لماذا لا يطبق مفهوم امن المعلومات

يواجه أكثر المهتمين بأمن المعلومات في القطاعات المختلفة صعوبة بالغة عندما يحاولون إقناع مديريهم بضرورة الالتفات لأمن المعلومات و تبنيه قبل فوات الأوان.
السبب في ذلك هو طبيعة متطلبات أمن المعلومات و تقنياته و التي سوف نتطرق لبعضها في هذا المقال:
أولاً: لا يمكن الاكتفاء بتطبيق تقنية أو اثنتين لحماية المعلومات و أنظمتها، فنظم مكافحة الفيروسات لوحدها مثلاًً لا تكفي، فهناك جبهات عديدة لا بد من التصدي لها.
ثانياً: لا يمكن الاعتماد على التقنيات فقط، و إن طُبقت جميعها. فأمن المعلومات يعتمد على ثلاث عوامل: التقنية و العمليات و الناس. و يقصد بالعمليات كل الإجراءات الواجب إتباعها لتحصين المعلومات و أنظمتها، و يقصد بالناس هم الأشخاص الذين يطبقون أمن المعلومات و تقنياته أو مستخدمو الأنظمة. إذا لابد من تكامل العوامل الثلاثة للحصول على مردود أفضل و آمان أكثر للمعلومة.
ثالثاً: لا يمكن تطبيق أمن المعلومات في قسم أو إدارة و ترك باقي المنظمة. لأن أي إخفاق قد يضر بالكل. فمثلاً تخيل أن منزلاً محصناً بسور و كافة الأبواب محكمة الإغلاق إلا باباً ترك مفتوحا، هل الضعف أو الخطر هنا مقصور بالباب المفتوح و المنطقة المجاورة له أم تعداه إلى المنزل بكامله!
رابعاً: من الصعب الحصول على العوامل الداعمة لأمن المعلومات (التقنية و العمليات و الناس) بدون تطوير و تحديث و يضل الوضع الأمني مستتباً. فأمن المعلومات متجدد بقدر تقدم تقنية المعلومات.
خامساً: من الخطأ الجزم أو القول بأن معلومات المنظمة و أنظمتها آمنه تماماً حتى وإن طبقت جميع عوامل النجاح فالوضع الأمني نسبي و متغير، و كما قال البعض بأن آمن وضع للحاسوب أن تقطع اتصاله بالانترنت و تدفنه في حفرة عميقة. لكن هذا لا يُفهم منه أن من الأفضل ترك تطبيق مفهوم أمن المعلومات بما انه لا يمكن الوصول لوضع أمني تام، لكن 80% وضع آمن أفضل من 10% وضع آمن. فمثلاً هل الشاحنة المصفحة لنقل النقود بين البنوك على ما فيها من تجهيزات أمنية عالية آمنه تماما؟ً، بالطبع لا، لكنها أفضل بكثير من سيارتي و سيارتك في نقل النقود.
سادساً: نظراً للطلب العالمي و المتزايد على تطبيق أمن المعلومات و قلة الخبراء و الموارد البشرية المتخصصة في أمن المعلومات فان احد المعوقات لتطبيق أمن المعلومات هو ندرة المتخصصين و ارتفاع تكاليفهم.
سابعاً: من المفاهيم و الممارسات المتبعة في كثير من المنظمات هو تصدير(Outsourcing)بعض مهام المنظمة و إسنادها لجهات مختصة لإدارتها و تنفيذها، و تلجأ المنظمات لذلك لتقليل التكلفة و قلة خبرتها بتلك الأعمال و التركيز على أعمال الشركة الجوهرية. لكن عندما نتكلم عن تطبيق أمن المعلومات و إسناده للغير فهذا أمر نادراً ما تُقدِم عليه المنظمات، فالبرجوع للدراسة التي أجراها كل من CSI/FBIاتضح أن أكثر من 63% من المنظمات لا تقوم بإسناد تطبيق أمن المعلومات للغير و أن اقل من 1% من المنظمات تقوم بإسناد أكثر من 80% من تطبيقات أمن المعلومات. و يرجع ذلك إلى طبيعة أمن المعلومات التي تتطلب التطبيق الشامل على جميع قطاعات المنظمة و لا يقتصر بتطبيقه على قطاع أو إدارة معينة و كذلك يرجع السبب إلى حساسية هذا الأمر .
ثامناً: لا يمكن دائماً الحصول من أمن المعلومات على إيرادات و منافع ملموسة يمكن حسابها بالريال كباقي التقنيات الأخرى. حيث تعتبر مردودات أمن المعلومات مردودات غير ملموسة (intangible benefits) و هو أمر طبيعي، فليس كل الاستثمارات ذات مردود ملموس، فمثلا التأمين ليس له مردود إلا إذا حصلت كارثة ما. لكن الأهم معرفته عن أمن المعلومات هو فائدته في تقليل المخاطر المتربصة بأنظمة المنظمة و أعمالها و بالتالي يمكننا القول بأهمية أمن المعلومات في المحافظة على إيرادات الشركة من المخاطر و الحد من زيادة المصاريف التي قد تنجم عن معالجة المخاطر عندما تحدث.
إذا، نخلص إلى أن أمن المعلومات تطبيق مختلف عن باقي تطبيقات و تقنيات المعلومات و لا يمكن القياس بينهم مع علاقتهم ببعض و لابد من فهم هذا المفهوم و القيام بتطبيقه بطريقه سليمة و مدروسة حتى يؤتي أكله. و لعل أهم حافز في نجاح تطبيقه و التغلب على المعوقات المختلفة هو اقتناع و دعم الإدارة العليا في المنظمة لتطبيق أمن المعلومات، فهل إدارة منظمتك العليا مقتنعة و داعمة لذلك؟ إذا كانت الإجابة بلا فيجب البدء بإقناع و “بيع” فكرة تطبيق أمن المعلومات أولا على الإدارة العليا، و لا أخفيك سراً أن اقتناع الإدارة العليا بأمن المعلومات ليس سهل المنال.

الكاتب ayman

ayman

مواضيع متعلقة

اترك رداً