يتطلب تحسين الحماية الأمنية والتحكم أن تفهم معظم الشركات كيفية استخدام موارد تكنولوجيا المعلومات (IT) الخاصة بها. لكن تلك قد تكون مهمة صعبة للغاية في عالم تكنولوجيا المعلومات الذي الذي يتصف بتعدد الطبقات والموردين وحتى الثقافات. ويجب تنسيق كل هذا والتحكم فيه بالكامل لضمان التشغيل الفعال والأمان الكافي. ومن هنا أتت ضرورة حوكمة تكنولوجيا المعلومات.
أسباب الحوكمة بشكل عام
يتطلب تنسيق العمل المعقد بنية تحكم مشتركة ومتماسكة تسمح للمديرين بمقارنة الإجراءات بسياسات وإجراءات
المؤسسة. يتم تحديد هذه السياسات من خلال إطار حوكمة وتكييف وتنفيذه ليتحكم بشكل فعال في أنشطة العمل.
وعليه، فإننا نعمل وفقاً للمتطلب الأساسي المتمثل في أن التحكم في تكنولوجيا المعلومات هو قضية حوكمة استراتيجية وليست قضية محاسبية أو فنية. الغرض من تبني هذا الموقف هو تجنب نظام الإدارة المجزأ بحيث أن كل مؤسسة، سواء تُدار وفقًا لممارساتها المقبولة. وتستند هذه الممارسات عادةً إلى تقدير بعض وحدات الأعمال أو المديرين للطريقة الصحيحة للقيام بمهمة محددة. وتميل إلى تضمين نفسها في المؤسسة بمرور الوقت، دون أي منطق معين. وقد لا يجسد نموذج الإدارة أو يعالج جميع المخاوف الأمنية للأصول بالكامل. والبديل هو تحديد وتنفيذ بنية أساسية شاملة لأفضل الممارسات تهدف بشكل خاص إلى تحسين وظيفة التحكم الإداري. وهو ما يعرف باسم حوكمة تكنولوجيا المعلومات.
حوكمة المؤسسة وحوكمة تكنولوجيا المعلومات
غالباً ما تمثل الحوكمة تغييراًُ جذرياً في الطريقة التي تدير بها المؤسسة أعمالها. وعليه، فإن الطريقة الأفضل للتغلب على المقاومة التي قد يبديها الموظفون في هذه الحالة هي بدء الحوكمة من الأعلى. وتمثل فكرة من الأعلى إلى الأسفل النهج الاستراتيجي وأغراض حوكمة المعلومات. و هذا المفهوم الاستراتيجي هو الذي يعزز نشر نوع أنظمة التحكم المختلفة.
تم صياغة مصطلح حوكمة المعلومات لوصف الوظيفة الاستراتيجية التي تضمن الرعاية الواجبة في إدارة موارد المعلومات في المؤسسة. إنه مفهوم جديد في عالم حوكمة المؤسسات التقليدي، حيث كان يُنظر إلى الإدارة الاستراتيجية لنظام المعلومات والاتصالات تقليدياً على أنها ذات أهمية استراتيجية محدودة عند مقارنتها باستراتيجيات الاستثمار أو التسويق.
ومع ذلك، مع التأثير المتزايد للجرائم الإلكترونية وأجهزة الكمبيوتر بشكل عام، والاعتماد الكلي للأعمال على الأداء الفعال لتكنولوجيا المعلومات، فقد احتلت حوكمة المعلومات مكانها كجزء منفصل ولكنه لا يتجزأ من عملية الإدارة الاستراتيجية. و ويفترض ذلك أن وظيفة التحكم في المعلومات يجب أن تلبي نفس التوقعات والمعايير الخاصة بالجودة، والتشغيل مثل أي جانب آخر من جوانب العمل. كما يفترض أن عمليات المعلومات والتكنولوجيا ذات الصلة في الشركة يجب أن تدعم أهدافها الأكبر بطريقة واضحة وقابلة للتتبع.
مميزات كل نوع من الحوكمة
تحقق حوكمة تكنولوجيا المعلومات أهدافها من خلال بناء هيكل شامل للإجراءات والعلاقات، والتي يمكن استخدامها لتوجيه ومراقبة أصول المعلومات. ونتيجة لذلك، تنشئ حوكمة تكنولوجيا المعلومات رابطاً بين موارد تكنولوجيا المعلومات في الشركة واستراتيجية المعلومات والأعمال الخاصة بها، بشكل يضيف قيمة إلى أهداف المؤسسة.
