مقدمة فى الـ Security Governance - بناء الحماية الكامل ضد التهديدات السيبرانية

Security
الطريق الكامل الذى تضعة المؤسسات على اتخاذ القرارات بشأن مخاطر الأمن السيبراني
Mostafa Tamam
March 25, 2023, 9 p.m.
mostafa_tamam
مقدمة فى الـ Security Governance - بناء الحماية الكامل ضد التهديدات السيبرانية

مقدمة

الحوكمة الأمنية او الـ Security Governance مصطلحات انتشرت ومعايير تطبق واموال طائلة تدفعها المؤسسات لحماية انظمتها وشركات تطلب بشكل مستمر موظفين يطبقوا معايير الحوكمة الأمنية, ففي مجال أمن المعلومات بسبب طبيعة وجود معايير واسس متنوعة لحماية الأعمال من المخاطر السيبرانية وتزايد اعداد الهجمات بشكل مستمر لابد من تحقيق معايير خاصة لكل مؤسسة ونهج مستمر لأبقاء المؤسسة بشكل امن ولذلك جاء مصطلح الحوكمة الـ Governance فما هو ؟ وكيفية تطبيقة فى مجال الأمن السيبرانى ؟ وكيفية تطبيق النهج المناسب داخل المؤسسة.... الخ , اسئلة سوف نجيب عليها من خلال سلسلة جديدة فى الـ Security Governance سنتناولها بشكل مفصل والله الموفق والمستعان.

ما هو مصطلح Security Governance ؟

تمتلك كل شركة إطارها الخاص من المعايير والعمليات والأنشطة لضمان عمل المنظمة بأكملها بسلاسة وبشكل مستمر, يجب الحفاظ على جميع بيانات الشركة وأنشطتها في مكان خاص مع امكانية الوصول الى هذة البيانات والأنشطة من خلال الأشخاص المصرح لهم فقط. فهذه ببساطة هي الحوكمة الأمنية أو بعبارة أخرى أبسط أمن المعلومات.

الحوكمة الأمنية هي الوسيلة التي تتحكم من خلالها في نهج مؤسستك للأمان عندما يتم إجراؤها بشكل جيد ، فإن الحوكمة الأمنية ستنسق بفعالية الأنشطة الأمنية لمؤسستك فتتيح تدفق المعلومات والقرارات الأمنية حول مؤسستك, تمامًا كما الأمن داخل المؤسسة يقع على عاتقهم مسؤولية حماية الجميع داخل المؤسسة, يقع على عاتق القيادة العليا للمؤسسة استخدام الحوكمة الأمنية لتحديد أنواع المخاطر الأمنية التي من الممكن الأستعداد لتحملها من قبل الموظفين ، وتلك التي ليست كذلك.

يجب أن يكون جميع أعضاء مجلس الإدارة على دراية بجميع أنواع المخاطر الإلكترونية وما هي المخاطر المستمرة. وكما نعلم هناك العديد من أنواع المخاطر السيبرانية في العالم مثل البرمجيات الخبيثة وهجمات الـ DDOS واشكال الأختراقات المختلفة والقائمة تطول, لذلك لكل نوع طريقة تعامل مختلفة, فمن خلال القيام بالحوكمة الأمنية يمكن للشركة منع أي خطر إلكتروني للتسلل إلى المؤسسة.

يمكن أن تعمل إدارة الأمن أو أمن المعلومات أيضًا كمقياس للأداء الشركة ،فكلما كانت المخاطر الإلكترونية منخفضة زادت تحقيق أهداف الشركة.

المشاكل التى تواجه العاملين فى مجال أمن المعلومات

لسوء الحظ ، شهدت العديد من المؤسسات الكبيرة والصغيرة تاريخياً الكثير من الهجمات والمخاطر الأمنية وتستمر في التعامل مع أمن المعلومات في الغالب من زاوية اكمال المهام وليس للضرورة, لطالما عانى مصطلح "الحوكمة" من نقص خطير في الفهم المحيط بمعناه، وقد أدى سوء الإدارة حول أمن المعلومات إلى وضع العديد من المنظمات نفسها في مستويات كبيرة من المخاطر السيبرانية, ولكسر هذه الحلقة تحتاج المؤسسات إلى بناء وعى حقيقي بالمخاطر والتهديدات التي تواجهها وما هى الضوابط الحقيقية التي تطبقها على مستويات الأفراد والعمليات والتكنولوجيا لحماية أنفسهم من تلك التهديدات.

