حوكمة أمن المعلومات – مراجعة في خمس دقائق ونصف

189 مشاهدة
8 دقائق

في سياق التحول الرقمي، وتغيرات نموذج الأعمال، والتهديدات السيبرانية، ومتطلبات الامتثال. فإن نظم المعلومات باتت مدرجة على جدول أعمال صناع القرار. إنها لم تعد تعتبر فقط حكراً على التقنيين. يأتي ذلك استجابة للعديد من التوصيات المتعلقة بأهمية الحوكمة الجيدة. ويدرك المعنيون أهمية حوكمة أمن المعلومات والدور الذي يجب أن تلعبه في التقريب بين العمليات والاستراتيجية. وبالتالي فإن واجبات قادة أمن المعلومات تتجاوز اليوم مكافحة التهديدات السيبرانية والحوادث الأمنية لتجعلهم لاعبين أساسيين في تطوير شركتهم. في هذا السياق الجديد يت تعزيز دور الأمن كشريك في سلسلة القيمة (value chain). ولكن مهمة تحقيق الاتساق بين الجوانب الاستراتيجية والعمليات على أرض الواقع تبدو مستحيلة إن لم تحظى بدعم كبار المسؤولين ومشاركتهم وفهمهم لقضايا الأمن تلك.

حوكمة أمن المعلومات

حوكمة أمن المعلومات هي الإدارة والسيطرة من أعلى إلى أسفل على إدارة الأمن والمخاطر في المنظمة. تتم الحوكمة عادة من خلال لجنة توجيهية تتكون من مسؤولين تنفيذيين من جميع أنحاء المنظمة. تكون لجنة التوجيه مسؤولة عن تحديد الاتجاه الاستراتيجي والسياسة الشاملة. كما تضمن توافق استراتيجية الأمن مع استراتيجية وأهداف تكنولوجيا المعلومات والأعمال في المنظمة. يتم تنفيذ رؤية لجنة التوجيه من خلال مشاريع ومهام للتأكد من أن أهداف أمن المعلومات منسجمة مع الأهداف الاستراتيجية للمؤسسة.
ليكون برنامج أمن المعلومات ناجحاً، يجب أن يتماشى مع العمل ورسالته العامة وأهدافه واستراتيجيته. كما يجب أن يأخذ برنامج الأمن في الاعتبار فهم المنظمة لقيمة الأصول والثقافة المؤسساتية. ولنجاح البرنامج يجب ألا يهمل مستوى تحمل المخاطر و الرغبة في المخاطرة والالتزامات القانونية وظروف السوق. في الواقع، ليس دور برنامج أمن المعلومات الناجح والمتسق أن يقود المنظمة ولكنه يمكّنها ويدعمها للقيام بمهمتها ومتابعة أهدافها.
يتم تحقيق حوكمة أمن المعلومات باستخدام نفس الوسائل المستخدمة في الحوكمة عموماً. يبدأ ذلك بمشاركة مجلس الإدارة الذي يحدد مستوى شهية المخاطر. ويتم تنفيذها من خلال كبير مسؤولي أمن المعلومات ، الذي يطور سياسات الأمن والخصوصية، بالإضافة إلى برامج الأمن الاستراتيجية. يفترض بتلك الاستراتيجية أن تشمل أمن البرمجيات، وإدارة التغيير، وإدارة البائعين، وإدارة التكوين، وإدارة الحوادث، وإدارة الثغرات الأمنية، برامج التوعية الأمنية، وإدارة الهوية والوصول.

