تواجه العديد من المؤسسات اليوم ثورة حوكمة عالمية يمكن أن تؤثر بشكل مباشر على ممارسات إدارة المعلومات الخاصة بها. تمثل حوكمة أمن المعلومات، المتطلبات المفروضة من قبل الكيانات الداخلية والخارجية التي تحدد كيفية حماية تلك المؤسسة لأصولها، بما في ذلك الأنظمة والمعلومات. تملي حوكمة الأمن كيفية إدارة المؤسسة للمخاطر، والامتثال للمتطلبات التنظيمية، وتشغيل برامج تكنولوجيا المعلومات والأمن السيبراني. يشارك معكم روبودين في هذا المقال مراجعة للحوكمة الداخلية والخارجية وكيف تتماشى وظائف الأمن مع متطلبات العمل. كما يتناول بإيجاز الأدوار والمسؤوليات المختلفة التي تنطوي عليها إدارة الأمن السيبراني.
الحوكمة الداخلية والحوكمة الخارجية
تنبع الحوكمة الداخلية من داخل المؤسسة في شكل سياسات وإجراءات ومعايير وإرشادات معتمدة. لكن تلك المتطلبات الداخلية، والتي يتم التعبير عنها عادةً في شكل سياسات أمنية، موجودة لدعم الحوكمة الخارجية. على سبيل المثال، إذا كان هناك قانون أو لائحة خارجية مفروضة على المؤسسة ، يتم كتابة السياسات الداخلية لتحديد كيفية اتباع هذا القانون أو اللائحة وتنفيذها داخل المؤسسة. تفرض السياسات والحوكمة الداخلية الأخرى معايير سلوك إلزامية تحددها الإدارة العليا. يجب أن يتوافق تطوير وإدارة الحوكمة الداخلية مع استراتيجية المؤسسة المعلنة ورسالتها وأهدافها.
أما الحوكمة الخارجية فتنشأ من مصادر خارج المؤسسة. ولا تستطيع المنظمة التحكم في متطلبات الحوكمة الخارجية أو تجاهلها، لأنها تنبع من مصادر مختلفة بما في ذلك القوانين واللوائح ومعايير الصناعة. وتحدد الحوكمة الخارجية إلى حد كبير كيفية حماية المؤسسات لفئات معينة من البيانات، مثل بيانات الرعاية الصحية، والبيانات المالية، والمعلومات الشخصية. كما توجه الحوكمة الخارجية كيفية تفاعل المؤسسة مع الهيئات التنظيمية، ومنظمات المعايير، والشركاء التجاريين، والعملاء، والمنافسين، وما إلى ذلك. تعتبر الحوكمة الخارجية إلزامية ولايمكن تغييرها أو تجاهلها من قبل المؤسسة.
حوكمة أمن المعلومات – الاتساق مع استراتيجية العمل
لا يوجد الأمن من أجل ذاته. إنه في الواقع عامل تمكين للأعمال. وبالتالي، يجب أن يستكمل أمن المعلومات، ويدعم مهمة المؤسسة واستراتيجيتها ورسالتها وأهدافها وغاياتها. علماً أن المهمة بهذا المعنى هي الغرض المعلن للمؤسسة، والسبب وراء وجودها في قطاع الأعمال. على سبيل المثال، مهمة شركة تصنيع حبيبات البلاستيك هي توريد المواد الأولية للمعامل الأكبر حجماً. ولذلك، مهمة المؤسسة مستمرة ونادراً ما تتغير. أما الأهداف فهي ما تريد المؤسسة تحقيقه لتعزيز مهمتها. تتم صياغة معظم الأهدافضمن أطر زمنية، يشار إليها بالأهداف طويلة الأجل، وأهداف متوسطة الأجل، وأهداف قصيرة الأجل، وهو ما يتسق مع الأهداف الاستراتيجية والتشغيلية والتكتيكية. الأهداف الاستراتيجية الطويلة الأجل، عادة ما تكون من ثلاث إلى خمس سنوات، تعالج قضايا وأفكار على مستوى عال لدعم مهمة الشركة. تغطي الأهداف التشغيلية أطر زمنية أقصر، عادة من سنة إلى ثلاث سنوات (قريب المدى) وتركز على المتطلبات اللازمة للحفاظ على عمليات سلسة وناجحة. تشير الأهداف التكتيكية إلى الأنشطة اليومية أو قصيرة المدى التي تنجز المهام الروتينية.
يجب أن يكون لدى منظمات الأعمال استراتيجية لتكنولوجيا المعلومات واستراتيجية داعمة للأمن السيبراني لدعم الأهداف التجارية الاستراتيجية والتشغيلية. على سبيل المثال، إذا حددت استراتيجية عمل المؤسسة التوسع في بلدان أخرى على مدى السنوات الخمس المقبلة، فإن استراتيجية تكنولوجيا المعلومات والأمن السيبراني تتوافق مع تلك الأهداف وتصف كيف يجب أن تتطور البنية التحنية التقنية خلال هذا الإطار الزمني لدعم جهود التوسع. تدعم أنشطة تكنولوجيا المعلومات والأمن السيبراني التشغيلية والتكتيكية بدورها استراتيجياتها الخاصة من خلال دعم العمليات التنظيمية المختلفة الموجودة لتنفيذ المهمة.