كيفية تطبيق النهج المناسب للحوكمة الأمنية داخل المؤسسة ؟

لا يوجد نهج او معيار واحد يناسب الجميع سيختلف النهج الذي ستتبناه في النهاية, من الناحية الأولى يمكنك اختيار إطار عمل أمني رسمي مع أدوار وعمليات أعمال محددة بوضوح.

ستساعدك الإجابة عن الأسئلة التالية على تحديد مدى رسمية النهج المتبع داخل المؤسسة:
ما هو حجم ومدى كبر مؤسستك؟
ما هي الموارد المتاحة لإدارة الحوكمة الأمنية؟
ماذا تفعل مؤسستك ، وما مدى أهمية الأمن لتلك الأهداف؟

من الناحية أخرى ، يمكنك اختيار نهج غير رسمي أكثر للتوجيه والتحكم واتخاذ القرارات الأمنية , فمن الناحية العملية ، النهج الصحيح يعني تحديد:

القرارات الأمنية التي يجب اتخاذها
الأشخاص الذين سوف يصنعونها
المعلومات المطلوبة لاتخاذ خيارات معقولة ومستنيرة

حدد النهج المناسب لمؤسستك

يجب أن تفكر في المشكلات التي تواجه مؤسستك وأن تقرر النهج المناسب لك, هذا مهم لأن تبني اى عملية حوكمة أمنية, تأكد من أن عملك يظل متوافقًا مع المتطلبات التنظيمية والمعايير الأخرى.

فيما يلي بعض اطارات عمل إدارة أمن المعلومات الشائعة الاستخدام والتي ستساعدك على البقاء في حالة امنية مستقرة داخل عملك:
 
المعهد الوطني للأمن والتكنولوجيا (NIST)
المنظمة الدولية للتوحيد القياسي (ISO) بمعيار 27001
أهداف الرقابة للمعلومات والتقنيات ذات الصلة (COBIT)
قانون نقل المعلومات الصحية والمساءلات (HIPAA)
معيار أمان بيانات بطاقات الدفع (PCI DSS)

وسوف نتطرق فى الحديث عن كل هذة المعايير على حدة من خلال هذة السلسة.

اقرأ ايضا : معايير حماية البيانات ISO-27001 و PCI-DSS فى حفظ المعلومات

 

خاتمة

لا يمكنك إنشاء الأحساس بالمسؤلية وتطبيق معايير الحوكمة الأمنية إلا من خلال إشراك الموظفين مع رؤية واهداف المؤسسة ومنحهم أدوارًا ومسؤوليات واضحة كجزء من إطار عمل واضح لحوكمة أمن المعلومات. فمن خلال الحفاظ على هذة القاعدة سترى التغيير التنظيمي الحقيقي للمؤسسة. والى هنا ختام المقالة وبدأ سلسلة جديدة سنتناول فيها بشرح كل ما يخص الحوكمة الأمنية والسلام ختام wink

ونختم بقول الشاعر محمد الثبيتي smiley

مَضَى شِرَاعي بِمَا لا تَشتهِي رِيحِي & وفَاتَنِي الفِجْرُ إذْ طالَتْ تَرَاوِيحِي
أَبْحَرْتُ تَهوِي إلى الأعماقِ قَافِيَتِي & ويَرْتقِي في حِبالِ الرِّيحِ تَسْبِيحِي
مُزمَّلٌ فِي ثِيَابِ النُّورِ مُنْتَبِذٌ & تِلْقَاءَ مَكَّةَ أَتْلُو آيَةَ الرُّوحِ
واللَّيلُ يَعْجَبُ منِّي ثُمَّ يَسْأَلنُِي & بوابَةُ الرِّيحِ! مَا بوابةُ الرِّيحِ؟

 

References:

educause
e-spincorp
reciprocity

security governance introduction cyber security NIST ISO 27001 COBIT HIPAA PCI DSS Root-X Mostafa Tamam