تعد الحوكمة أمراً بالغ الأهمية بالنسبة لمعظم مؤسسات نظراً لأن التدابير الأمنية التكتيكية ستفشل مع تطور التهديدات الأمنية الحديثة و توسع البنية التحتية التقنية. وبالتالي فإن حوكمة أمن وتكنولوجيا المعلومات توفر أساساً مستداماً للحماية عبر مجموعة من الأنشطة الإدارية التي تحدد الأدوار الرئيسية والمسؤوليات، وتوصف وتعالج المخاطر المتعلقة بالأصول الهامة، وقياس فاعلية عمليات أمن المعلومات. اعتماداً على هيكل المنظمة والغرض التجاري منها. فقد تكون هذه الحوكمة جزءاً من حوكمة تكنولوجيا المعلومات، أو قد تكون حوكمة الأمن قائمة بذاتها.
أدوار و مسؤوليات أمن المعلومات
تتوزع الأدوار والمسؤوليات في أمن المعلومات كما يلي:
- مجلس الإدارة: مسؤول عن تحديد أسلوب العمل و حدود تقبل المخاطر وإدارة المخاطر في منظمة الأعمال . كما يجب على مجلس الإدارة أن يأخذ أمن المعلومات في اعتباره عند تأسيس استراتيجية الأعمال.
- اللجنة التوجيهية: تتولى مسؤولية إنشاء الاستراتيجية التشغيلية للأمن وإدارة المخاطر في المؤسسة. يتضمن ذلك تحديد الأدوار والمسؤوليات الإستراتيجية والتكتيكية. بشكل أكثر تفصيلاً مما حدده مجلس الإدارة. وينبغي على اللجنة أن تضمن انسجام استراتيجية أمن المعلومات مع استراتيجية تكنولوجيا المعلومات والأعمال كما يجب عليها أيضاً التصديق على سياسة أمن المعلومات الأمنية والسياسات الأخرى ذات الصلة التي يطورها الـ CISO.
- كبير مسؤولي أمن المعلومات (CISO): من مسؤولياته، إجراء تقييمات المخاطر، تطوير السياسات الأمنية، تقييم الضعف وإدارة الحوادث الأمنية و التحكم بالوصول، وإدارة الامتثال. كما يكون الـ CISO مسؤولاً عن إبلاغ اللجنة ومجلس الإدارة بالحوادث والمخاطر الجديدة أو المتغيرة.
- جميع الموظفين: يجب أن يطلب من كل موظف في المؤسسة الامتثال للسياسة الأمنية، وكذلك ضرورة أن تستوفي عمليات المؤسسة متطلبات أمن المعلومات. كما يجب أن يكون مفهوماً للموظفين أن الامتثال لسياسة أمن المعلومات شرط لازم للتوظيف، وأن الموظفين الذين لا يلتزمون بها يخضعون لإجراءات تأديبية تصل لإنهاء العمل.
حوكمة أمن وتكنولوجيا المعلومات -السياسات
تحدد السياسات والإجراءات والمعايير السلوك التنظيمي لتكنولوجيا المعلومات واستخدامات التكنولوجيا. كما تحدد كيفية أداء خدمات تكنولوجيا المعلومات التي تدعم أعمال المؤسسة. ينبغي تطوير السياساسات والتصديق عليها من قبل إدارة تكنولوجيا المعلومات. توضح السياسات فقط ما يجب القيام به (أو عدم القيام به) في مؤسسة ما. وبهذه الطريقة، فإن السياسة تمثل مستنداً محكماً قد يستمر لسنوات عديدة مع تعديلات طفيفة فقط من وقت إلى آخر. تغطي سياسات تكنولوجيا المعلومات عادة جملة من المواضيع، بما في ذلك:
- الأدوار والمسؤوليات وهذا سوف يتراوح من العام إلى المحدد، عادة من خلال وصف كل دور ومسؤولية رئيسية في قسم تكنولوجيا المعلومات و ثم تحديد المنصب المسؤول عن ذلك.
- بيانات عامة حول المسؤوليات التي سيتقاسمها جميع موظفي تكنولوجيا المعلومات.
- العمليات المستخدمة في تطوير وتنفيذ البرامج للمؤسسة. عادةً ما يتضمن ذلك مفاهيم مثل مراجعة معايير الجودة وتطبيق متطلبات الأمن و آليات الاختبار.
- الجانب التشغيلي في تكنولوجيا المعلومات. ويشمل ذلك ولا يقتصر على: الدعم الفني،النسخ الاحتياطي، نظم المراقبة وأنشطة تكنولوجيا المعلومات اليومية.
- المعلومات الهامة الأخرى مثل: إدارة الحوادث، وإدارة المشاريع، إدارة وتخزين المستندات وسجلات الحوادث.
ومن المهم الانتباه أن سياسة تكنولوجيا المعلومات تركز بشكل عام على ما الذي ينبغي القيام به وما هي الأطراف المسؤولة عن الأنشطة المختلفة ولكن دون وصف الكيفية التي ينبغي بها تنفيذ هذه الأنشطة.
