‫العدد الثالث‬

‫�آراء ورؤى عـاملية‬

‫التدقيق ادلاخيل‬
‫مكستشار إ�لكرتوين موثوق‬
 ‫�آراء ورؤى عاملـــيـة‬
‫التدقيق ادلاخيل مكستشار �إلكرتوين موثوق‬

‫قــامئـة احملتـــويـات‬ ‫املساهمون‬

‫مدينة كيب تاون – جنوب أفريقيا‬
‫التدقيق الداخيل كمستشار إلكرتوين موثوق ‪3 ........................................................................‬‬ ‫لندي‪,‬ي ندابا‪CIA ،‬‬
‫الرئيس التنفيذي للتدقيق‬
‫مجهود عمل جامعي ‪3 .........................................................................................................‬‬ ‫إيتيان بوستينجز‪CISA ،CCSA ،CIA ،‬‬
‫مدير أول للتدقيق‪ :‬نظم املعلومات‬
‫أندريه ستيلزنر‬
‫الدعم من قمة الهرم الوظيفي ‪5 ...........................................................................................‬‬ ‫مدير‪ ،‬نظام وتقنية املعلومات‬

‫فريسرتاند املحدودة – جنوب أفريقيا‬

‫قضايا ذات صلة ‪7 ................................................................................................................‬‬ ‫جينيثا جون‪CA)SA( ،QIAL ،CIA ،‬‬
‫الرئيس التنفيذي للتدقيق‬
‫األفكار املستنتجة ‪11 ............................................................................................................‬‬
‫مجموعة أسرتاليا للتأمني املحدودة – أسرتاليا‬
‫جيف جيكوبز‪ ،‬الرئيس التنفيذي ألمن املعلومات‬
‫العرض ‪ :1‬الرؤساء التنفيذيون الفاعلون للتدقيق يستثنون أنفسهم عرب إقامة عالقات‬ ‫يل سوليفان‪ ،‬الرئيس التنفيذي للتدقيق‬
‫استشارية مع أصحاب املصلحة ‪10 ........................................................................................‬‬
‫رودز‪-‬سالوسرتو‪-‬ماكغالدري (‪ )RSM‬األمريكية‬
‫لخدمات املحاماة – الواليات املتحدة األمريكية‬
‫العرض ‪ :2‬أن تصبح مستشارا ً إلكرتونياً موثوقاً ‪11 ...................................................................‬‬ ‫داميون جيوبفريت‪ ،‬مدير دويل لخدمات األمن‬
‫والخصوصية‬

‫الرشكة السعودية للصناعات األساسية (‪– )SABIC‬‬

‫اململكة العربية السعودية‬
‫غريغوري غروتشولسيك‪CISA ،‬‬
‫نائب الرئيس والرئيس التنفيذي للتدقيق‬

‫املعهد العاملي للتدقيق الداخيل – الواليات‬

‫املتحدة األمريكية‬
‫غريغ جاينيس‪CGFM ،CFE ،CRMA ،CIA ،‬‬
‫الرئيس التنفيذي للتدقيق‬
‫تشارلز ريدينغ‪ ،‬النائب التنفيذي للرئيس واملدير‬
‫التنفيذي للمعلومات‬

‫جامعة لوس أنديس – كولومبيا‬

‫جيمي كانو‪ ،CFA ،‬شهادة منظمة ‪Cobit5‬‬
‫بروفيسور جامعي‪ ،‬كلية القانون‬

‫جامعة فريجينيا – الواليات املتحدة األمريكية‬

‫جيسون بلفورد‪ ،‬الرئيس التنفيذي ألمن املعلومات‬
‫جريالد كانن‪CRISA ،CISA ،‬‬
‫مدير تدقيق تقنية املعلومات‬
‫فريجينيا إيفانز‪ ،‬املدير التنفيذي للمعلومات‬
‫رون هتشينز‪ ،‬نائب رئيس تقنية املعلومات‬
‫كارولني ساينت‪CPA ،CRMA ،CIA ،‬‬
‫الرئيس التنفيذي للتدقيق‬

‫‪globaliia.org‬‬
‫‪3‬‬
 ‫�آراء ورؤى عاملـــيـة‬
‫التدقيق ادلاخيل مكستشار �إلكرتوين موثوق‬

‫التدقيق ادلاخيل مكستشار إ�لكرتوين موثوق‬

‫ليــس مــن املعقــول أن يســتطيع شــخص مــا أن يكــون ملـ ّـاً بشــكل تــام مبوضــوع معقــد ومتغـ ّـر كموضــوع أمــن الفضــاء‬
‫اإللكــروين‪ ،‬فقــد أصبحــت الدرايــة واملعرفــة بهــذا املجــال أم ـرا رضوريّـاً بالنســبة للرئيــس التنفيــذي للتدقيــق أو رئيــس‬
‫التدقيــق الداخــي‪ .‬يف الواقــع‪ ،‬ونظـرا ً إىل الطبيعــة املتغــرة للمخاطــر والتهديــد التــي يقدمهــا فضــاء اإلنرتنــت‪ ،‬إال أن رئيسـاً‬
‫تنفيذيـاً للتدقيــق ذو إطــاع واســع بإمكانــه وضــع التدقيــق الداخــي يف موقــع مستشــار املؤسســة املوثــوق بــه يف هــذا‬
‫املجــال الصعــب ورفيــع املســتوى‪.‬‬
‫املجلس االستشاري‬
‫اإلحصاءات صادمة‪:‬‬ ‫نور حيايت بح ُر الدين‬
‫‪CRMA ،CGAP ،CFSA ،CCSA ،CIA‬‬
‫ففــي العــام ‪ 2015‬كان معــدل التكلفــة اإلجــايل الخ ـراق قاعــدة بيانــات هــو ‪ 3.79‬مليــون دوالرا ً أمريكي ـاً‪ ،‬أعــى‬
‫معهد املدققني الداخليني ‪ -‬ماليزيا‬
‫مــن معــدل عــام ‪ 2014‬والــذي كان ‪ 3.52‬مليــون دوالرا ً أمريكيـاً‪ ،‬وأعــى مــن معــدل عــام ‪ 2013‬بنســبة ‪ 23‬باملئــة‪.‬‬
‫تعكــس هــذه التكلفــة تحــول غــر معتــاد لحجــم تــداول العمــاء‪ ،‬ونشــاطات كســبهم املتزايــدة‪ ،‬إضافــة إىل تشــوه‬ ‫ليسيدي ليستيدي‪QIAL ،CIA ،‬‬
‫الســمعة وتــدري حســن النوايــا بــن النــاس‪.1‬‬ ‫معهد املدققني الداخليني ‪ -‬االتحاد األفريقي‬

‫فقــد اســتطاع مداهمــو الشــبكات الولــوج إىل شــبكات املؤسســات مبعــدل ‪ 205‬أيــام قبــل أن يتــم كشــفهم‪ ،‬وحــن إذ‬ ‫هانز نيوفالندز‪CGAP ،CCSA ،CIA ،‬‬
‫تبــن أن ‪ 69‬باملائــة مــن املؤسســات التــي وقعــت ضحيــة لهــذه الهجــات علمــت بالكارثــة مــن طــرف ثالــث بــدالً‬ ‫معهد املدققني الداخليني ‪ -‬هولندا‬
‫مــن أن يعلمــوا بهــا عــن طريــق موظفيهــم‪.2‬‬
‫كارم عبيد‪CRMA ،CCSA ،CIA ،‬‬
‫تــم تســجيل قرابــة ‪ 246‬مليــون اخ ـراق يف ‪ 888‬حــادث مــن الحــوادث التــي تــم الكشــف عنهــا يف النصــف األول‬ ‫عضو جمعية املدققني الداخليني ‪ -‬دولة اإلمارات العربية‬
‫مــن عــام ‪ ،2015‬نصــف هــذه الحــوادث يف أقــل تقديــر مل يتــم تحديــد عــدد الســجالت املخرتقــة فيهــا‪.3‬‬ ‫املتحدة‬