ويجب ملاحظة أن حوكمة المعلومات ليست هي نفسها حوكمة المؤسسة. تضمن حوكمة المؤسسة لأصحاب المصلحة أن العمل سيكون مربحاً ومنتجاً. إنها تجسد الوسائل الاستراتيجية والتكتيكية لمراقبة اتساق أهداف الأعمال، وإدارة المخاطر، وبرنامج أمن تكنولوجيا المعلومات، واستراتيجية وتخطيط تكنولوجيا المعلومات. وتقييم أداء الأعمال نحو تحقيق هذه الأهداف. كما يوفر ضماناً بأن القضايا الحيوية لنجاح الأعمال سيتم تحديدها ومعالجتها بشكل فعال. أما الهدف من حوكمة تكنولوجيا المعلومات فهو ضمان:
- الاستخدام الفعال
- الاستخدام الكفء
- السرية
- النزاهة
التوزيع المناسب
الامتثال للوائح
التوافر المستمر
الهدف العام من حوكمة المؤسسة هو بناء أساس ملموس للتحكم والمحاسبة من أجل تتبع المسؤولية المرتبطة بوظائف تنظيمية محددة. في حين يتم تمكين حوكمة تكنولوجيا المعلومات من خلال تحديد السياسات. فإن الهياكل والممارسات والإجراءات التنظيمية مطلوبة لتحقيق غايات معينة. ويشمل ذلك تعريف عناصر التحكم الصريحة لأي متطلب معين. وكذلك، ضمان ممارسة العناية المهنية الواجبة في إدارة أو استخدام أو تصميم أو تطوير أو صيانة أو تشغيل أنظمة المعلومات وأصول المعلومات. تتضمن حوكمة تكنولوجيا المعلومات عدداً من العمليات ذات الصلة لمحاسبة وإدارة مورد محدد بشكل صريح على أساس منهجي ومستمر.
الهدف من حوكمة تكنولوجيا المعلومات
يتمحور الهدف الرئيس حول الحاجة إلى السيطرة على تكنولوجيا المعلومات. فالسؤال هو كيف ندير المخاطر ونؤمن المعلومات وأصول تكنولوجيا المعلومات. ونظراً لأن كلا الهدفين مرتبطان بشكل مباشر بأفضل الممارسات، فإن الهدف هو الاستفادة من معيار مشترك مقبول بشكل عام لتحديد المجموعة الكاملة من الضوابط اللازمة لحوكمة تكنولوجيا المعلومات الفعّالة. ومن شأن هذا المعيار أن يوفر أساساً قابلاً للتطبيق ومقبولاً بشكل عام للحكم على ممارسات أمن تكنولوجيا المعلومات والتحكم الجيدة. كما أنه سيدعم تحديد ومراقبة المستوى المناسب لأمن تكنولوجيا المعلومات والتحكم لمؤسسة معينة.
يسمح إطار حوكمة تكنولوجيا المعلومات للمؤسسة بإنشاء مجموعة واضحة من السياسات وأفضل الممارسات للتحكم في تكنولوجيا المعلومات لفهم وإدارة المخاطر والفوائد المرتبطة بها. يجب أن توفر الممارسات في المعيار دليلاً واضحاً لأصحاب المصلحة في الشركة على أن عملياتهم جديرة بالثقة وآمنة. سيكون من المفيد أيضاً أن هذا المعيار أو الإطار مفهوم ومعتمد عالمياً. يجب أن يسمح المعيار للمؤسسة بتقييم مخاطر العمل وتعيين أهداف التحكم لمجموعة مشتركة من وظائف تكنولوجيا المعلومات.
بحكم التعريف، فإن التحكم في تكنولوجيا المعلومات هو الغرض المطلوب تحقيقه من خلال تنفيذ إجراءات التحكم ضمن نشاط معين. يجب أن يحدد المعيار المحدد أفضل الممارسات في المحاسبة والتحكم في أصول تكنولوجيا المعلومات. وأن تعمل أفضل الممارسات على تحسين حوكمة تكنولوجيا المعلومات. يجب تقديم الممارسات في هيكل منطقي.وهناك العديد من نماذج المرجع التي يمكن اختيارها. ومع ذلك، فإن أهداف التحكم في المعلومات والتكنولوجيا ذات الصلة (COBIT)، والـ ISO 27000، هي النماذج الأكثر شيوعاً المستخدمة للحكم على ما إذا كانت أنشطة الإدارة كاملة وصحيحة.
الأمن وحوكمة تكنولوجيا المعلومات
تعتمد إدارة المخاطر وضمان الأمن على القدرة على تطبيق ممارسات إدارية محددة. وبالتالي، فالغرض الأساسي لأي من نماذج الحوكمة هو تقديم مجموعة من التوصيات الأساسية لمديري تكنولوجيا المعلومات. كل مؤسسة لديها أسبابها لفهم حالة أنظمة تكنولوجيا المعلومات الخاصة بها وتحديد مستوى الأمان والتحكم الذي يجب أن توفره.