مسؤوليات أمن المعلومات في المؤسسات

تُستخدم حوكمة الأمن لتحديد الأدوار والمسؤوليات للأنشطة المتعلقة بالأمن في جميع مستويات المؤسسة، من مجلس الإدارة إلى الموظفين الأفراد. يتم تحديد الأدوار والمسؤوليات في أوصاف الوظائف، ووثائق السياسات والعمليات، ومخططات RACI كما يلي:

  • يتحمل مجلس الإدارة مسؤولية الإشراف على جميع الأنشطة في المنظمة.
  • تتحمل لجنة التوجيه الأمني ​​مسؤولية التخطيط الاستراتيجي. ويتم ذلك عبر ​بتطوير سياسات الأمان والموافقة عليها. وكذلك تعيين مديرين لتطوير وصيانة العمليات والإجراءات والمعايير، والتي يجب أن تتكامل جميعها مع بعضها البعض وتتوافق مع مهمة المنظمة واستراتيجيتها وأهدافها وغاياتها الشاملة.
  • يطور مسؤول أمن المعلومات استراتيجيات أمنية متوافقة مع الأعمال تدعم مهمة المنظمة وأهدافها الشاملة. وهو أيضاً مسؤول عن برنامج الأمن الشامل للمنظمة، بما في ذلك تطوير السياسات وإدارة المخاطر وبعض الأنشطة التشغيلية مثل إدارة الثغرات الأمنية وإدارة الحوادث وإدارة الوصول وزيادة الوعي الأمني.
  • يتحمل كبير مسؤولي الخصوصية مسؤولية حماية المعلومات الشخصية الحساسة والاستخدام السليم لها (غالباً ما يشار إليها بالمعلومات الشخصية القابلة للتحديد PII). لكن قد يتم إسناد مسؤوليات حماية البيانات الخاصة لمسؤول أمن المعلومات باعتباره يتحمل -مجازاً- مسؤوليات حماية المعلومات بكل تصنيفاتها.
  • يقع على عاتق مسؤول الامتثال مسؤولية تتبع الامتثال وإعداد التقارير. وإضافة لما سبق، فإن جميع الأدوار الأخرى تقريباً في مجال تكنولوجيا المعلومات لها مسؤوليات أمنية، بما في ذلك تطوير البرامج، وإدارة البيانات، وإدارة الشبكات، وإدارة الأنظمة، والعمليات، وفريق الدعم الفني.

دور الحوكمة في نجاح المؤسسة – تطبيق عملي

أصبحت المسائل المتعاقة بأمن المعلومات جزءاً من واجبات أعضاء مجلس الإدارة والمديرين التنفيذيين. وهو اتجاه مهم ومتنامي في مجال الأعمال اليوم. بهذا المعنى، يتحمل المديرون التنفيذيون للأمن ومجلس الإدارة مسؤولية تنفيذ نموذج حوكمة الأمن المعتمد الذي يشمل استراتيجية وأمن المعلومات والتفويضات. ونتيجة لذلك، تشهد الصناعة تحولاً يمنح مجلس الإدارة دوراً أكثر نشاطاً فيما يتعلق بقضايا الأمن السيبراني. لكن برنامج الأمن يجب أن يتماشى مع مهمة المنظمة واستراتيجيتها وأهدافها. وهذا يعني أن مسؤول أمن المعلومات وغيره يجب أن يكونوا على دراية بالمبادرات الاستراتيجية وكذلك خطط تنفيذ الأهداف الاستراتيجية للمنظمة وأن يشاركوا فيها.

وحتى لا تتعرض المؤسسات لمخاطر غير محسوبة بناءاً على تأويلات المسؤولين عن الأمن، فإنه يتم التعبير عن حدود للمخاطر الممكن أن تتحملها المؤسسة بمصطلح “شهية المخاطرة” والذي يترافق معه تعابير مثل مثل “التسامح المنخفض جداً مع المخاطر” و”عدم التسامح مع المخاطر” تبعاً لطبيعة عمل منظمة الأعمال و للأنشطة المختلفة فيها.