سياسة أمن المعلومات
تحدد سياسة الأمن كيف ستحمي المؤسسة أصولها المهمة. تحدد سياسة أمن المعلومات عدة مبادئ وأنشطة أساسية:
- الأدوار والمسؤوليات: تحدد السياسة الأمنية أدواراً ومسؤوليات محددة بما في ذلك أدوار المناصب المحددة في المؤسسة وكذلك مسؤوليات جميع الموظفين.
- إدارة المخاطر: كيفية عمل المؤسسة لتحديد ومعالجة المخاطر من خلال التقييمات الدورية وتحليل المخاطر، مما سيؤدي إلى اتخاذ قرارات بشأن سبل معالجة تلك علاج المخاطر المحددة التي تم تحديدها.
- العمليات الأمنية: تحديد العمليات مثل إدارة الثغرات الأمنية وإدارة الحوادث، ودمج الأمان في العمليات مثل تطوير البرامج، الاستحواذ والدمج، واختيار الموردين وإدارتهم، والتحقق الأمني من الموظفين كجزء لازم من عملية التوظيف.
من المتعارف عليه عموماً أن تكون سياسة وإدارة أمن المعلومات منفصلة عن سياسة وإدارة تكنولوجيا المعلومات. يمنح ذلك أمن المعلومات مستوى أعلى من التجرد والاستقلال عن تكنولوجيا المعلومات بشكل يمكن من تقييم أنظمة تكنولوجيا المعلومات بشكل موضوعي دون خوف من تضارب المصالح.
إجراءات أمن المعلومات
تصف وثائق الإجراءات، خطوة بخطوة كيفية تنفيذ عمليات ومهام أمن و تكنولوجيا المعلومات. تضمن وثائق الإجراءات تنفيذ المهام بشكل متسق وصحيح، عند تنفيذها من قبل مختلف موظفي أمن و تكنولوجيا المعلومات. بالإضافة إلى الخطوات الفعلية لدعم عملية أو مهمة، يجب أن تحتوي وثيقة الإجراء على عدة أجزاء من بيانات التعريف ومنها:
- معلومات مراجعة الوثيقة: تتضمن اسم الشخص الذي كتب الوثيقة والذي أضاف تغييرات عليها. كما يجب أن تتضمن الموقع الذي يمكن العثور فيه على النسخة الرسمية المعتمدة من هذا المستند.
- المراجعة والموافقة: اسم الجهة التي راجعت وثيقة الإجراء أخر مرة، بالإضافة إلى الاسم الجهة (المدير) الذي وافق على الوثيقة.
- الارتباطات : يجب أن تحدد الوثيقة الإجراءات الأخرى المتعلقة بهذا الإجراء. وهذا يشمل تلك الإجراءات التي تعتمد
على هذا الإجراء، والإجراءات التي يعتمد عليها هذا الإجراء.
لا يُفترض في المستندات الإجراءات أن تكون بديلاً عن الوثائق التي يقدمها البائع أو مزود الخدمة. على سبيل المثال، لا يحتاج قسم تكنولوجيا المعلومات بالضرورة إلى إنشاء مستند يصف خطوات تشغيل جهاز النسخ الاحتياطي عندما يكون بائع الجهاز قد وفر التعليمات ضمن وثائق الجهاز. بالإضافة إلى ذلك، لا يلزم أن تكون وثائق إجراءات تكنولوجيا المعلومات تلقينية تتضمن كل ضغطة مفتاح ونقرة بالماوس لأن المفروض أن قارئ هذه الوثيقة شخص مختص لديه خبرة في الموضوع. كذلك، يجب أن يحتفظ قسم تكنولوجيا المعلومات بفهرس لمستندات الإجراءات لتسهيل إدارتها. سيسمح ذلك لإدارة القسم بفهم المستندات الموجودة لديها بشكل أفضل ومتى تمت مراجعة وتحديث كل منها آخر مرة.
معايير أمن وتكنولوجيا المعلومات standards
معايير تكنولوجيا المعلومات هي وثائق رسمية معتمدة من الإدارة تحدد التقنيات والبروتوكولات والموردين والأساليب التي تستخدمها المؤسسة فيما يتعلق بتكنولوجيا المعلومات. تساعد هذه المعايير على تحقيق الاتساق مما سيجعل المؤسسة
أكثر فعالية وكذلك يخفض التكلفة. يمكن أن يكون هناك أنواع مختلفة من المعايير لإدارة تكنولوجيا المعلومات ومنها:
- التكنولوجيا: تحدد البرامج والأجهزة المستخدمة في المؤسسة، ويشمل ذلك ولا يقتصر على: أنظمة التشغيل، نظام إدارة قواعد البيانات، مخدمات التطبيقات، أنظمة التخزين، وسائط النسخ الاحتياطي، وما إلى ذلك.
- البروتوكول: البروتوكولات التي يتم استخدامها في المؤسسة. على سبيل المثال، قد تختار مؤسسة تكنولوجيا المعلومات استخدام TCP/IP v6 لشبكاتها الداخلية، وبروتوكولات FTPS لنقل الملفات، وSSH لإدارة الأجهزة، وما إلى ذلك.