‫هــذه االخرتاقــات للشــبكات تحصــل يف كل أنحــاء العــامل‪ .‬ففــي النصــف األول مــن عــام ‪ 2015‬حــدث معظمهــا يف‬ ‫كارولني دي ساينت‪CRMA ،CIA ،‬‬
‫أمــركا الشــالية (‪ 707‬حــوادث مســجلة) تلتهــا اململكــة املتحــدة بـــ (‪ 94‬حادثــة مســجلة) ثــم القــارة اآلســيوية‬ ‫معهد املدققني الداخليني ‪ -‬أمريكا الشاملية‬
‫أخـرا ً بـــ (‪ 63‬حادثــة مســجلة)‪ .‬كــا أن خمســة مــن أصــل أكــر عــر حــوادث اخـراق‪ -‬مــن حيــث عــدد ســجالت‬
‫آنا كرستينا زمبرانو بريسيادو‬
‫البيانــات‪ -‬مل تحصــل يف رشكات أمريكيــة‪.4‬‬ ‫‪CRMA ،CCSA ،CIA‬‬
‫يف ضــوء إحصائيــات كهــذه‪ ،‬رصح رئيــس مؤسســة ريفيست‪-‬شــامري‪-‬أديلامن (‪ )RSA‬أميــت يــوران بــأن «صنعــة أمــن‬ ‫معهد املدققني الداخليني ‪ -‬كولومبيا‬
‫الفضــاء اإللكــروين يف طريقهــا للهاويــة‪ ،‬بــل قــد هــوت مــن حالــق»‪.5‬‬
‫التغذية الراجعة من القراء‬
‫أرسلوا أسئلتكم أو تعليقاتكم إىل الربيد االلكرتوين‪:‬‬
‫بيــد انــه ال أحــد ميكنــه أن يُنكــر األهميــة الكــرى ألمــن الفضــاء اإللكــروين – اإلج ـراءات التــي تــم اتخاذهــا لحاميــة‬
‫البيانــات يف األنظمــة املتصلــة باإلنرتنــت مــن التلــف والتدمــر والدخــول غــر مــرح بــه وســوء االســتخدام‪ .‬كــا أن‬ ‫‪globalperspectives@theiia.org‬‬
‫العديــد مــن العقــاء املرموقــن قــد أشــاروا إىل أهميــة هــذه القضيــة وركــزوا عليهــا منــذ ســنوات‪ .‬وتوقعاتهــم حقيقيّــة‪ ،‬اذ‬ ‫حقوق النسخ والنرش © ‪ 2016‬محفوظة ملعهد املدققني الداخليني العاملي («‪ .)»The IIA‬وعليه فإن أي استنساخ‬
‫ليــس هنــاك قناعـ ٌة مطلقـ ٌة بأنــه مــن املمكــن القضــاء بالكامــل عــى الهجــات اإللكرتونيــة‪ .‬كــا أشــار بروفيســور كليــة‬ ‫السم أو شعار معهد املدققني الداخليني العاملي ‪ IIA‬عليه أن يحمل عالمة التسجيل التجارية الفدرالية الخاضعة‬

‫القانــون يف جامعــة دي لــوس أنديــس‪ ،‬جيمــي كانــو‪ ،‬إن بيئتنــا الرقميــة ترشبــت «الفشــل املحتــوم»‪ .‬فاألمــن اإللكــروين هو‬ ‫ألحكام الواليات املتحدة األمريكية ®‪ .‬وال يتم انتاج أي جزء من أجزاء املادة املنشورة هنا إال مبوافقة أو اخطار‬

‫خطي من معهد املدققني الداخليني العاملي (‪.)The IIA‬‬

‫لعبــة الحــد مــن األرضار‪ ،‬والهــدف هــو إعاقــة أكــر قــدر ممكــن مــن االخرتاقــات بأفضــل طريقــة عندمــا يجــرؤ أحدهــم‬
‫عــى ذلــك‪ ،‬وإيقــاف املخرتقــن قبــل وصولهــم إىل تــاج املؤسســة الذهبــي (أي قاعــدة البيانــات الرئيســة)‪.‬‬

‫________________________________________‬
‫‪ 1‬معهد ‪ IBM‬و بونيمون‪ ,‬دراسة تكلفة اخرتاق البيانات ‪ :2015‬تحليل عاملي‪ ,‬بنا ًء عىل دراسة لـ ‪ 350‬رشكة من ‪ 11‬دولة‪.‬‬
‫‪ 2‬نــرة ‪ M-Trend‬للعــام ‪ 2015‬نظــرة مــن خطــوط الجبهــة مــن مؤسســة مانديانــت؛ بنــا ًء عــى خالصــة تحقيقــات االســتجابة للحــوادث للمؤسســة يف أكــر مــن ‪ 30‬قطاع ـاً‬
‫صناعي ـاً‪.‬‬
‫‪ 3‬جياملتو‪ ،‬مؤرش درجة االخرتاق (‪ ،)BLI‬قاعدة بيانات تسجل كل االخرتاقات العاملية املبلغ عنها‪.‬‬
‫‪ 4‬نفس املصدر السابق‪.‬‬
‫‪ 5‬مقال يف نرشة هاكيت‪ ،‬آر «لقد فشل األمن‪ :‬معاينة حرصية لعرض املؤمتر لرئيس مؤسسة (‪ ،»)RSA‬بعنوان النصيب بتاريخ ‪ 21‬أبريل ‪.2015‬‬

‫‪4‬‬ ‫‪globaliia.org‬‬
 ‫�آراء ورؤى عاملـــيـة‬
‫التدقيق ادلاخيل مكستشار �إلكرتوين موثوق‬

‫جمهود معل جامعي‬

‫إن هــذا املهمــة ال تقــع عــى عاتــق خ ـراء األمــن اإللكــروين وحدهــم‪ .‬بــل يجــب النظــر إليهــا بشــكل شــمويل ممنهــج‪،‬‬
‫حيــث أن آثــار اإلخفــاق قــد تـراوح مــن عجــز يف إمتــام الصفقــات التجاريــة مــرورا ً بخســارة املمتلــكات الفكريــة إنتهــا ًءا‬
‫إىل تشــويه الســمعة التجاريــة‪ .‬هــذه ليســت مخاطــر تقنيــة فحســب‪ ،‬وإمنــا مخاطــر متعلقــة باألعــال‪ ،‬وعليــه يجــب‬
‫أن يلعــب املدققــون الداخليــون دورا ً بــارزا ً فيــه‪ .‬والنجــاح يف هــذه املهمــة يعتمــد بشــكل كبــر عــى األهميــة املســداة‬
‫لهــا مــن ِقبــل مجلــس اإلدارة أو لجنــة التدقيــق إضاف ـ ًة إىل املواقــف التــي يتــم اتخاذهــا مــن قبــل الرئيــس التنفيــذي‬
‫للتدقيــق‪ .‬يوفّــر األمــن اإللكــروين فرصـ ًة كبــر ًة للرؤســاء التنفيذيــن للتدقيــق يك يُثبتــوا مكانتهــم كمستشــارين معتمديــن‪،‬‬
‫ويذهــب اىل أبعــد مــن مجــرد ضــان أن تدقيــق األمــن اإللكــروين يتــم تنفيــذه حســب الخطــة املتبعــة‪ ،‬مقدّم ـاً نظــرة‬
‫اسـراتيجية واســتباقية إلدارة األعــال‪ .‬وهــذا يســتلزم تحديــد أخطــار أمــن الفضــاء اإللكــروين وتأثريهــا عــى اسـراتيجية‬
‫األعــال وســمعتها‪ ،‬جاعـاً الحــوارات الشــفافة والرصيحــة بــن اإلدارة وكبــار املوظفــن ُممكنــة‪ ،‬مــع املطالبــة بالحاجــات‬
‫الالزمــة للعنايــة والدعــم الرضوريــن‪.‬‬

