تُعتبَر الحوادث السيبرانية أحد أكبر التهديدات التي تواجه الأعمال التجارية الحديثة، وتتركز بشكل خاص على المنظمات الصغيرة والمتوسطة ذات الميزانيات والموارد المحدودة التي تعيقُها عن حماية نفسها، مما يؤدي إلى عدم الكفاية في الحماية تجاه الأمن المعلوماتي في هذه المنظمات وإلى وقوع عدد متزايد من الهجمات وحوادث الأمن السيبراني اللاحقة. تحتاج المنظمات الصغيرة والمتوسطة إلى زيادة الاستثمار في هذا المجال، ولكن يجب موازنة ذلك مع أولويّات الأعمال الأخرى.
إن الغرض من هذا البحث هو توفير دراسة جدوى لهذا النوع من الاستثمار تُفيد مُتَّخذي القرار من كِبار المُدراء والمالكين في معظم المنظمات وخاصة منها الصغيرة والمتوسطة في سوريا وتُساعدهم على فَهم العوامل التي تُؤثر على قراراتهم المتعلّقة بالاستثمار الإضافي في الأمن السيبراني. إن فهم تلك العوامل سيُساعد هذه المنظمات بشكل كبير عند صياغة سياسات الحوكمة والمعايير في المستقبل كما أنه سيساهم في تذليل العقبات تجاه التخطيط الاستراتيجي للمنظمة لتحقيق التكامل والاندماج بين الأعمال التجارية من جهة ونشاطات برنامج أمن المعلومات الذي تم تَبَنّيه من جهة أخرى.
تم تطبيق هذه الدراسة على إحدى المنظمات الإنسانية غير الربحية العاملة في الجمهورية العربية السورية وتم اختيار الأبعاد الأربعة التي تُحدد درجة نُضج المنظمة في مجال أمن المعلومات على أنها (1) حوكَمة أمن المعلومات (2) إدارة مخاطر أمن المعلومات (3) موارد أمن المعلومات و(4) الامتثال والالتزام. وأظهرَ البحث بشكل حاسم أن المنظمة المُمَثِلة لحالة الدراسة تُقّر بالحاجة إلى الاستثمار في أمن المعلومات وهي مُستعدّة له ولكن هناك حاجة إلى مزيد من التوجيه والمعرفة لضَمَان أن الاستثمار يستهدف المناطق الأكثر تأثيراً على الأعمال. وقد خَلُصت الدراسة إلى مجموعة نتائج كان من أهمها أن لحوادث أمن المعلومات (في حال وقوعها) أثرٌ بالغ الخطورة على مصَالح المنظمة وأعمالها ما قد يطَال جوانب مالية وقانونية (قضائية) بالإضافة لأثرها المباشر على سُمعة المنظمة ومكانتها، بالإضافة إلى وجود درجة نُضج مُنخفضة تجاه حوكمة أمن المعلومات وإدارة المخاطر المتعلقة بذلك. مما يتطلب تخصيص جهود وموارد ملائمة لتطبيق برنامج واضح لنشاطات أمن المعلومات ضمن المنظمة تنتقل بها من الوضع الراهن إلى وضع أكثر أمناً ويتمتع بدرجة أقل من مستويات مخاطر أمن المعلومات المقبولة من قبل المنظمة.