- الموردين: ما الموردين والبائعين الذين سيتم استخدامهم لمختلف أنواع الإمدادات والخدمات. يمكن استخدام هذه المعايير لمساعدة المؤسسة في التفاوض و كذلك في إدارة العلاقة مع الموردين وتقليل مخاطر الطرف الثالث و سلاسل التوريد.
- المنهجية: الممارسات المستخدمة في العمليات المختلفة بما في ذلك تطوير البرمجيات، وإدارة النظام، وهندسة الشبكات، ودعم المستخدم النهائي.
- التكوين: التكوينات التفصيلية المحددة التي سيتم تطبيقها على الخوادم وأنظمة إدارة قواعد البيانات والمستخدم النهائي. يتيح ذلك للمستخدمين والمطورين والفنيين أن يكونوا أكثر راحة في التعاطي مع أنظمة تكنولوجيا المعلومات، لأن الأنظمة ستكون متسقة مع بعضها البعض مما يقلل من الاضطرابات التشغيلية و يرفع مستوى الجودة.
تُمكّن المعايير من تقليل عدد التقنيات التي يجب على فنيو المؤسسة اتقانها. فاعتماد نظام تشغيل واحد ونظام إدارة قاعدة بيانات واحد وخادم واحد يتطلب فقط بناء الخبرة في تلك التقنيات مما يسمح لإدارة تكنولوجيا المعلومات بإدارة ودعم البيئة بشكل أكثر فعالية مما لو كانت تستخدم طيفاً واسعاً من التقنيات.
حوكمة أمن وتكنولوجيا المعلومات – سياسة الخصوصية:
تكمل هذه السياسة مهمة أمن المعلومات و تتداخل معها بشكل إيجابي فهي تصف كيفية تعامل المؤسسة مع المعلومات التي تعتبر خاصة لأنها مرتبطة بأشخاص حقيقيين. تحدد سياسة الخصوصية نشاطين هامين في هذا الصدد:
- حماية المعلومات الخاصة التي تجمعها المؤسسة أو تخزنها أو تنقلها كجزء من مقتضيات العمل. يجب للإجراءات التي تأخذها المؤسسة ضمن هذا السياق أن تمنع الكشف عن المعلومات لأطراف غير مصرح لها.
- التعامل مع المعلومات الخاصة عندما تتطلب الأنشطة التجارية -المصرح عنها- للمؤسسة نقل بعض أو كل هذه المعلومات إلى أجزاء أخرى من المؤسسة أو إلى مؤسسات أخرى.
علاوة على ذلك، توضح سياسة الخصوصية حقوق المستخدمين فيما يتعلق بمعلوماتهم الخاصة المخزنة لدى المؤسسة.
فوائد حوكمة أمن المعلومات
تختلف مزايا نظام الحوكمة بناءً على مجال عملك، وتصميم نظامك، ومدى جودة تنفيذ فريق تكنولوجيا المعلومات له. ومع ذلك، إليك بعض الفوائد العامة التي يمكنك توقعها.
- تحسين أمن البيانات وحمايتها من الوصول غير المصرح به أو الكشف عنها أو تغييرها من خلال تنفيذ سياسات محددة جيداً. يتضمن ذلك مثلاً، فرض استخدام المصادقة المتعددة في كل أنظمة المؤسسة.
- تقليل مخاطر الحوادث الأمنية خروقات البيانات والهجمات السيبرانية نتيجة توفر آلية تسمح بتبني حلول استباقية و بالتعلم من الأحداث الأمنية و ليس فقط الرد عليها.
- الامتثال للمتطلبات التنظيمية المختلفة ومعايير الصناعة، مثل اللائحة العامة لحماية البيانات، من خلال وضع السياسات وتصميم العمليات لتتوافق مع جميع المعايير المعمول بها.
- تحسين استمرارية الأعمال والتعافي بعد الكوارث الطبيعية والهجمات السيبرانية وغيرها من الأحداث غير المتوقعة من خلال نشاء خطة لحماية أصول المعلومات الهامة والحفاظ على فاعلية الوظائف الأساسية أثناء الأزمات. يتضمن ذلك وجود إجراءات النسخ الاحتياطي واسترداد البيانات واستراتيجيات إدارة الحوادث واستعادة العمليات بسرعة.
كلمة أخيرة
تلعب حوكمة أمن المعلومات دوراً هاماً في تقليل مخاطر و تكاليف الأعمال كما ترفع مستويات الجودة وتحسن كفاءة المؤسسات. يمثل ضمان أمن المعلومات في المؤسسات الكبرى تحدياً حقيقياً لكن الحوكمة الرشيدة هي وحدها القادرة على طمأنة الإدارة والعملاء والشركاء والمساهمين. ولأهمية هذه النقطة نرى أن بعض أفضل الممارسات والمعايير الدولية (NIST، ISACA، ISO 27000 ، إلخ.) تتضمن الأن فصولاً حول الحوكمة الأمنية.