‫إن الرئيــس التنفيــذي للتدقيــق يحظــى مبوقــع جيــد عنــد إقامتــه عالقــات تعاونيــة قويــة مــع املديــر التنفيــذي للمعلومات‬
‫(‪ )CIO‬والرئيــس التنفيــذي ألمــن املعلومــات (‪ .)CISO‬هــذه العالقــات مــن شــأنها أن تبــن تلــك العالقــة اإلنســانية‬
‫املعرضــة لألخطــاء يف فهــم احتياجــات فريقــي أمــن وتقنيــة املعلومــات‪ ،‬ومــا ميكــن أن يقدمــه التدقيــق الداخــي‪.‬‬
‫وبحســب جينيثــا جــون‪ ،‬الرئيــس التنفيــذي للتدقيــق يف مؤسســة فريس ـراند املحــدودة‪ ،‬فــإن الرؤســاء التنفيذيــن ألمــن‬
‫املعلومــات بحاجــة إىل رأي موثــوق بــه ومؤثّــر مــن قبــل التدقيــق داخــي يف التوجهــات الدارجــة والقضايــا املوضوعيــة‬
‫والشــائعة يف األوســاط – إىل وجهــة نظــر اســترشافية اســتباقية ملستشــار موثــوق بــه‪ .‬فهــي تعتقــد بــأن التدقيــق الداخــي‬
‫بحاجــة إىل توضيــح القضايــا املتعلقــة بالكشــف عــن األمــور الحالي ـ ِة واملشــكالت التــي قــد تواجــه املؤسســة‪.‬‬

‫ميلــك املــدراء التنفيذيــون للمعلومــات (‪ )CIOs‬احتياجــات مشــابهة إىل حــد مــا الحتياجــات الرؤســاء التنفيذيــن ألمــن‬
‫املعلومــات (‪ ،)CISOs‬حســب مــا ذكــره تشــارلز ريدينــغ‪ ،‬النائــب التنفيــذي للرئيــس واملديــر التنفيــذي للمعلومــات‬
‫يف معهــد املدققــن الداخل ّيــن‪ .‬فقــد وضــح أن املــدراء التنفيذيــون للمعلومــات مييلــون إىل التعامــل مــع أمــن الفضــاء‬
‫اإللكــروين مــن الناحيــة التقنيــة‪ .‬بينــا يقــوم املدقّقــون الداخل ّيــون بتوســيع تلــك الرؤيــة مــن خــال تقديــم معلومــات‬
‫كبــار التّنفيذيّــن يف املؤسســة (والتــي تعــرف بـــ ‪ )C-Suite‬والتــي تســاعدنا يف تقييــم املخاطــر وتقــوم بالتعريــف بدرجــة‬
‫املخاطــر املســموح بهــا»‪ .‬إن دور التدقيــق الداخــي الــذي أشــار إليــه ريدينــغ يرتأســه غريــغ جانيــس‪ ،‬الرئيــس التنفيــذي‬
‫الشاكــة بــن التدقيــق الدّاخــي واملديــر التنفيــذي للمعلومــات‬
‫للتدقيــق مبعهــد املدققــن الداخليــن العاملــي‪ ،‬الــذي عـ ّزز ّ‬
‫«عندمــا نتواجــد أنــا وتشــارلز يف املكتــب‪ ،‬ال مي ـ ّر يــوم دون الحديــث عــن املخاطــر واألمــن اإللكــروين‪ .‬أنــا ال أعــرف‬
‫رش م ـ َع املديــر التنفيــذي‬
‫كيــف ميكــن لرؤســاء التّدقيــق التّنفيذيّــن أن يكونــوا فاعلــن إذا مل يكونــوا عــى تواصــل مبــا ٍ‬
‫للمعلومــات‪.‬‬

‫الســعوديّة للصناعــات األساســ ّية‬

‫غريغــوري غروتشولســي‪ ,‬نائــب الرئيــس والرئيــس التنفيــذي للتدقيــق يف الرشكــة ّ‬
‫(‪ )SABIC‬يؤك ـ ُد عــى أهم ّيــة ال ّجهــود الجامع ّيــة‪ ,‬لك ّنــه يشــر إىل أن دور الرئيــس التنفيــذي للتدقيــق املتعلّــق بأمــن‬
‫ـس التنفيــذي للتدقيــق يجــب أن يُــدرك‬‫املؤسســة‪ .‬فال ّرئيـ ُ‬
‫للشاكــة مــع ّ‬
‫ـب أبعـ َد مــن مجــرد تعزيــز ّ‬ ‫الفضــاء اإللكــروين يذهـ ُ‬
‫بــأن البيانــات توجــد يف صورتــن؛ ذو بنيـ ٍة منظّمــة (كالتطبيقــات املطـ َّورة) وذو بنيــة غــر منظّمــة (كالبيانــات املوجــودة‬
‫وكل منهــا قــد يكــون ذا منفع ـ ٍة لجهــات غ ـرِ مرغـ ٍ‬
‫ـوب بهــا‪.‬‬ ‫يف اإلكســل‪ ,‬الــوورد‪ ,‬إلــخ‪ٌّ )...‬‬

‫املؤسســة‪،‬‬ ‫ـب عــى ال ّرئيــس التنفيــذي للتدقيــق أن يكــون عــى معرفـ ٍة بـ ّ‬

‫ـكل ســبل الدخــول والخــروج اإللكرتونيــة مــن ّ‬ ‫يجـ ُ‬

‫‪globaliia.org‬‬
‫‪5‬‬
 ‫�آراء ورؤى عاملـــيـة‬
‫التدقيق ادلاخيل مكستشار �إلكرتوين موثوق‬

‫وأن يضمــن بــأن تتل ّقــى هــذه الطُّــرق عنايـ ًة واهتاممـاً مناســبني عــى جميــع املســتويات املتعلّقــة مبســتلزمات ّ‬
‫املؤسســة‪،‬‬
‫الرقابــة الالزمــة‪ ،‬وتأثــر املخاطــر والقــدرة عــى تح ّملهــا‪ .‬كــا يجــب عــى ال ّرئيــس التنفيــذي ليــس فقــط أن يتحــر لــرد‬
‫الفعــل املناســب‪ ،‬بــل وأن يتوقــع مــا قــد يحصــل‪.‬‬

