د.جعفر العلوان يرصد واقعه وجاهزيته من وجهة نظر رؤساء تقنية المعلومات أمن المعلومات في البنوك السعودية

​​في ظل ثورة التقنية، والمعلومات التي نعيشها اليوم؛ أضحت المعلومات هي الركيزة الأساسية في نجاح خطط التنمية؛ نظراً لأهميتها القصوى في اتخاذ القرارات وحل المشكلات وتطوير القدرات، والحفاظ على بقاء المؤسسات-بكافة أنواعها-وتطورها، وتميزها على جميع مستوياتها الإدارية. وقد صاحب هذه الثورة تطور مماثل في آليات وتقنيات التهديدات والمخاطر الإلكترونية؛ وهو ما لاحظناه وتابعناه جميعاً خلال الآونة الأخيرة. وتعد البنوك السعودية من بين أهم هذه المؤسسات التي تعتمد بشكل تام على الجانبين التقني، والمعلوماتي؛ بسبب مكانتها الكبيرة-خاصة ضمن النظام المالي في المملكة—ما يجعلها مستهدفة، وفي مرمي الهجمات الإلكترونية؛ وهو ما يسلط عليه د.جعفر بن أحمد العلوان الضوء في دراسته التي نستعرضها معكم في هذا العدد بعنوان: "أمن المعلومات في البنوك السعودية من وجهة نظر رؤساء تقنية المعلومات"، والمنشورة بمجلة "الإدارة العامة" الصادرة عن معهد الإدارة العامة.

علامات استفهام

يرى الباحث في مقدمة الدراسة أنه بالرغم من إيجابيات التقنية وأثرها البالغ؛ إلا أن هذا التطور العصري قد فتح الباب لظهور وتنامي العديد من التهديدات والهجمات التي تستهدف المعلومات في مؤسسات عديدة ومهمة؛ وهو ما يؤثر بشدة في مسيرتها، وأدائها، وسمعتها. وفي هذا السياق تبذل البنوك السعودية قصارى جهدها؛ لمواكبة التطورات التقنية، والاستفادة منها، ولحماية أنظمتها المعلوماتية من هذه التهديدات والهجمات، وذلك إذا أخذنا في الاعتبار ما أشار إليه خبراء ومتخصصون أن السعودية تتعرض في العام الواحد إلى ما يقدر بـ 60 مليون هجوم، أي بمعدل 160 ألف هجمة يومياً. ونظراً إلى أن تلك الهجمات أصبحت متكررة ومتسارعة، مثل ما حدث مؤخراً في هجمات "فيروس الفدية"، و"شمعون 1"، و"شمعون 2"، والتي كانت محط اهتمام المراقبين من داخل المملكة، وخارجها؛ فقد أثيرت علامات استفهام حول مدى جاهزية البنوك السعودية في التعامل مع تلك الهجمات الإلكترونية. ويشير د.جعفر العلوان إلى أنه مع صعوبة التحديد الدقيق لخسائر البنوك الناتجة عن الهجمات الإلكترونية، فإن لجنة الاتصالات وتقنية المعلومات بمجلس الشورى قدرت خسائر هذه البنوك بأكثر من مليار دولار خلال عامين فقط.

ومن الجدير بالذكر أن أهمية هذه الدراسة تبدو من الناحيتين: العملية في تقييم القاعدة الأمنية التي ترتكز عليها البنوك لمعرفة مدى قوة البنية التحتية المعلوماتية بما يكفي للاعتماد عليها والوثوق بها، ولفت نظر قادة تلك البنوك عموماً ومسؤولي الإدارات الأمنية خصوصاً إلى المستوى الحقيقي لمحاور وأبعاد أمن المعلومات المختلفة في البنوك السعودية، وأما من الناحية العلمية فتتعلق بأهمية موضوع أمن المعلومات من قبل الباحثين والمختصين، بالإضافة إلى استخدام معيار (27002) التابع للمنظمة الدولية للمعايير (ISO)؛ وهو ما يعد إضافة جديدة لحقل المعرفة بشكل عام ولأدبيات أمن المعلومات بشكل خاص.

معيار آيزو (27002)

يتناول د.العلوان في الإطار النظري لدراسته معيار آيزو (27002)، فيشير إلى أنه نظراً لتعدد محاور أمن المعلومات وازدواجية علاقتها مع الأطراف الفاعلة في المنظمة؛ تتجه المنظمات للاعتماد على المعايير المعدة خصيصاً لإدارة أمن المعلومات، والتي منها معيار آيزو (27002) المتعلق بأمن المعلومات، وأحد المعايير الأكثر استخداماً، وهو معيار يؤسس المبادئ التوجيهية والمبادئ العامة لبدء إدارة أمن المعلومات في المنظمة وتطبيقها والحفاظ عليها وتطويرها، ويتكون هذا المعيار من عدة محاور أبرزها المحاور السبعة التالية: سياسات أمن المعلومات، وتنظيم أمن المعلومات، وأمن الموارد البشرية، وإدارة الأصول، والرقابة على الوصول، والأمن المادي والبيئي، وأمن العمليات.

