إدارة أمن المعلومات والهيكلية الحديثة

لا يخفى على الجميع أهمية إدارة أمن المعلومات في مركز تقنية المعلومات في أي منشأة وخاصة الكبرى منها، ودورها الفاعل والمؤثر في العصر الحاضر الذي أمتاز بالانفجار والانفتاح المعلوماتي والتقدم التقني والسرعة العالية في نقل المعلومات، والتوجه العام إلى الحكومات الالكترونية، الأمر الذي يتطلب المحافظة على المعلومات المتداولة بين الجهات والقطاعات المختلفة دون تعرضها لأي تعديل أو تخريب يؤثر على سلامة المعلومة، مما دفع المختصين في تقنية المعلومات للدراسة والعمل على إيجاد وتفعيل هذه الإدارة لتقوم بدورها وتحقق أهدافها، والتي كانت سابقاً إدارة غير معروفة لدى البعض أو مهمشة أو ضمنيه مع إحدى الإدارات ذات العلاقة بها من منظور كل منشأة فمثلاُ البعض يدمجها مع إدارة الشبكات والبعض الآخر مع إدارة الخوادم. وفيما يلي بعض الجوانب المهمة التي تدعو إلى ذلك ومنها:

1-    السعي على فصل إدارة أمن المعلومات بالمنشأة وجعلها إدارة مستقلة بذاتها وعدم دمجها أو ربطها بأي إدارة أخرى، وذلك لأهمية إدارة أمن المعلومات وعلاقتها وتدخلها بشكل مباشر أو غير مباشر مع جميع إدارات تقنية المعلومات بالمنشأة، ولأن تأثيرها لا ينعكس عليها بل على جميع إدارات تقنية المعلومات دون استثناء، ومما يؤدي ذلك إلى انعكاس هذا التأثير على جميع مستخدمي المنشأة ، فلذلك يفضل فصلها كإدارة مستقلة.

2-    أن يكون اتصال هذه الإدارة ومرجعيتها إلى مدير تقنية المعلومات مباشرة (بمعنى أن تكون إدارة وسطى) وأن لا تكون إدارة ذات مستوى ثاني (إدارة تنفيذية) في الهيكلية التنظيمية للمنشأة، وقد دعمت ذلك توصيات مركز الأبحاث العالمي (Gartner) والبحث المقدم من قبل (Les Steven, Research Director-Security, Risk and Privacy  ) والذي كان بعنوان (Gartner Looks at Security Trends) والذي ركز في إحدى نقاطه على تعديل موقع إدارة أمن المعلومات في الهيكلية لكي تقوم بأداء عملها بالشكل المناسب والمطلوب منها ، وفيما يلي الشكل المقترع من قبل الباحث.

3-    من ضمن الدوافع التي تدعو إلى نقل موقع الإدارة من إدارة تنفيذية في الهيكلية إلى إدارة وسطى وارتباطها المباشر مع مدير تقنية المعلومات هو احتياج الإدارة إلى القوة والدعم المستمر من قبل الإدارة العليا لتفعيل وترسيخ أنظمتها الأمنية والتي تعتبر كإدارة المرور والتي تعمل على توطين الأمن وتوفير وسائل السلامة من جميع النواحي كأمن المنشأة وأمن الأفراد وأمن العمليات وأمن المعلومات ووضع خطة استمرارية العمل وخطة الطوارئ لا قدر الله (BCP/DR) وكل تلك الأمور تحتاج إلى دعم قوي ومستمر ولا يتأتى ذلك إلا من الإدارة العليا.

4-    وأيضاً من ضمن الدوافع هي أهمية إدارة أمن المعلومات كونها شريك فاعل في جميع المشاريع المختلفة لتقنية المعلومات بالمنشأة وباختلاف إداراتها لإبداء الرأي الأمني، والإطلاع على دراسة المشروع من بدايته (التصميم) إلى نهايته (التشغيل النهائي)، والتأكد من أمانه وخلو جميع عملياته وإجراءاته من الثغرات الأمنية المختلفة والتي قد تؤدي إلى الاختراق الأمني للمنشأة، ومتابعة خطة سير المشروع وتنفيذه في المنشأة وذلك للتأكد من عدم اختراقه لأي نظام أمني مفعل مسبقاً.

5-    ومن الناحية المالية فبنقل الإدارة إلى المستوى الأعلى أعتقد ومن رأي الشخصي ويختلف هذا المبدأ من منشأة لأخرى هو نظام توزيع الميزانية السنوية للمنشأة يكون على أساس الإدارات الوسطى والتي قد قامت مسبقاً بإعداد الخطة المقترحة لمشاريع السنة الحالية والميزانية المطلوبة لتنفيذها ، فبذلك سوف تحظى إدارة أمن المعلومات بنصيب مستقل ووافي عوضاً عن النصيب المشترك الذي كانت تحصل عليه مع الإدارة المنضمة معها. لأن مشاريع أمن المعلومات تعتبر نوعاً ما مشاريع مكلفه وتحتاج إلى ميزانية ودعم مالي مستمرين للمحافظة على أمان واستقرار الوضع بالمنشأة. 

وفي الختام نطالب جميع المنشئات بإعادة النظر في إيجاد وتفعيل إدارة أمن المعلومات بناءاً على ما تم ذكره آنفاً وذلك للمحافظة على سرية معلومات المنشأة والعملاء المنضمين لها وعدم تعرض خدماتها للتوقف أو التعطل لمرات عديدة مثلاً وبالتالي قد تفقد ثقة عملائها أو حماس وكفاءة موظفيها بسبب كثرة الاختراقات الأمنية والتي غالباً تؤدي على تشويه سلامة المعلومات ، مما يدعو إلى بذل جهد إضافي من الموظفين لمراجعة وصيانة والتأكد من سلامة المعلومات والتي كان يمكن العوض عن ذلك بتوفير إدارة تقوم بأداء عملها تكلف أقل بكثير من الخسائر الناجمة عن سوء الأوضاع الأمنية في المنشأة

الكاتب ayman

ayman

مواضيع متعلقة

اترك رداً