8 طرق لحماية الشركات من مخاطر أمن المعلومات
تواصل مسألة أمن المعلومات وإدارة مخاطر التقنيات اكتساب المزيد من الأهمية والانتشار، في ظل الصراع المستمر لخبراء المخاطر والأمن مع المدراء غير التنفيذيين للمعلومات.
ووفقا لبيان صحفي تلقى مصراوي نسخة منه اليوم الثلاثاء، قال بول بروكتر، نائب الرئيس والمحلل المتميز لدى مؤسسة الأبحاث والدراسات العالمية ”جارتنر”، إن أكبر التحديات التي تواجه الفرق الأمنية لا تتعلق بكيفية الحد من المخاطر، وإنما بكيفية نقل فوائد إدارة المخاطر للإدارة العليا، وقال في هذا الصدد: ”إن وتيرة التغيير في عصر الشركات الرقمية وإنترنت الأشياء تشير إلى دخول خبراء المخاطر والأمن في حالة صراع مستمر ما بين الشركات الراغبة في دفع مسيرة الابتكار، وفريق العمل الأمني الذي يتوجب عليه كبح جماح المخاطر”.
وأضاف: ”يتمثل التحدي في كيفية جمع كلا الطرفين للعمل بانسجام وتناغم، وللقيام بذلك تحتاج فرق العمل الأمنية إلى تعلم كيفية إيصال فوائد التغييرات الأمنية بقدر ما ينجحون بإيصال فوائد تغييرات المخاطر”.
وفي تقريره الأخير الذي ربط ما بين المخاطر والأمن بأداء الشركات، قدم بروكتر ثمانية نصائح إرشادية عملية لإيصال الفوائد لصناع القرار من المدراء التنفيذيين:
1. الاستعانة ببرامج المخاطر والأمن بشكل رسمي
البرامج الرسمية قابلة للتكرار والقياس، فهي تحتوي على أربعة مراحل رئيسية، وهي الإدارة والتخطيط والبناء والتشغيل.
2. مؤشر قياس أداء البرنامج
يجب استخدام مؤشر لقياس أداء البرنامج وتحديد الثغرات والفرص المتاحة لتطويره، كما أن هذا المؤشر الموضوعي مفيد لصناع القرار من المدراء التنفيذيين الذين لا يلمون بالأمور التقنية في أغلب الأحيان.
3. استخدام منهجيات مبنية على المخاطر
يشكل مصطلح إدارة المخاطر بحد ذاته اعترافاً صريحاً بأنه لا يوجد أي حل يؤمن الحماية الكاملة، لذا يتوجب على الشركات والمؤسسات اتخاذ قرارات واعية ومنطقية حول ما ستقدم عليه، وما ستفعله من أجل الحد من المخاطر. ويجب على الأطراف المعنية من غير فريق عمل تقنية المعلومات اتخاذ مثل هذه القرارات، وعدم الإلقاء بمسؤوليتها على خبراء تقنية المعلومات فقط. ولكن الأهم من ذلك، ينبغي على مدراء المخاطر اتباع نهج استباقي لتقييم المخاطر وإدارتها، فعليهم إدارة المخاطر، لا العكس.
4. استخدام المؤشرات الرائدة في حالات المخاطر
يتوجب على مدراء المخاطر الاستعانة بمؤشرات رائدة وجديدة لأداء الشركات، التي تضم كلا من مؤشرات الأداء الرئيسية ومؤشرات المخاطر الرئيسية، ولا ينبغي عليهم التركيز فقط على مؤشرات الأداء الرئيسية لتقنية المعلومات. بذلك سيؤكدون على المفهوم القائل بأن مخاطر تقنية المعلومات تتعلق فقط بتقنية المعلومات.
5. مؤشرات المخاطر الرئيسية إلى مؤشرات الأداء الرئيسية
تمتلك معظم المؤسسات وفرة في مقاييس مخاطر وأمن عمليات التشغيل، وعلى الرغم من القيمة العالية لهذه المقاييس على مستوى العمليات الداخلية، إلا أنها تعكس قيمة تكاد لا تذكر بالنسبة لصناع القرار في الشركات. لذا، فإن مؤشرات المخاطر الرئيسية الجيدة عادة ما تكون بسيطة وقابلة للقياس، ولها تأثير مباشر على مؤشرات الأداء الرئيسية المتعددة.
6. ربط مبادرات المخاطر مع أهداف الشركة
يجب استخدام المخاوف وعدم اليقين والشك للحصول على الدعم التنفيذي المعطل، فالمدراء التنفيذيين لا يرغبون بسماع إلى أي درجة من السوء ستؤول إليه الأمور في حال لم يستثمروا في مجال إدارة المخاطر والأمن. كما أنه من غير المجدي الاتكال على إيرادات الاستثمار، وذلك لأن المخاطر لا ترجع كل دولار يتم إنفاقه عليها، وأفضل طريقة لكسب تأييد ودعم المدير التنفيذي تتمثل في إثبات قيمة هذا الاستثمار بالنسبة للشركة.
7. إزالة ربط المقاييس التشغيلية مع الإدارة التنفيذية
يجب عدم ربط المقاييس التشغيلية مع الإدارة التنفيذية في الشركة، فالمدراء التنفيذيون يفتقرون إلى الخبرات والتدريب الضروري للإلمام بمدى أهمية هذه المقاييس في سياق عمل الشركة.
8. الشفافية في استعراض النقاط الإيجابية والسلبية
في خضم هذا العالم القائم على سياسة المخاطر، فإن الجمهور المرتبط بشكل مباشر مع الشركات يرغب في معرفة ما هي المخاطر المترتبة عليهم؟ وما هو موقفهم الحالي منها؟ وماذا يتوجب علينا فعله لمواجهتها؟ لذا، فإن إيصال هذه الفكرة بشفافية يكسبكم نصف المعركة.