‫ادلمع من مقة الهرم الوظيفي‬

‫كل مــروع كبــر يقــام بــه‪ ،‬أن يتــم القبــول باإلجــاع مــن قمــة الهــرم املؤســي أمــر‬ ‫عمليّ ـاً يف جميــع املؤسســات‪ ،‬ويف ّ‬
‫ـس اإلدار َة مــا زالــت ال تؤيّــد دعــم جهــود أمــن الفضــاء اإللكــروين‪ .‬فقــد أفــادت‬
‫يف غايــة األهميــة‪ .‬مــع ذلــك فــإن مجالـ َ‬
‫دراس ـ ٍة حديث ـ ٍة أ ّن ‪ 26‬باملائــة مــن األف ـراد الّذيــن متــت دراســة اســتطالع آرائهــم أشــاروا إىل أن الرئيــس التنفيــذي ألمــن‬
‫املعلومــات (‪ )CISO‬أو رئيــس األمــن التنفيــذي يقــوم بعــرض تقدميــي واحـ ٍـد ملجلــس اإلدارة يف ّ‬
‫الســنة‪ ،‬وباملقابــل هنــاك‬
‫نســبة مقاربــة لل ّنســبة األوىل (‪ 28‬باملائــة) رصحــت بأنــه مل يتــم بحــث أي عــرض تقدميــي عــى اإلطــاق‪ .‬والثّلــث تقريبـاً‬
‫أفــادوا بــأ ّن لجــان وأعضــاء مجلــس اإلدارة غــر مهت ّمــن باملخاطــر اإللكرتونيــة‪ .‬يف حــن أ ّن ‪ 15‬باملائــة فقــط أشــاروا إىل‬
‫االهتــام باملخاطــر اإللكرتونيــة مــن قبــل لجنــة التّدقيــق‪.6‬‬

‫مــع ذلــك يبــدو مــن الواضــح أن هــذا ال ّنفــو ُر املعتــا ُد مــن االنخ ـراط يف أمــن الفضــاء اإللكــروين قــد بــدأ يخبــو‪ .‬فقــد‬
‫بــدأت مجالــس اإلدارة تطالــب مبزيــد مــن املعلومــات عــن األمــن اإللكــروين واملخاطــر الكامنــة ضمــن مؤسســاتهم‪ .‬وهــذا‬
‫ـس فقــط ألنّهــم أدركــوا حجــم الــرر الّــذي قــد يتسـبّ ُب بــه هجــو ٌم مــا‪ ،‬بــل إن الضغــو ُط التنظيميــة أيضــا تدخــل يف‬ ‫ليـ َ‬
‫رص َح لويــس أغويــار‪ ،‬مفــوض لجنــة األوراق املاليــة والبورصــات‬ ‫الحســبان بال ّنســبة ملجلــس اإلدارة‪ .‬يف يونيــو عــام ‪ّ ،2014‬‬
‫«بــأن رقابــة مجالــس اإلدارة عــى املخاطــر اإللكرتونيــة أمــر حتمــي يف ســبيل ضــان قيــام املؤسســات باتخــاذ خطــوات‬
‫مناســبة مــن أجــل الحاميــة مــن األرضار التــي قــد تنشــأ عــن مثــل هــذا النــوع مــن الهجــات‪ .......‬إن مجالــس اإلدارة‬
‫التــي تهمــل وتقلــل مــن أه ّميــة أمــن الفضــاء االلكــروين تقــوم بهــذا عــى مســؤوليتها الخاصــة»‪.7‬‬

‫تحتــاج مجالــس ولجــان التدقيــق‪ ،‬وكبــار التنفيذيــن للمعلومــات ألداء مســؤولياتهم عــى أكمــل وجــه‪ .‬مــع امتيــاز‬
‫الوصــول إىل هــذه كل هــؤالء‪ ،‬ميكــن للتدقيــق الداخــي أن يســاعد يف الحفــاظ عــى تواجــد األمــن اإللكــروين ضمــن‬
‫جــداول أعاملهــم‪ .‬يــرى جــون أن دور الرؤســاء التنفيذيــن للتدقيــق واضــح وبـ ّـن‪ « :‬يجــب عــى الرؤســاء التنفيذيــن‬
‫للتدقيــق وضــع نتائــج التدقيــق بشــكل مناســب يف مســتويات الحوكمــة لــي يحصلــوا عــى االهتــام املطلــوب‪ ،‬ثــم رصــد‬
‫وتوفــر التحديثــات عــى جهــود اإلصــاح»‪ .‬يــرح يل ســوليفان‪ ،‬الرئيــس التنفيــذي للتدقيــق ملجموعــة أس ـراليا للتأمــن‬
‫املحــدودة (‪ ،)IAG‬بــأن تقريــره مينــح مجلــس اإلدارة «وجهــة نظــر مســتقلة حــول الوضــع الحقيقــي الســتعداد مؤسســة‬
‫(‪ )IAG‬ملواجهــة املخاطــر اإللكرتونيــة»‪.‬‬

‫قــد يجــد الرؤســاء التنفيذيــون للتدقيــق أنهــم بإمكانهــم أن يكونــوا أكــر فعاليــة يف مســؤوليات اإلبــاغ املتعلقــة بأمــن‬
‫الفضــاء اإللكــروين مــن خــال الرتكيــز عــى ميــول القطــاع‪ ،‬كالتغـرات التنظيميــة القادمــة‪ ،‬متطلبــات التغطيــة التأمينيــة‬
‫الجديــدة‪ ،‬والدعــاوى الجامعيــة الجديــدة‪ ،‬وكيــف يتــم اســتخدام هــذه امليــول والنظــر يف تحديــد نطــاق التدقيــق‬
‫الداخــي‪ .‬قــد يرغبــون أيضــا يف توفــر ضــان بــأن املوظفــن والفــرق املناســبة –كفــرق االســتجابة للحــوادث وأط ـراف‬
‫ثالثــة لتقييــم املخاطــر– متمركــزون يف مواقعهــم ملعالجــة مــا يخــص أمــن الفضــاء اإللكــروين‪.‬‬

‫________________________________________‬
‫‪ 6‬نرشة (‪« )PwC‬أمن الواليات املتّحدة اإللكرتوين‪ :‬نتائج رئيسة لتعرث التقدم‪ ،‬من استطالع للرأي حول جرائم اإلنرتنت يف الواليات املتحدة»‪ ،‬يوليو ‪.2015‬‬

‫‪ 7‬نرشة املخابرات األمنية «ملاذا بدأ يسأل مجلس اإلدارة عن املخاطر اإللكرتونية أخريا ً؟»‪ 13 ،‬أكتوبر ‪.2015‬‬

‫‪6‬‬ ‫‪globaliia.org‬‬
 ‫�آراء ورؤى عاملـــيـة‬
‫التدقيق ادلاخيل مكستشار �إلكرتوين موثوق‬

‫يجــب عــى الرؤســاء التنفيذيــن للتدقيــق أيض ـاً تقديــم خدمــات استشــارية بشــأن مشــاريع أمــن الفضــاء اإللكــروين‬
‫الحاليــة ومــا إذا كانــت هــذه املشــاريع فعالــة يف التخفيــف مــن حــدة املخاطــر التــي تواجههــا‪ ،‬واالســتفادة القصــوى مــن‬
‫املــوارد لجهــد موجــه مبــارشة عــى أهــم املخاطــر‪ ،‬وتكــون قويــة وصارمــة مبــا فيــه الكفايــة ملنــع وكشــف أي تهديــدات‬
‫إلكرتونيــة‪ .‬تالحــظ كارولــن ســاينت‪ ،‬الرئيــس التنفيــذي للتدقيــق بجامعــة فريجينيــا أن مشــاركة التدقيــق الداخــي يف‬
‫مشــاريع أمــن الفضــاء اإللكــروين بإمكانهــا أن تفيــد الجهــود التــي تبذلهــا اإلدارة وذلــك مــن خــال تضخيــم البــاغ حــول‬
‫املــوارد الالزمــة إىل أعــى الهــرم الوظيفــي يف املؤسســة‪.‬‬