وفي حين أن لجان التوجيه الأمني ​​ليست مطلوبة، فقد تجد المنظمات أنه من المفيد وجود مثل تلك اللجان كوسيلة متعددة الوظائف لاكتشاف المخاطر الأمنية وتعزيز التواصل فيما يتعلق بالمعلومات الأمنية. من جهة أخرى، يمكن أن تكون تعريفات منظمة الأعمال للأدوار والمسؤوليات الأمنية متوافقة أو غير متوافقة مع ثقافة المساءلة. على سبيل المثال، قد يكون لدى المنظمة توصيف واضح للمسؤوليات موثق في السياسات والعمليات ومع ذلك نادراً ما تحاسب الأفراد عندما تحدث أحداث أمنية يمكن منعها. لكن من الناحية المثالية، سيكون مجلس إدارة المنظمة على دراية بمخاطر أمن المعلومات ويوجه فرق العمل المعنية إلى فرض الضمانات اللازمة لحماية المؤسسة. إلا أنه في العديد من المنظمات، لا يزال مجلس الإدارة غير مشارك في مسائل أمن المعلومات.

ضرورة حوكمة أمن المعلومات

لم يعد من الممكن تفويض نظم المعلومات بالكامل إلى خدمات تكنولوجيا المعلومات. أصبح قادة الأعمال جزءاً من هذه المهمة، ليس فقط بسبب تهديدات الأمن السيبراني، أو سرقة البيانات ، أو التكاليف التشغيلية المرتفعة، ولكن أيضاً بسبب المتطلبات التنظيمية. لذلك يجب إدارة نظم المعلومات بشكل صحيح، وقياس مساهمتها في الشركة، وتحديد مسؤولياتها، والحفاظ على تكلفتها تحت السيطرة. كما يجب أن يساهم الأمن في التطوير الاستراتيجي للشركة وأعمالها. ومع ذلك، وعلى الرغم من الوعي بالحاجة إلى الحوكمة الجيدة، فإن الواقع غالباً ما يكون مختلفًا عن المفاهيم النظرية. يظهر هذا الاختلاف في ضعف التوافق الاستراتيجي مع أهداف العمل، وعدم اهتمام الإدارة، والافتقار إلى قرارات الاستثمار التي تأخذ المخاطر بعين الاعتبار، إضافة إلى التنفيذ المتسرع للحلول التقنية دون دراسة العائد على الاستثمار.
وعلى الرغم من أن المعايير مثل ISO 27001 تشير إلى المتطلبات التي يجب أن يفي بها نظام إدارة الأمن، إلا أنها ليست كافية. لذلك، يحتاج صناع القرار إلى أن يكونوا قادرين على فهم اسقاطات أمن المعلومات و تداخله و ترابطه مع الأعمال، مما يسمح لهم بطرح الأسئلة الصحيحة وتقييم مدى كفاية الضوابط الموضوعة بطريقة أفضل.

كلمة أخيرة

أمن المعلومات مسؤولية كل شخص في أي منظمة أعمال. ومع ذلك، فإن الوسائل المستخدمة في تعيين ومراقبة مسؤوليات الأمن للأفراد والمجموعات تختلف على نطاق واسع. ومن هنا تأتي ضرورة الحوكمة لبناء فهم مشترك لأمن المعلومات بين قادة الأعمال و مسؤولي الأمن في المؤسسات.

شارك المقال
اضف تعليق

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر قراءة

أمن قواعد البيانات
أمن قواعد البيانات – خطوات بسيطة نحو حماية أفضل
أمن انترنت الاشياء
أمن انترنت الأشياء IOT الاسباب والحلول
تقييم المخاطر
كيفية تقييم مخاطر الأمن السيبراني في خمس خطوات
مبادئ أمن المعلومات
مبادئ أمن المعلومات – العناصر الخمسة في AAA
هجوم حقن قواعد البيانات SQL
هجوم حقن قواعد بيانات SQL – دليل سريع للحماية
الهجمات على الشبكات اللاسلكية
التشفير في الشبكات اللاسلكية – طرق الحماية و حدودها
المرونة الإلكترونية للحماية من المخاطر السيبرانية
نهج عملي لإدارة المخاطر والمرونة الإلكترونية
مراقبة الشبكة و تحليل البيانات
مراقبة الشبكة – أنواعها، أدواتها و أهميتها في عالم الأعمال