فبالنسبة للمحور الأول "سياسات أمن المعلومات"، فهي مجموعة من القوانين والتنظيمات والتوجيهات المتعلقة بكيفية تعامل الأشخاص مع المعلومات بجميع صورها؛ وتهدف إلى تقديم الدعم والتوجيه الإداري لأمن المعلومات، وذلك بما يتوافق مع متطلبات المنظمة، واللوائح والتنظيمات ذات العلاقة، ويجب أن تتضمن هذه السياسات تعريفاً لأمن المعلومات، وأهداف المعلومات، وأسس توجيه جميع الأنشطة ذات العلاقة بأمن المعلومات، وتحديد المسؤوليات العامة والخاصة لإدارة أمن المعلومات وتحديد الأدوار، وعمليات معالجة الانحرافات والتوقعات، ومن الأمثلة على موضوعات سياسات أمن المعلومات: التحكم في الوصول، والنسخ الاحتياطي، ونقل المعلومات، وإدارة الثغرات التقنية، والتحكم في التشفير. أما محور "تنظيم المعلومات"؛ فيهدف إلى تأسيس إطار إداري لبدء وتوجيه عمليات أمن المعلومات في المنظمة، ويتضمن هذا الإطار الإداري ثلاثة أبعاد هي: التنظيم الداخلي، وتنظيم الأجهزة المحمولة، وتنظيم العمل عن بعد. ويختص المحور الثالث بـ"أمن الموارد البشرية"؛ فيقرر أن إدارة الموارد البشرية مسؤولة بشكل عام عن عمليات هذه الموارد كالاختيار والتعيين والتدريب وإنهاء الوظيفة، لكن ذلك لا يعفي إدارة أمن المعلومات من أن تكون جزءاً من اللجان الوظيفية؛ وذلك لضمان أن الموظفين والمقاولين يدركون مسؤولياتهم الأمنية وأنهم مناسبون للأدوار المنوطة بهم.

وبخصوص المحور الرابع "إدارة الأصول"؛ فالهدف منها تحديد الأصول التنظيمية، وتحديد مسؤوليات الحماية المناسبة، وتتضمن إدارة هذه الأصول ثلاثة أبعاد هي: تحديد الأصول، وتصنيفها، والتعامل مع وسائط النقل والتخزين. ويركز المحور الخامس على "الرقابة على الوصول"؛ فلكل منظمة متطلبات للرقابة على الوصول تهدف لتقييد الوصول للمعلومات من خلال سياسة الرقابة على الوصول، وينبغي أن يكون لدى كل منظمة سياسة موثقة للرقابة على الوصول يتم مراجعتها اعتماداً على المتطلبات الأمنية لمعلومات المنظمة، ويندرج تحت هذا المحور ثلاثة أبعاد هي: إدارة وصول المستخدم، ومسؤوليات المستخدم، ورقابة الوصول على النظام والتطبيقات. ويهدف "الأمن المادي البيئي" الذي يمثل المحور السادس إلى منع الوصول المادي غير المصرح به لمعلومات المتنظمة ولمرافق معالجة المعلومات، ويتضمن هذا المحور بعدين مهمين هما: أمن المناطق والمباني، وأمن الأجهزة والمعدات. ويشكل "أمن العمليات" المحور السابع؛ حيث يشتمل على بعدين هما: الحماية من البرمجيات الخبيثة، والنسخ الاحتياطي.

مستويات متنوعة

وقد خلصت الدراسة إلى أن مستوى محاور وأبعاد أمن المعلومات في البنوك السعودية يتراوح من عالٍ إلى عالٍ جداً؛ فقد جاء هذا المستوى عالياً جداً فيما يتعلق بأربعة محاور هي: محور سياسات أمن المعلومات، ومحور الرقابة على الوصول بأبعادها الثلاثة (إدارة وصول المستخدم، ومسؤوليات المستخدم، ورقابة الوصول على النظام والتطبيقات)، وكذلك محور الأمن المادي والأمن البيئي ببعديه (أمن المناطق والمباني، وأمن الأجهزة والمعدات)، بالإضافة إلى محور أمن العمليات ببعديه (الحماية من البرمجيات الخبيثة، والنسخ الاحتياطي). واتصف هذا المستوى بأنه عالٍ فقط عبر ثلاثة محاور هي: محور تنظيم أمن المعلومات بأبعاده (التنظيم الداخلي، وتنظيم الأجهزة المحمولة، وتنظيم العمل عن بعد)، ومحور أمن الموارد البشرية ببعديه (قبل الخدمة، وأثنائها)، ومحور إدارة الأصول بأبعاده (تحديد الأصول، وتصنيفها، والتعامل مع وسائط النقل والتخزين).

وفي ضوء هذه النتائج يبدي د.جعفر العلوان عدداً من التوصيات، والتي منها ما يلي: تشجيع مشاركة سياسات أمن المعلومات مع جميع الموظفين وبالأخص موظفي تقنية المعلومات، وتحديد مسؤوليات حماية الأصول الفردية، ومسؤوليات عمليات أمن المعلومات، ومسؤوليات أنشطة إدارة مخاطر أمن المعلومات، ويجب اتباع إجراءات معينة لحالات السرقة أو ضياع الأجهزة المحمولة بحيث تأخذ في الحسبان المتطلبات القانونية والتنظيمية.

 
جميع الحقوق محفوظة: معهد الإدارة العامة