‫قضااي ذات صةل‬

‫أظهــرت التحديــات املتأصلــة يف أمــن الفضــاء اإللكــروين تركيـزا ً عــى قــدرة صمــود شــبكات األمــن هــذه ‪ -‬األنشــطة املعمــول بهــا‬
‫قبــل وأثنــاء وبعــد وقــوع هجــات إلكرتونيــة لتقديــم نظــم معلومــات واتصــاالت مرنــة (وكل مــن يعتمــد عليهــا) يف مواجهــة‬
‫الهجــات املســتمرة عــى املــوارد املتصلــة باإلنرتنــت‪ .‬تشــمل هــذه األنشــطة تعزيــز املعرفــة والوعــي بأمــن الفضــاء اإللكــروين‬
‫لجميــع املوظفــن‪ ،‬حتــى يفهــم موظفــو املؤسســة طبيعــة وتأثــر املخاطــر املتعلقــة بشــكل أفضــل‪ ،‬وليشــكلوا خــط دفــاع أكــر‬
‫صالبــة ضــد الهجــات اإللكرتونيــة‪ .‬ميكــن للرئيــس التنفيــذي للتدقيــق أن يقــود الطريــق مــن خــال الجهــود املبذولــة لزيــادة‬
‫املعرفــة والوعــي بأمــن الفضــاء اإللكــروين بــن موظفــي قســم التدقيــق الداخــي‪ .‬وفقـاً لنــرة نبــض التدقيــق الداخــي يف أمريــكا‬
‫الشــالية التابعــة ملعهــد املدققــن الداخليــن العاملــي‪ ،‬نقــص الخــرة بأمــن الفضــاء اإللكــروين بــن موظفــي التدقيــق الداخــي‬
‫هــو أكــر عقبــة تؤثــر عــى قــدرة التدقيــق الداخــي ملعالجــة مخاطــر أمــن هــذا الفضــاء اإللكــروين‪.8‬‬

‫يعتــر جيســون بلفــورد‪ ،‬الرئيــس التنفيــذي ألمــن املعلومــات بجامعــة فريجينيــا بــأن قــدرة صمــود شــبكات األمــن تعتــر أحــد‬
‫الركائــز األساســية ألمــن الفضــاء اإللكــروين – تتصــدى لهــا عــى حــدة‪ ،‬ال كجهــد ضخــم قائــم بذاتــه‪ .‬يعقــب رون هاتشــينز‪ ،‬نائــب‬
‫رئيــس تقنيــة املعلومــات‪ ،‬باملوافقــة قائـاً «نحــن نهــدف لتيســر وموثوقيــة عاليــن‪ ،‬ومــع ذلــك نقــدر أن كل الخدمــات ال تتطلــب‬
‫نفــس املســتوى مــن الحاميــة»‪.‬‬

‫يضيــف أندريــه ســتيلزنر‪ ،‬مديــر نظــم وتقنيــات املعلومــات ملدينــة كيــب تــاون (جمهوريــة جنــوب أفريقيــا) ملخص ـاً املفهــوم‬
‫املتجــذر فيهــا بدقــة‪ ،‬حيــث يقــول «مؤسســة ذات أمــن فضــاء إلكــروين قــوي هــي تلــك التــي تعلــم كــم هــي الشــبكات هشــة‬
‫وضعيفــة»‪ .‬مــن الواضــح أن أفضــل طريقــة لتكــون املؤسســة آمنــة ومرنــة تكمــن يف معرفــة نقــاط الضعــف واإلجـراءات املتخــذة‬
‫للحــد مــن تلــك الثغ ـرات‪ ،‬ووضــع خطــط للــرد عــى والتعــايف مــن الهجــات اإللكرتونيــة‪ .‬الخصوصيــة والرسيــة‪ ،‬أيض ـاً‪ ،‬تعتــر‬
‫عنــارص أساســية ألمــن الفضــاء اإللكــروين مــن حيــث ماهيــة البيانــات التــي يتــم التعامــل معهــا‪ ،‬وكيفيــة تخزينهــا‪ ،‬وكيــف يجــري‬
‫تخزينهــا‪ ،‬ومــن هــم املــرح لهــم بالولــوج إليهــا وعــر أي طــرق‪.‬‬

‫يف مجموعــة أس ـراليا للتأمــن املحــدودة‪ ،‬يعتــر الحفــاظ عــى ثقــة العمــاء مســألة يف غايــة األهميــة‪ ،‬حيــث يتعامــل مســؤول‬
‫العمــاء التنفيــذي مــع مســؤول الخصوصيــات والرئيــس التنفيــذي ألمــن املعلومــات (‪ )CISO‬للمحافظــة عــى بيانــات العمــاء‪.‬‬
‫يف العديــد مــن املؤسســات‪ ،‬تســاعد مهــام الخصوصيــة أيضــا يف تحديــد املعايــر ذات الصلــة يف املؤسســة ووضــع السياســات‬
‫واإلج ـراءات؛ كــا أنهــا غالبــا مــا تكــون مســؤولة عــن تثقيــف املوظفــن حــول قضايــا أمــن الفضــاء اإللكــروين‪.‬‬

‫________________________________________‬
‫‪ 8‬نرشة «نبض التدقيق الداخيل يف أمريكا الشاملية»‪ ،‬معهد املدققني الداخليني العاملي‪ ،‬فرباير ‪.2016‬‬

‫‪globaliia.org‬‬
‫‪7‬‬
 ‫�آراء ورؤى عاملـــيـة‬
‫التدقيق ادلاخيل مكستشار �إلكرتوين موثوق‬

‫يجــب عــى التدقيــق الداخــي النظــر إىل مســؤويل الخصوصيــة عــى أنهــم أصحــاب املصلحــة الرئيســيني‪ ،‬واالمتثــال للترشيعــات‬
‫املتعلقــة بالخصوصيــة ينبغــي أن يكــون عن ـرا ً أساســياً يف جميــع عمليــات التدقيــق ذات الصلــة‪ .‬التحقيــق يف واملراقبــة عــى‬
‫مهــام الخصوصيــة ميكــن أن يوفــر أدلــة إضافيــة لقــوة األمــن اإللكــروين داخــل املؤسســة‪ .‬يجــب عــى كل مــن أصحــاب البيانــات‪،‬‬
‫وأصحــاب التقنيــات‪ ،‬ومســؤويل الخصوصية‪/‬الفريــق القانــوين أن يتواصــل جميعهــم بعض ـاً إىل البعــض والعمــل ضمــن اإلطــار‬
‫األوســع الــذي تنتهجــه املؤسســة‪ .‬وإذا مل يتــم هــذا التواصــل‪ ،‬فنحــن أمــا معضلــة تســتحق التحقــق فيهــا ومنهــا‪.‬‬

‫ملزيد من املعلومات‬
‫املنظمة الدولية للتوحيد القيايس‬
‫«‪ - 27001 CEI / ISO‬إدارة أمن املعلومات»‪،‬‬
‫‪2013‬‬
‫(‪)www.iso.org‬‬

‫املعهد الوطني للمعايري والتقنيات‪،‬‬

‫«إطار لتحسني أمن الفضاء اإللكرتوين للبنية‬
‫التحتية الحرجة‪« ،‬فرباير ‪2014‬‬
‫(‪)www.corporatecompliance.org‬‬

