لا يوجد تعريف وحيد لمصطلح الحوكمة لكن يمكن اعتبارها مجموعة من الأنشطة والمسؤوليات التي تؤدي لتحقيق الأهداف التي حددتها المؤسسة من خلال تلبية احتياجات جميع أصحاب المصلحة. تعد حوكمة أمن المعلومات جزءاً من حوكمة المؤسسة و تهدف إلى مواءمة أمن المعلومات مع أهداف وغايات عمل المؤسسة، فضلاً عن ضمان تطبيق سياسات وممارسات أمن المعلومات بشكل متسق في كل مفاصل العمل. لا يوجد معيار واحد لأطر حوكمة أمن المعلومات، ولكن يجب أن يتضمن أي إطار بالحد الأدنى العناصر التالية:
- مواءمة استراتيجية أمن المعلومات مع استراتيجية الأعمال لتحقيق أهداف منظمة الأعمال.
- الإدارة الفعالة للمخاطر من خلال تنفيذ التدابير المناسبة لإدارة و التخفيف من المخاطر وتقليل التأثيرات المحتملة على موارد المعلومات إلى المستوى الذي تقبله المؤسسة.
- تقديم القيمة من خلال نوفير استثمارات أمن المعلومات الدعم لأهداف المنظمة.
- إدارة الموارد باستخدام المعرفة والبنية التحتية لأمن المعلومات بكفاءة وفعالية.
- قياس الأداء عن طريق قياس ورصد والإبلاغ عن مقاييس حوكمة أمن المعلومات لضمان تحقيق الأهداف.
حوكمة أمن المعلومات هي نهج شامل لإدارة أصول المعلومات وحمايتها بشكل استراتيجي عبر المؤسسة بأكملها. من خلال تنفيذ حوكمة أمن معلومات المؤسسة، يمكن للمؤسسات حماية أصول المعلومات الخاصة بها بشكل أفضل، والامتثال للمتطلبات التنظيمية، وإدارة المخاطر الأمنية بشكل فعال عبر المؤسسة بأكملها. ويساعد هذا النهج على ضمان أن يكون أمن المعلومات أولوية وأن يتم تخصيص الموارد بشكل فعال لحماية أصوله.
العوامل الخارجية في حوكمة أمن المعلومات
البيئة القانونية و التنظيمية: تخضع بعض المؤسسات لقوانين ولوائح تحكم عملها و تؤثر على برنامج الأمن فيها. وبالتالي يجب معالجة هذه الأمور على مستوى الإدارة لضمان امتثال المؤسسة لتلك المتطلبات. وعلى سبيل المثال لا الحصر، تعتبر (HIPAA) إطاراً للمؤسسات الطبية يتضمن متطلبات حماية معلومات المرضى.
متطلبات الصناعة: تتشكل برامج الأمان الخاصة ببعض المؤسسات وفقاً للمعايير والممارسات التي تحكم الصناعة التي تعمل فيها. أحد الأمثلة على ذلك هو معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS)، الذي يحدد متطلبات الأمان للشركات التي تتعامل مع بيانات أو معاملات بطاقة الائتمان أو تعالجها.
المخاطر والتهديدات التي تؤثر في كل مؤسسة: على سبيل المثال تواجه مؤسسة حكومية تهديدات مختلفة عن تلك التي يواجهها شركة تجارية خاصة بسبب طبيعة الأصول التي تتطلب الحماية و نوع الخصوم المحتملين ونواياهم. وبالتالي يجب على كل منظمة أن تفهم بيئات التهديد والمخاطر الخاصة بها وأن تبني برنامجها الأمني لمعالجتها.
العوامل الداخلية في حوكمة أمن المعلومات – الإدارة
فهم الإدارة وإدراكها: يبدأ الأمن في أعلى المؤسسة. ولذلك، يعتمد البرنامج الأمني الناجح على مواءمة فهم الإدارة للأمن مع فهم رئيس أمن المعلومات (CISO). لا يحتاج الرئيس التنفيذي أو رئيس مجلس إدارة المؤسسة إلى أن يكون خبيراً أمنياً. لكنهم يحتاجون إلى فهم دقيق لأهمية الأمن بالنسبة للمؤسسة. أحد جوانب وظيفة CISO هو تقييم فهم الإدارة للأمن، وإذا لزم الأمر، تحسينه.
الهيكل الإداري: أين يقع منصب الـ CISO أو مدير أمن المعلومات في الهيكل الإداري أو التنظيمي.؟ تختلف الإجابة من منظمة إلى أخرى ولا توجد إجابة “صحيحة”. في بعض المؤسسات، يقدم رئيس أمن المعلومات تقاريره مباشرة إلى الرئيس التنفيذي ويتمتع بسلطة إلى جانب سلطة المديرين التنفيذيين الآخرين مثل المدير المالي (CFO) أو كبير مسؤولي المعلومات (CIO). في المنظمات الأخرى، يقدم CISO تقاريره إلى مسؤول تنفيذي آخر مثل CIO أو المدير المالي. أي نهج يمكن أن يكون ناجحاً. الفكرة ليست مكان وجود CISO في المنظمة، بل التواصل الموجود بين CISO والرئيس التنفيذي والإدارة العليا. يجب أن يكون لدى الرئيس التنفيذي فهم دقيق لبيئة التهديدات والمخاطر ويجب أن يكون هناك تفاهم جماعي بين الإدارة ورئيس أمن المعلومات بشأن الاستراتيجية الأمنية للمنظمة.
