يأتي الدين الفني في ثلاثة أشكال: المعدات القديمة التي لا تستطيع تلبية احتياجات اليوم، ومشاريع البرمجيات التي تم اختصارها، وأطر الحوكمة التي تم تنفيذها بشكل سيئ أو تجاهلها تمامًا. ما هو القاسم المشترك؟ المخاطرة.
الديون الفنية
الديون الفنية هي العجز بين الأداء المفترض لشيء ما وما يقدمه بالفعل. وبسبب هذا التفاوت، هناك أداء ضعيف لا يمكن تجنبه. الديون الفنية لا تتقدم في العمر بشكل جيد. ومع تزايد التفاوت، يزداد تعرضك للمخاطر.
قد تتراكم الديون الفنية ببطء. وفي نهاية المطاف، تتراجع الأجهزة وأنظمة التشغيل القديمة عن دورات الدعم التي توفرها لها الشركات المصنعة. والدين الفني هو الخطر الأمني المتزايد الذي تعرضه مؤسستك لتشغيل أنظمة لا تتلقى تصحيحات أمنية.
في بعض الأحيان، قد ترث ديونًا فنية من خلال الاندماج أو الاستحواذ. كما يمكنك أيضًا تصنيع ديون فنية، وخاصة في مشاريع تطوير البرمجيات. يمكن أن تؤدي قرارات التصميم والتنفيذ – والتي غالبًا ما تُفرض على فريق التطوير بسبب قيود الميزانية أو المواعيد النهائية غير الواقعية – إلى إدخال ديون فنية مدمجة في التطبيق وتوجد، مكتملة التكوين، عند الإطلاق.
يمكن أن تتراكم الديون الفنية على أطر حوكمة تكنولوجيا المعلومات مثل سياسات وإجراءات الأمن السيبراني وحماية البيانات، أو يمكن إنشاؤها مع وجود ديون فنية مدمجة فيها بالفعل، أو يمكن أن تعاني من كليهما.
في جميع الأحوال، فإن الديون الفنية تعادل المخاطرة بشكل مباشر. وهي مؤشر أكيد على ضرورة الاهتمام بالمشكلة.
معدات تكنولوجيا المعلومات والديون الفنية
يجب صيانة جميع معدات تكنولوجيا المعلومات. ويجب تطبيق تصحيحات الأمان على البرامج والبرامج الثابتة، ويجب ترقية أنظمة التشغيل عندما تصبح قديمة وغير مدعومة. ويجب استبدال محركات الأقراص الصلبة في نهاية عمرها الافتراضي المتوقع، أو عند ظهور أول علامات تحذيرية لتطور الأخطاء. إذا لم يكن محرك الأقراص الصلبة المعني جزءًا من مجموعة RAID، فلا تنتظر علامات التحذير. تصرف عندما يفي محرك الأقراص بدورة العمل المتوقعة.
في نهاية المطاف، تصبح جميع المعدات وأنظمة التشغيل قديمة. ويشكل تشغيل معدات قديمة غير مدعومة خطرًا أمنيًا. وعلى الرغم من ذلك، قد يكون من الصعب على الجانب التجاري من العمل استبدال شيء لا يزال يعمل بشكل جيد بالنسبة لهم. وحتى عندما يتم تخصيص شيء ما للترقية والاستبدال، فإن الديون الفنية تظل قائمة حتى يتم الاستبدال بالفعل.
في بعض الأحيان، يكون تشغيل أنظمة تشغيل منتهية الصلاحية أو أجهزة قديمة خارج نطاق سيطرتك المباشرة. أجهزة الكمبيوتر التي يتم التحكم فيها في المختبرات والصناعات معرضة بشكل خاص لقفل نظام التشغيل. يمكن أن يحدث هذا إذا لم يتم تحديث جزء من برنامج طرف ثالث مهم منذ إصداره. يمكن أن يجبرك هذا على تشغيل نظام التشغيل الذي كان محدثًا عند إطلاق المنتج. قد تكون مشكلة متعلقة بالأجهزة. إذا كان البرنامج يعمل فقط مع لوحة واجهة قديمة معينة متوافقة فقط مع طراز معين من أجهزة الكمبيوتر، فستكون عالقًا مع أنظمة التشغيل التي يمكن أن تدعمها أجهزة POC هذه.
إن استبدال الأجهزة والبرامج القديمة بالكامل ليس بالأمر السهل كما يبدو. فقد يتحكم ذلك في الإنتاج أو في الآلات أو العمليات المهمة الأخرى. لا يمكنك التخلص من الأجهزة القديمة ببساطة إذا كانت الأجهزة المتاحة اليوم لا تتكامل مع أنظمة الإنتاج لديك.
