجود تقنيات أمنية محددة في حلول مقدمي الخدمات يرفع من التكلفة السنوية لهذه الاشتراكات وهذه تكلفة تكون مصنفة في العادة ضمن تكاليف تقنية المعلومات وليست ضمن تكاليف إدارة مخاطر الأمر السيبراني. ومن التكاليف غير المباشرة الأخرى، الوقت والجهد اللذان يضطر صانعو القرار لبذلهما، إذ ينشغل اليوم معظم إن لم يكن كل الفريق التنفيذي بدعم وتيسير أعمال إدارة مخاطر الأمن السيبراني بقوة التشريعات وبدعوة "أفضل الممارسات" غير أن هذا الوقت الثمين والمكلف جدا كان من الممكن قضاؤه في تطوير نموذج العمل أو توسعة قاعدة المبيعات.
من الجيد أن يتم الحفاظ على سرية وسلامة وتوافر المعلومات - المبادئ الأساسية للأمن السيبراني - وأن نرى كل الجهود التي تبذل بتميز لتحقيق ذلك على مستوى المنشآت، غير أن ذلك ينبغي أن يتصاحب مع مراجعة جيدة للمنفعة، بدراسة الجوانب الاقتصادية وغير الاقتصادية، المباشرة وغير المباشرة. أعتقد أن على الاقتصاديين والمختصين في إدارة المخاطر أدوارا كبرى في دراسة وتوضيح علاقة الاستثمار الاحترازي في الأمن السيبراني باحتمالات وقوع الخطر، وربط ذلك بالاحتمالات الفعلية حسب الواقع الفعلي بشكل علمي مقنن بعيدا عن الإرهاصات أو المخاوف التي قد تصنع التقدم في الحذر وليس في صنع القيمة.