العوامل الداخلية – دروس مستفادة
مستوى التواصل: كلما تعزز تبادل المعلومات والأفكار المتعلقة بأمن المؤسسة، كلما كان لبرنامج الأمن احتمالية أكبر للنجاح. في بعض الأحيان، إذا كان رئيس أمن المعلومات يقدم تقاريره إلى مسؤول تنفيذي أدنى من الرئيس التنفيذي، فقد يؤدي ذلك إلى وجود حاجز يمنع التوافق بين رئيس أمن المعلومات والإدارة العليا. لكن ليس الهيكل التنظيمي هو العامل الحاسم بالضرورة، بل التواصل هو الجسر الذي يصل بين مختلف مستويات القرار.
الثقافة والمناخ العام: توجد منظمات الأعمال من أجل تحقيق أهداف تجارية. أهم شيء بالنسبة لشركة هو تصنيع المنتجات، وتقديم الخدمات، وإنتاج المبيعات، وماشابه. ولذلك، عادةً ما يأتي أمن المعلومات في أسفل قائمة ما هو مهم. يحتاج المديرون إلى إدارة مؤسستهم لتحقيق أهدافها. يرغب الموظفون في أداء وظائفهم، والحصول على تقييم جيد للأداء ورفع مستواهم، والتقدم في حياتهم المهنية. كيف يتناسب أمن المعلومات مع ثقافة المنظمة؟ إن فهم أين يوجد الأمن، وأين يمكن أن يكون، وأين يجب أن يكون هي دافعة مهمة لبرنامج الأمن.
التاريخ والدروس المستفادة: من المهم التعلم من التجارب و تاريخ المؤسسة لقياس أداء برنامج أمن المعلومات وإجراء التغييرات عليه حسب الحاجة، حتى على أعلى مستوىحوكمة. لا يوجد شيء يجعل المنظمة تفكر بشكل مختلف حول الأمن مثل حادث اختراق أمني. إن الدروس المستفادة من قياس الأداء تجاه أحداث واقعية مثل الحوادث الأمنية هي الدوافع التي تؤثر على القرارات المتعلقة بحوكمة البرنامج الأمني.
فشل حوكمة أمن المعلومات
بينما نركز جميعاً على النجاح من المهم أن نتعرف على بعض مؤشرات حوكمة أمن المعلومات الغير ناجحة أو الغير ملائمة في المؤسسة:
- تتركز مسؤولية نشر تدابير أو ضوابط نظم المعلومات في قسم واحد (إدارة أمن المعلومات)
- يعتبر مدراء الأعمال أن نظم المعلومات هي مسؤولية حصرية لكبير مسؤولي أمن المعلومات (CISO) أو كبير مسؤولي المعلومات (CIO) وأن الأمر متروك لهما فقط لضمان المستوى المناسب من الحماية.
- لا يتدخل مجلس الإدارة في القرارات الإستراتيجية لأمن المعلومات ويفوض هذه المسؤولية لغيره معتبراً نفسه غير مؤهل لإبداء الرأي.
- لا يملك مسؤول أمن المعلومات الوسائل التي تضمن كفاية وتطبيق السياسات و الإجراءات الأمنية .
- لا يتم تقييم النشاطات التجارية و المنتجات قبل إطلاقها للتأكد من نجاحها الامتثال للاستراتيجية الأمنية أو لتحديد المخاطر الأمنية.
- ليس لدى مجلس الإدارة تقارير عن حالة أمن المعلومات ومدى كفايتها، وفعالية التدابير المعمول بها. بحيث لا يتاح لهم تقدير القيمة التي يضيفها أمن المعلومات على الأعمال.
- يشعر مسؤولو أمن المعلومات أنه لا يتم الاستماع لهم من قبل مدرائهم. و تقتصر صلاحياتهم على تنفيذ إجراءات حماية من التهديدات أو التعافي بعد الخوادث الأمنية.
كلمة أخيرة
يجب أن يحدد CISO الحوكمة الأمنية للمؤسسة في وثيقة مخصصة لهذا الغرض، يشار إليه أحياناً بخطة برنامج الأمن أو ميثاق أمن المعلومات. ويجب أن تكون هذه الوثيقة ديناميكية تتطور بمرور الوقت وأن تعكس دائماً النهج الحالي. يجب أن يوضح ميثاق الأمن كيفية توافق برنامج الأمن مع أهداف المنظمة وإدارتها. كما أن أحد الجوانب الرئيسية لحوكمة أمن المعلومات هو قياس ومراقبة برنامج الحوكمة نفسه. عادةً ما توظف هذه القياسات لدعم فهم المنظمة لمردود الأمن على الاستثمار (ROI). يجب أن تعرف المنظمة ما إذا كان الإنفاق في مجال الأمن كافياً وما إذا كان البرنامج الأمني يحقق أهدافه. في العديد من المؤسسات، يقضي CISO وقتاً طويلاً في قياس وفهم والتواصل لتبرير كلفة برنامج أمن المعلومات للمؤسسة ككل. يتم ذلك من خلال التقارير. يمكن استخدام بعض التطبيقات لجمع وتحليل وعرض تقارير المعلومات لأصحاب القرار.