‫الخصوصية عن طريق التصميم‬

‫‪)www.ipc.on.ca‬‬
‫(‪/english/Privacy/lntroduction-to-pbD/‬‬

‫معهد املدققني الداخليني العاملي‪« ،‬أمن الفضاء‬

‫اإللكرتوين‪ :‬املحافظة عىل بروتوكول اإلنرتنت يف‬
‫الحفظ والصون» النربة من أعىل الهرم الوظيفي‪،‬‬
‫فرباير ‪2014‬‬
‫(‪)www.globaliia.org/Tone-at-the-Top‬‬

‫معهد املدققني الداخليني‪ « ،‬حتمية أمن الفضاء‬

‫اإللكرتوين» مجلة املدقق الداخيل‪ ،‬أغسطس ‪2015‬‬
‫(‪)https://iaonline.theiia.org‬‬

‫معهد املدققني الداخليني‪« ،‬الولوج‪ :‬التدقيق عىل‬

‫أمن الفضاء اإللكرتوين يف عامل غري آمن»‪2016 ،‬‬
‫(‪)www.theiia.org/AuditingCybersecurity‬‬

‫‪8‬‬ ‫‪globaliia.org‬‬
 ‫�آراء ورؤى عاملـــيـة‬
‫التدقيق ادلاخيل مكستشار �إلكرتوين موثوق‬

‫ا ألفاكر امل�ستنتجة‬
‫آراء الرؤســاء التنفيذيــن للتدقيــق واملســؤولني التنفيذيــن لتقنيــة املعلومات‪/‬أمــن الشــبكات باتــت واضحــة‪ :‬أمــن الفضــاء‬
‫اإللكــروين قضيــة قابعــة يف منتصــف الطريــق‪ .‬فهــي يف رأي كانــو «ثــورة صناعيــة جديــدة‪ ،‬ومرحلــة جديــدة مــن التحــول يســيطر‬
‫عليهــا املعلومــات الرقميــة والجهــات التخريبيــة وقــدرة الصمــود أمامهــا»‪ .‬يجــب عــى املؤسســات التــي تأمــل أال تكــون مجــرد‬
‫أرقــام يف إحصائيــة خــرق بيانــات أخــرى التأكــد مــن أنهــا تكتســب الخــرة املناســبة‪ ،‬متــول جهــود دفاعهــا عــن قواعــد بياناتهــا‪،‬‬
‫تبقــى عــى رأس اللوائــح ذات الصلــة‪ ،‬تتابــع آخــر املســتجدات العامليــة للهجــات عــر االنرتنــت‪ ،‬وإرشاك جميــع أصحــاب‬
‫املصلحــة يف محاولــة ملكافحــة التســوية أو فقــدان البيانــات‪ .‬أي مجهــود أقــل مــن هــذا لــن يفــي بالغــرض‪.‬‬

‫قيامــه بــدور املستشــار املوثــوق بــه هنــا‪ ،‬يجــب أن يقــدم الرئيــس التنفيــذي للتدقيــق جــز ًء هام ـاً يف تحقيــق هــذه النتيجــة‪.‬‬
‫عليــه أن يقــوم بهــذا الــدور مــن خــال تحقيــق وتقديــم خربتــه يف أمــن الفضــاء اإللكــروين‪ ،‬زيــادة الثقــة بــن جميــع األطـراف‪،‬‬
‫اســتخدام الدبلوماســية والوعــي الســيايس لطــرح األســئلة املناســبة للشــخص املناســب يف الوقــت املناســب‪ .‬هــل تربهــن الرشكــة‬
‫فلســفة متســقة تتعلــق بأمــن الفضــاء اإللكــروين؟ وهــل سياســات وإجـراءات املؤسســة تدعــم هــذه فلســفة؟ مــا الــذي تقــوم‬
‫بــه املؤسســات األخــرى وأيــن نقــف نحــن إزاء هــذا كلــه؟ يجــب أن يكــون االســتجواب مصحوب ـاً باالســتامع الفعــال والتيقــظ‪،‬‬
‫متبوعـاً بتطبيقــات خـراء القطــاع‪ ،‬الفطنــة التجاريــة‪ ،‬ونفــاذ بصــرة بالتقنيــات نحــو اإلجابــات‪ .‬النجــاح يف مجــال أمــن الشــبكة‬
‫العنكبوتيــة يتطلــب االعـراف بــأن هنــاك أشــخاص داخــل وخــارج املؤسســة ســوف يكرســون أنفســهم بــكل وســيلة لرسقــة بيانات‬
‫هــذه املؤسســة‪ .‬لــن يتهاونــوا‪ ،‬وكذلــك البــد أن تكــون املؤسســات مــن حولهــم‪ .‬تعكــس كلــات كروتشولســي مــن شــعارا ً مناســباً‬
‫متامـاً للواقــع الحــايل «نحــن نعيــش يف عــامل رقمــي‪ .‬اســعى إىل حاميــة األصــول الخاصــة بــك كأنــك تحمــي منزلــك وعائلتــك»‪.‬‬

‫‪globaliia.org‬‬
‫‪9‬‬
 ‫�آراء ورؤى عاملـــيـة‬
‫التدقيق ادلاخيل مكستشار �إلكرتوين موثوق‬

‫العرض ‪1‬‬
‫الرؤساء التنفيذيون الفاعلون للتدقيق سيثنون أنفسهم عرب إقامة عالقات‬
‫استشارية مع أصحاب املصلحة‬
‫مجموعة أسرتاليا للتأمني املحدودة‬
‫يتحمــل جيــف جيكوبــز‪ ،‬الرئيــس التنفيــذي ألمــن املعلومــات (‪ )CISO‬املســؤولية كاملــة يف إدارة أمــن الفضــاء اإللكــروين يف‬
‫املؤسســة‪ .‬يعمــل جيــف مــع الرئيــس التنفيــذي للتدقيــق يل ســوليفان‪ ،‬وخــط الدفــاع عــن املخاطــر الثــاين يف املؤسســة‪ ،‬وفريــق‬
‫العمــل املختــص بالخصوصيــة للحــد مــن تعــرض املجموعــة بأكملهــا ملخاطــر أمــن الفضــاء اإللكــروين‪.‬‬

‫فقــد تشــارك جيكوبــز وســوليفان مؤخـرا ً يف إنشــاء اسـراتيجية للحــد مــن مخاطــر أمــن الفضــاء اإللكــروين‪ .‬قــاد جاكوبــز إنشــاء‬
‫محتــوى هــذه االسـراتيجية‪ ،‬التــي تضمنــت تقييــا لقــدرة الحاليــة للمؤسســة‪ ،‬وتحديــد املخاطــر املســتجدة‪ ،‬مخططـاً للــرورات‬
‫االسـراتيجية‪ ،‬وخريطــة طريــق وخطــة تعامــل مــع هــذه املخاطــر بــكل تفاصيلهــا‪ .‬فيــا عـ ّـن ســوليفان فريقـاً ملراجعــة نتائــج‬
‫هــذه االسـراتيجية بشــكل مســتقل بعــد فــرة مــن إنشــائها‪ .‬واتفــق االثنــان عــى اســتخدام إطــار أمــن الفضــاء اإللكــروين نفســه‬
‫لضــان اتســاق اللغــة يف رســائلهم إىل املســؤولني التنفيذيــن ومجلــس اإلدارة بعــد أن تعاونــا يف جميــع مراحــل عمليــة املراجعــة‪.‬‬