بجانب الحاجة إلى قياس الموقف الراهن للمؤسسة، هناك ضرورة للتحسين المستمر في مجالات أمن تكنولوجيا المعلومات وهو ما يتطلب وجود مجموعة من التقارير التي تساعد الإدارة على مراقبة وقياس الأداء وتنفيذ وصيانة المتطلبات والضوابط الأمنية لأصول المعلومات الخاصة بها. يجب أن تعالج عملية المراقبة مخاوف الإدارة مثل:
- قياس الأداء – ما هي مؤشرات الأداء الجيد؟
تحديد أولويات التحكم – ما هو المهم؟ ما هي عوامل النجاح في التحكم؟ - الوعي – ما هي مخاطر عدم تحقيق أهدافنا؟
- المقارنة المعيارية – ماذا يفعل الآخرون؟ كيف نقيس ونقارن؟
يجب أن تكون صياغة عملية التحكم موجهة نحو العمل المباشر وكذلك عامة بما يكفي لتوفير التوجيه اللازم للحصول على معلومات المؤسسة والعمليات ذات الصلة تحت السيطرة ومراقبة تحقيق الأهداف التنظيمية. يتم ذلك من خلال مراقبة الأداء داخل كل عملية تكنولوجيا المعلومات ومقارنة الإنجاز التنظيمي لتلك الأهداف بمرور الوقت. على وجه التحديد، يجب أن تكون هناك وسيلة لضمان نضج القدرة التنظيمية للسيطرة على العمليات في مجالات الأمن والتحكم.
فهم قدرات المؤسسة
من الناحية المثالية، ستكون الإدارة قادرة على رسم خريطة لمكانة المؤسسة اليوم مقارنة بمنافسيها. يجب أن يكون هذا التقييم مدعوماً بتدابير صريحة تخبر الإدارة ما إذا كانت عملية تكنولوجيا المعلومات قد حققت أهدافها الأمنية. وكيف توفر هذه التدابير أساساً لتحديد مدى أداء عملية تكنولوجيا المعلومات. وبالتالي يجب أن تساعد الإدارة على الإجابة على ما يلي:
- إلى أي مدى يجب أن نذهب في أعمالنا، وهل التكلفة مبررة؟
- ما هي مؤشرات الأداء الجيد؟
- ما هي عوامل النجاح الحاسمة؟
- ما هي مخاطر عدم تحقيق أهدافنا؟
- ماذا يفعل الآخرون؟
- كيف نقارن أنفسنا بأفضل الشركات في فئتها؟
يتطلب ذلك مجموعة من المبادئ التوجيهية العامة في تطبيقها والتي تصف مجموعة عملية من الإجراءات التي يمكن اتخاذها لتحقيق أهداف الأمن. وللقيام بذلك، يحتاج المدير إلى معرفة ما هي مؤشرات الأداء الجيد وما هو محوري للتحكم وعوامل النجاح المصاحبة بالإضافة إلى المخاطر وأفضل الممارسات المعممة لمعالجتها.
المتطلب الأولي لإنجاز هذه المهام المتعددة هو وجود مجموعة من العمليات المقبولة عموماًُ والتي يمكن استخدامها لإدارة أداء أمن تكنولوجيا المعلومات بشكل عقلاني جنباً إلى جنب مع أساس لتقييم ما إذا كانت ممارسات التحكم هذه فعالة. الخطوة الأولى الواضحة في هذه العملية هي تحديد النتائج المرجوة. في الأساس، تحتاج الشركات إلى تحديد رابط واضح بين النتيجة والاستراتيجية على أعلى المستويات. ثم يتم تحديد ومراقبة عمليات التقييم الداخلية التي تم وضعها لتحقيق هذه النتيجة. كما أن عوامل النجاح مطلوبة أيضاً من أجل تحديد ما إذا كانت عملية تكنولوجيا المعلومات قد حققت أهدافها. يمكن أن تكون هذه العوامل إما: استراتيجية، فنية، تنظيمية أو إجرائية. و تستند عملية التقييم إلى وجود عمليات محددة وموثقة، وسياسات محددة وموثقة، ومسؤوليات واضحة. كما تشارك أيضاً عوامل غير ملموسة مثل الدعم القوي والتزام الإدارة، وقنوات التواصل المناسبة والفعالة، وممارسات القياس المتسقة.
كلمة أخيرة
أصبحت المؤسسات مدركة للأهمية الاستراتيجية لأنظمة المعلومات. وفي حين اعتبر البعض أن تكنولوجيا المعلومات “شر لا بد منه”، فإنها أصبحت مطلب أساسي لاستمرار العمل والقدرة التنافسية. ومن هنا تأتي أهمية حوكمة هذا المجال باعتباره مصدر أساسي للفرص الاستراتيجية.