كلما كانت الأنظمة قديمة، كلما زادت احتمالية ترك الأشخاص الذين قاموا بتنفيذها للشركة. قد لا يكون لدى فرق الدعم الخاصة بك معرفة عميقة بالأنظمة القديمة. في كثير من الأحيان، عندما يتم اكتشاف أن هذه الأنظمة القديمة مترابطة ومدمجة بشكل أعمق مما كان مفهومًا في السابق.
مشاريع التنمية والديون الفنية
تخضع مشاريع التطوير غير التافهة للعديد من المطالب. وسواء كان التطبيق مخصصًا للاستهلاك الداخلي أو منتجًا سيتم تسويقه، فإن نقاط الضغط متشابهة. وتدور معظمها حول المواعيد النهائية والمواصفات والميزانيات.
المواصفات عبارة عن قائمة بالوظائف والمحتوى الذي يجب أن يوفره البرنامج. يجب أن تكون المواصفات أكثر من مجرد قائمة طويلة من الرغبات. يحدد الوقت المتاح للتطوير والاختبار والتوثيق المحتوى الذي يمكن تحقيقه بشكل واقعي باستخدام موارد التطوير المتاحة لديك والتقنيات التي يعرفونها.
إن المواصفات المفرطة في التفاؤل أو مرحلة التطوير القصيرة للغاية تؤديان إلى نفس النتيجة. فالعمل لا يتناسب مع الوقت المتاح. والتأثير الذي يخلفه هذا على فريق التطوير عميق. فإذا وجدوا أنفسهم تحت ضغط شديد، فسوف يفضلون التقنيات والمنهجيات والتكنولوجيات المعروفة على تخصيص الوقت لتقييم المنصات أو الأطر الجديدة أو أي شيء آخر.
عندما تكون في طريقك نحو الموعد النهائي، فلن يكون لديك الوقت الكافي لبدء تجربة تقنيات جديدة وإدخال مخاطر محتملة. قد تكون هذه المخاطر عبارة عن مشكلات وظيفية داخل البرنامج تؤثر على المستخدمين أو قد تكون مشكلات خبيثة تؤدي إلى ثغرات أمنية.
في بعض الأحيان، يتعرض التطوير لضغوط من الجانب التجاري للشركة. فقد يشترطون استخدام تقنية جديدة لضمان قدرة منتجك على المنافسة. وهذا يعني أنك مجبر على محاولة تعلم التقنية الجديدة مع الالتزام بالموعد النهائي.
تؤثر هذه الأنواع من الجروح الذاتية على بنية المنتج وجودة الكود. لن تحصل على أفضل استفادة من إطار عمل أو لغة جديدة أو حتى نموذج تطوير جديد حتى يصبح مطوروك على دراية كافية به لفهم تعبيراته وأفضل الممارسات الخاصة به. على أقل تقدير، من المرجح أن ينتج كودًا ضعيف الأداء ويصعب صيانته. وفي أسوأ الأحوال، يمكن أن يؤدي ذلك إلى مخاطر أمنية.
تعمل المكتبات وأدوات الطرف الثالث على تسريع عملية التطوير، ولكنها قد تحتوي على ثغرات أمنية وديون فنية خاصة بها. يؤدي استخدام التعليمات البرمجية من طرف ثالث إلى تبسيط عملية التطوير، ولكنه قد يؤدي إلى تعقيد الأمور بالنسبة لفريق الأمان لديك.
يجب إشراك الجانبين التجاري والصناعي في المؤسسة في المحادثات المبكرة مع فريق التطوير حتى يمكن صياغة وصف ومواصفات واقعية للمنتج ولكن مرضية للطرفين، مع مراعاة المواعيد النهائية والتقنيات الحالية والمتطورة. يجب إشراك فريق الأمان الخاص بك أيضًا. ولأن فريق التطوير الخاص بك لا يجلس أبدًا دون فعل أي شيء، فيجب توفير الترتيبات اللازمة للبحث. وإلا فلن يحدث ذلك.
إن تحديد الوقت والموارد اللازمة للبحث بشكل رسمي ـ بما في ذلك التدريب ـ هو السبيل الوحيد لضمان إجراء البحث الأساسي. وقد تضطر إلى تجنيد أشخاص جدد لتحقيق هذه الغاية. فبدون البحث، لن تتمكن أبداً من الانتقال إلى تقنيات جديدة بطريقة خاضعة للرقابة. وبدون الرقابة، فإنك تظل معرضاً للمخاطر.