حوكمة أمن المعلومات – رؤية تجارية
يجب أن تتكامل جميع أنشطة الأمن السيبراني مع العمليات في الشركات وتدعمها، سواء كانت عمليات عالية أو منخفضة المستوى، أو إستراتيجية أو تكتيكية. وفي المقابل، يجب مراعاة الأمن السيبراني عند تطوير هذه العمليات وتنفيذها. على سبيل المثال، يعد إطلاق خط إنتاج رئيسي جديد قراراً تجارياً يجب دعمه بتوسيع البنية التحتية لتكنولوجيا المعلومات والحفاظ على أمان هذه الأنظمة الجديدة وقابليتها للتشغيل المتبادل. كما يجب على الموظفين المسؤولين عن إطلاق خط الإنتاج الجديد مراعاة متطلبات الأمن السيبراني أثناء تصميمه وتنفيذه. غالباً ما يشكل كبار المديرين التنفيذيين لجان حوكمة أمنية لتقييم وتقديم ملاحظات حول كيفية تأثير الأمن على العمليات التجارية الجديدة أو القائمة والمشاريع والقدرات وتأثرها بها. هناك أيضاً بعض مستويات المخاطر المرافقة للعمليات التجارية والمشاريع الجديدة، والتي يجب على الإدارة العليا للمنظمة معالجتها. كما ترتبط العديد من العمليات التنظيمية الرئيسة ارتباطاً وثيقاً بالبنية التحتية للأمن.
وظائف أمن المعلومات
في كل مؤسسة، يتم تعيين أشخاص مسؤولين عن الوظائف الأمنية على مستويات متعددة. ومن هذه الأدوار والمسؤوليات الأمنية، ما يلي:
- مدير المعلومات الرئيسي (CIO): وهو عضو الإدارة التنفيذية المسؤول عن جميع نشاطات تكنولوجيا المعلومات في المؤسسة.
- مدير أمن المعلومات الرئيس (CISO): عضو الإدارة التنفيذية المسؤول عن جميع جوانب أمن المعلومات في المؤسسة.
- مدير الخصوصية الرئيس (CPO): مسؤول عن ضمان الحفاظ على أمان بيانات العملاء والمؤسسة والموظفين الشخصية واستخدامها بشكل صحيح.
- مالك البيانات: مسؤول عن تصنيف معين للبيانات. يحدد حساسية البيانات ويضع قواعد التحكم في الوصول لتلك البيانات كما يوجه استخدام ضوابط الأمان لحماية البيانات.
- أمين البيانات: (غالباً الـ IT) مسؤول عن التنفيذ اليومي لضوابط الأمان المستخدمة لحماية البيانات.
- المستخدمون: مسؤولون عن تنفيذ متطلبات الأمان على مستواهم، والتي تشمل اتباع السياسات واستخدام
- معايير أمان جيدة بشكل عام.
أطر حوكمة أمن المعلومات
الأطر هي عمليات ومنهجيات شاملة تحدد المسار الذي يجب أن تتبعه المؤسسة لأداء وظائف الأمان. هناك أطر لإدارة المخاطر توصي بمنهجيات المخاطر والخطوات التي يجب اتخاذها لتقييم المخاطر والاستجابة لها. كما توجد أطر
تستخدم لإدارة أصول تكنولوجيا المعلومات. و تحدد أطر التحكم في الأمان مجموعات من الضوابط، أو التدابير الأمنية، التي يجب على المؤسسة تنفيذها لحماية أصولها والحد من المخاطر. هناك مجموعة متنوعة من تلك الأطر ومنها:
- إطار NIST CSF: يتكون من عناصر تحكم أمنية مفصلة تغطي مجالات مثل التحكم في الوصول والتدقيق وإدارة الحسابات وإدارة التكوين وما إلى ذلك.
- ISO 27001 : عناصر تحكم أمن المعلومات المستخدمة دولياً وتغطي مجالات مثل التحكم في الوصول والأمن المادي والبيئي والتشفير والأمن التشغيلي. وهو جزء من سلسلة معايير ISO/IEC 27000 التي تغطي أنظمة إدارة أمن المعلومات.
- ضوابط مركز أمن الانترنت (CIS): تتألف من 18 من الضوابط الأمنية في مجالات مثل التحكم في المخزون والأصول وحماية البيانات والتكوين الآمن وإدارة الثغرات الأمنية وما إلى ذلك.
كلمة أخيرة
ناقشنا حوكمة الأمن والمفاهيم الداعمة لها. وتعرفنا إلى الحوكمة الداخلية والخارجية. تأتي الحوكمة الداخلية من سياسات وإجراءات المؤسسة. بينما تأتي الحوكمة الخارجية من القوانين واللوائح. كما راجعنا كيفية تكامل وظائف الأمن ومواءمتها مع استراتيجية منظمات الأعمال وأهدافها ورسالتها وأغراضها.