‫وكان من ضمن التحديات التي تناولها اسرتاتيجية كل من‪:‬‬

‫•أهميــة الحصــول عــى األساســيات بشــكل ســليم – بحيــث تعتــر مجموعــة مــن املبــادئ التــي ســتوجه املؤسســة إىل مــا‬
‫هــو مقبــول أم ال مــن وجهــة نظــر أمــن الشــبكات أفضــل مثــال عــى هــذه األساســيات‪.‬‬
‫•الحاجــة إىل تعزيــز عمليتــي الكشــف واالســتجابة بــدالً مــن الرتكيــز فقــط عــى التصــدي ككل – فقــد ولــت تلــك األيــام‬
‫التــي كانــت تفــرض املؤسســة فيهــا أنهــا تحمــي نفســها بشــكل ممتــاز فقــط عــن طريــق رشاء أدوات وقائيــة باهظــة‬
‫الثمــن مــن كل مــكان‪ .‬ووفقـاً لجاكوبــز الحقيقــة هــي «أننــا ال ميكننــا أبــدا ً أن نحمــي أنفســنا متامـاً لذلــك نحــن بحاجــة إىل‬
‫أن نصبــح أكــر قــدرة عــى كشــف أي انتهــاكات لشــبكاتنا ومــن ثــم االســتجابة لهــذه االنتهــاكات»‪.‬‬
‫•ضــان أمــن الشــبكة العنكبوتيــة حســب التصميــم – ففــي كثــر مــن األحيــان يعتــر أمــن الفضــاء اإللكــروين أمـرا ً ثانويـاً‪.‬‬
‫وعليــه يجــب عــى مصممــي ومطــوري أمــن الشــبكات إيجــاد الحلــول املبدئيــة لهــا منــذ البدايــة‪.‬‬
‫•الوعــي بأمــن الفضــاء اإللكــروين – حتــى لــو كانــت أفضــل التقنيــات والعمليــات والخ ـرات جاهــزة يف مكانهــا‪ ،‬يبقــى‬
‫املوظفــون هــم الحلقــة األضعــف يف املؤسســة‪ .‬يتمثــل التحــدي يف جعلهــم يفكــرون بأمــن الشــبكات بشــكل مســتمر‬
‫بحيــث يكونــون أكــر وعي ـاً للمخاطــر‪ ،‬ومــا ميكنهــم مــن التعامــل مــع التهديــدات بشــكل مناســب‪.‬‬

‫هنــاك اتفــاق داخــل مجموعــة (‪ )IAG‬يؤمــن بــأن التهديــد الخارجــي يف ازديــاد عددي ـاً وأكــر تعقيــدا ً يوم ـاً بعــد يــوم‪ ،‬وعليــه‬
‫وجــود إطــار صــارم ألمــن الشــبكات رضوري جــدا ً للتصــدي لهــذه التهديــدات‪ ،‬مــع ذلــك هنــاك اعـراف ضمنــي بــأن االســتثامر‬
‫املطلــوب لرفــع مســتوى قــدرة الشــبكات ليــس دامئ ـاً واضح ـاً مقارن ـ ًة ببنــاء أي جــزء مــن أج ـزاء االس ـراتيجية األخــرى‪ .‬هنــاك‬
‫خطــر يلــوح بــه بعــض املوجوديــن يف املؤسســة بقلــق مــن أن الرتكيــز عــى أمــن الفضــاء اإللكــروين قــد يبطــئ مــن عمليــة‬
‫التحــول الرقمــي املخطــط لهــا‪ .‬ال يتفــق جاكوبــز مــع هــذا القلــق قائـاً‪« :‬إنهــا ليســت مســألة إمــا ‪ /‬أو‪ ،‬بــل كيــف يجــب علينــا‬
‫القيــام باألمريــن مع ـاً»‪.‬‬

‫‪10‬‬ ‫‪globaliia.org‬‬
 ‫�آراء ورؤى عاملـــيـة‬
‫التدقيق ادلاخيل مكستشار �إلكرتوين موثوق‬

‫جامعة فريجيـنيـا‬
‫فريــق عمــل الجامعــة واملكــون مــن كارولــن ســاينت‪ ،‬الرئيــس التنفيــذي للتدقيــق (‪ ،)CAE‬وفريجينيــا إيفانــز‪ ،‬املديــر التنفيــذي‬
‫للمعلومــات (‪ ،)CIO‬جيســون بلفــورد‪ ،‬الرئيــس التنفيــذي ألمــن املعلومــات (‪ ،)CISO‬رون هتشــينز‪ ،‬نائــب رئيــس تقنيــة‬
‫املعلومــات‪ ،‬وجريالــد كانــن‪ ،‬مديــر تدقيــق تقنيــات املعلومــات يصبــون تركيزهــم جميع ـاً عــى مــا أســاه هتشــينز نهــج أمــن‬
‫الفضــاء اإللكــروين ذو هيئــة «مقعــد ثــايث األرجــل»‪ :‬وضــع السياســات‪ ،‬ثــم تنفيــذ هــذه السياســات‪ ،‬ومــن ثــم تدقيــق امتثــال‬
‫لهــذه السياســات‪ .‬يكمــن املفتــاح يف أن جميــع الوظائــف املوجــودة يف كل مرحلــة تتــآزر معـاً يف العمــل بالرغــم مــن أنهــا تبقــى‬
‫مســتقلة‪ .‬كــا الحظــت إيفانــز‪« ،‬إن الســبيل الوحيــد ألن يعمــل أمــن الفضــاء اإللكــروين بشــكل جيــد هــي أن نعمــل كفريــق‬
‫عمــل واحــد‪».‬‬

‫ومــن ثــم‪ ،‬تفــرض ســاينت نهجـاً قامئاً‪-‬عىل‪-‬األطــر عــى التدقيــق الداخــي لتقديــم تغطيــة شــاملة وموحــدة للجهــود أمــن الفضــاء‬
‫اإللكــروين والتأكــد مــن أن التدقيــق الداخــي يقــوم بتقييــم مــدى فاعليــة الرقابــة‪ ،‬وليــس مجــرد وجودهــا يف مكانهــا‪ .‬تؤكــد‬
‫إيفانــز‪« ،‬تنــاول فريــق التدقيــق الســابق االمتثــال مــن كل وجــه‪ .‬أمــا اآلن فنحــن نصــب تركيزنــا يف العثــور احرتازيــاً عــى‬
‫املخاطــر»‪.‬‬

‫يتفــق أيضـاً بلفــورد وهاتشــينز وإيفانــز أن دور التدقيــق الداخــي التعــاوين واالستشــاري الــذي يتبنــاه حاليـاً أوىف عــى الغايــة‪.‬‬
‫حيــث أنهــم يــرون نهج ـاً تشــاركياً‪ ،‬وشــعورا ً بأنهــم «فريــق واحــد مع ـاً» خالف ـاً لســمعة التدقيــق الداخــي التقليديــة‪ ،‬والتــي‬
‫يصفهــا بلفــورد بأنهــا «تبحــث عــن ســبل لجعــل الجميــع يبــدو مبظهــر يسء»‪.‬‬

‫تعــرف ســاينت بــأن رفــع مســتوى الوعــي لــدور التدقيــق الداخــي والقيمــة يف مجــال أمــن الفضــاء اإللكــروين إىل املديــر‬
‫التنفيــذي للمعلومــات (‪ )CIO‬والرئيــس التنفيــذي ألمــن املعلومــات (‪ )CISO‬مــا زالــت عمليــة تعلــم يف أولهــا‪ ،‬لكنهــا تراهــا‬
‫واحــد ًة مــن مســؤوليات الرئيــس التنفيــذي للتدقيــق‪ .‬وتضيــف‪« ،‬جــزء مــن دور الرئيــس التنفيــذي للتدقيــق هــو التأكــد مــن أن‬
‫املخاطــر تقبــع يف قمــة جــدول األعــال يف كل مســتوى مــن مســتويات املؤسســة‪».‬‬