الحوكمة والديون الفنية
يمكن أن يتسلل الدين الفني إلى إنشاء أطر الحوكمة بنفس الطريقة التي يحدث بها مع تطوير البرمجيات. فبدلاً من تطوير البرمجيات، تقوم بإنشاء سياسات وإجراءات، مثل حوكمة تكنولوجيا المعلومات أو أنظمة حماية البيانات. ولن تعطي مشروع تطوير لفريق لم يسبق له كتابة التعليمات البرمجية من قبل. وينطبق الشيء نفسه على وثائق الحوكمة.
لا يمكنك أن تتوقع نتائج عظيمة إذا كلفت المهمة لشخص لا يمتلك المهارات المناسبة. إن كتابة وثائق الحوكمة الجيدة أمر صعب. وبدون هذه المهارات، من المغري نسخ أجزاء من سياسات وإجراءات المنظمات الأخرى ومحاولة تحريرها وتحويلها إلى كل متماسك، لكن هذا لن ينجح. والنتيجة هي خليط من أجزاء من وثائق تم تصميمها لمنظمات أخرى.
يجب أن يكون مؤلفو الحوكمة على دراية بالتشريعات أو المعايير التي تحاول تلبية متطلباتها أو معالجتها وأن يكونوا على دراية بها، وأن يكونوا من ذوي الخبرة في إعداد وثائق الحوكمة والسياسات. إذا لم تكن أنت من هؤلاء، فتواصل مع شخص لديه هذه المهارات.
من بين أوجه القصور الشائعة الأخرى جعل مستندات الحوكمة مثيرة للإعجاب بدلاً من جعلها واقعية. يجب أن تكون انعكاسًا حقيقيًا لما تفعله وما تحتاج إلى التحكم فيه، وكيف ستفعل ذلك حتى تتمكن من تلبية التشريع أو المعيار الذي تعمل به. من المستحيل اجتياز التدقيق إذا كانت المستندات التي يتم تدقيقها لا تعكس عملياتك الفعلية وسير العمل والضمانات.
إن وجود مستندات حوكمة دقيقة وقابلة للتطبيق لا يحقق الكثير إذا لم يتم استخدامها. إن الرضا عن الامتثال هو عندما يكون لديك سياسات وإجراءات، ولكن لا يستخدمها أحد. يجب أن يتبناها العاملون لديك ويستخدمونها وإلا فلن يتم تنفيذ إجراءاتك وفقًا لسياساتك. هذا أمر سيئ بما فيه الكفاية، ولكنه يعني أيضًا أن عملياتك لن تولد مسار تدقيق. والأسوأ من ذلك، أن عدم اتباع الإجراءات يمكن أن يؤدي إلى ثغرات أمنية وانتهاكات للبيانات.
إن الحفاظ على نظام حوكمة يتطلب الوقت والموارد أيضًا. فأنت بحاجة إلى إجراء عمليات تدقيق داخلية على سبيل المثال، ويجب عليك مراقبة المشهد التشريعي. تتغير التشريعات بمرور الوقت، ويتم إلغاؤها واستبدالها. وقد تختار الشركة الالتزام بمعيار لم تُجبر على الالتزام به من قبل أو تُجبر على ذلك. على سبيل المثال، قد تبدأ في تلقي المدفوعات عبر الإنترنت وتحتاج إلى الامتثال لمعيار أمان بيانات صناعة بطاقات الدفع (PCI-DSS). ستحتاج وثائق الحوكمة الخاصة بك إلى تعديل لتعكس المتطلبات الجديدة ولضمان معالجة جميع بنود المعايير.
مواجهة ديونك
إن الديون الفنية لا تنام أبدًا، وتزداد سوءًا كلما طال أمد تركها. وتتراوح الإجراءات اللازمة لمعالجة المشكلة بين السهلة والصعبة للغاية. ومن السهل وضع سياسة لإصلاح هذه المشكلة وتحديد جدول زمني لها. وقد يتطلب القضاء على الاحتكار في الأنظمة القديمة قدرًا هائلاً من الاضطراب والإنفاق.
إذا كانت لديك ديون فنية لا يمكنك معالجتها ـ أو لا يمكن معالجتها حتى يحدث حدث مهم آخر ـ فتأكد من تسجيل المخاطر ووصفها في مستندات تقييم المخاطر التشغيلية وتقييم المخاطر السيبرانية. سجل الخطوات التي تم اتخاذها للتخفيف من حدة المخاطر، والخطوات الطارئة التي يمكنك اتخاذها في حالة حدوث المخاطر.