‫اتحــدت جهــود فريــق الجامعــة الحــايل لتتوافــق مــع متطلبــات قانــون إدارة أمــن املعلومــات االتحــادي األمريــي (‪،)FISMA‬‬
‫ووضعتهــم جنب ـاً إىل جنــب مــع ممثــي وظائــف أخــرى تتقاطــع معهــم‪ ،‬وفــوق كل جهــود أمــن الفضــاء اإللكــروين املعتــادة‪.‬‬
‫هنــاك تقــدم ملحــوظ‪ ،‬لكــن التحــدي املتمثــل يف اســتخدام نهــج مربمــج لبنــاء بيئــة قابلــة للتطويــر لتلبيــة متطلبــات إدارة األمــن‬
‫االتحاديــة مــا زال أمـرا ً مضنيـاً‪.‬‬

‫مــع هــذا كلــه‪ ،‬ال غنــي عــن جهــد مشــرك‪ .‬وكــا تشــر ســاينت بــأن «كل مــا يتعلــق بالشــبكات اليــوم يعتــر مخاطــرة كبــرة يف‬
‫كل خطــة خاصــة بالتدقيــق الداخــي‪ ،‬وقــد تبقــى كذلــك لســنوات قادمــة‪».‬‬

‫مدينة كيب تاون‬

‫فريــق عمــل مدينــة كيــب تــاون (جمهوريــة جنــوب أفريقيــا) يقــدرون أن التقنيــة تتطــور دامئ ـاً بشــكل أرسع مــن تخفيــف‬
‫الضوابــط‪ ،‬وعليــه هنــاك رضورة ملواصلــة االســتثامر يف تطويــر التدابــر الوقائيــة واالســتخباراتية والتصحيحيــة‪ .‬وحتــى عندئــذ‪،‬‬
‫ليــس هنــاك مــا ضــان لإلفــات مــن أي هجــات أو انتهــاكات‪ ،‬لذلــك فــإن النجــاح يتوقــف عــى مــدى الرسعــة التــي ميكــن فيهــا‬
‫للفريــق الكشــف عــن أي اخ ـراق للشــبكة ومــدى فعاليــة وكفــاءة واقتصــاد الفريــق يف أن يخفــف مــن هــذا التهديــد‪.‬‬

‫يتألــف الفريــق مــن لنديــوي ندابــا‪ ،‬الرئيــس التنفيــذي للتدقيــق‪ ،‬إتيــان بوســتينجز‪ ،‬مديــر تدقيــق أول‪ :‬نظــم املعلومــات‪ ،‬وأندريــه‬
‫ســتيلزنر‪ ،‬مديــر نظــم وتقنيــات املعلومــات‪ ،‬كــا ويقــوم منهجهــم يف أمــن الشــبكات عــى املخاطــر‪ .‬اعتبارهــم األول يتلخــص يف‬
‫تحديــد نــوع مخاطــر تقنيــات املعلومــات التــي تــم تحديدهــا داخــل املؤسســة مــن شــتى املصــادر أو مقدمــي الخدمــات‪ .‬هــذا‬
‫االعتبــار يســتكمل مبناقشــة مفصلــة بــن تدقيــق تقنيــات املعلومــات واملديــر التنفيــذي للمعلومــات (‪ )CIO‬حــول توجهــات‬

‫‪globaliia.org‬‬
‫‪11‬‬
 ‫�آراء ورؤى عاملـــيـة‬
‫التدقيق ادلاخيل مكستشار �إلكرتوين موثوق‬

‫مخاطــر أمــن الشــبكات داخــل املؤسســة‪ ،‬واملخاطــر ذات الصلــة املوجهــة مــن خــارج املؤسســة‪ ،‬واالتجاهــات العامليــة التــي قــد‬
‫تؤثــر عــى املؤسســة ككل‪.‬‬

‫يــرى ســتيلزنر أن تحقيــق أمــن الفضــاء اإللكــروين يتطلــب مــن كل عضــو مــن أعضــاء الفريــق أن يلعبــوا بــكل قواهــم‪ .‬لهــذا‬
‫الســبب‪ ،‬يعتقــد أن التدقيــق الداخــي يجــب أن يكــون مقــدم توكيــدات مســتقل حــول الوضــع األمنــي للمؤسســة ومراجعــة‬
‫السياســات واألنظمــة والخدمــات التــي وضعتهــا منظــات تقنيــات املعلومــات للتخفيــف مــن التهديــدات‪ .‬كــا وأنــه يعــرف‪،‬‬
‫عــى الرغــم مــن أنــه عنــد هــذه النقطــة‪« ،‬نحصــل عــى هــذا إىل حــد مــا‪ ،‬لكــن فقــط عــى مســتوى تقييــم االلتـزام بسياســات‬
‫الخاصــة مبجــال تقنيــات املعلومــات بــدالً مــن اختبــار التدابــر األمنيــة املنتــرة بهمجيــة»‪.‬‬

‫يتجــى االلتـزام بالعمــل الجامعــي يف تعــاون وثيــق بــن التدقيــق الداخــي وفريــق األمــن‪ .‬يحــر التدقيــق الداخــي االجتامعــات‬
‫واملنتديــات املتعلقــة باألمــن‪ ،‬حيــث يتــم مناقشــة القضايــا املشــركة وتشــكيل الحلــول‪ .‬يكــرس الجميــع نفســه إىل هــدف واحــد‪:‬‬
‫أال وهــو جعــل املهــام والنظــم والعمليــات آمنــة بأكــر قــدر اإلمــكان‪.‬‬

‫تعليــق ســاينت عــى أهميــة أمــن الفضــاء اإللكــروين يف خطــط التدقيــق الداخــي الجاريــة‪ ،‬يــردده ندابــا وبوســتينجز أنــه يف‬
‫مدينــة كيــب تــاون «ســيبقى دامئ ـاً كل مــن أمــن الفضــاء اإللكــروين وتدقيــق تقنيــات املعلومــات جــزءا ً ال يتجــزأ مــن جــدول‬
‫االس ـراتيجي للتدقيــق الداخــي‪».‬‬

‫‪12‬‬ ‫‪globaliia.org‬‬
 ‫�آراء ورؤى عاملـــيـة‬
‫التدقيق ادلاخيل مكستشار �إلكرتوين موثوق‬

‫العرض ‪2‬‬
‫أن تصبح مستشاراً إلكرتونياً موثوقاً‬
‫يتــم وضــع الرئيــس التنفيــذي للتدقيــق كمستشــار شــبكات موثــوق بــه لدفــع عمليــة التغيــر يف املؤسســة‪ .‬ميكــن أن يســاعد كل مــن الجهــد املركــز يف الوعــي والفهــم‪ ،‬وإدارة املخاطــر‪ ،‬وأنشــطة‬
‫التوكيــد الرؤســاء التنفيذيــن للتدقيــق يف أن يصبحــوا مستشــاري شــبكات موثــوق بهــم‪.‬‬

‫أن تصبح مستشارا ً إلكرتونياً موثوقاً به‬

‫وإمنا يستلزم أيضاً‪...‬‬
‫أمر يتطلب أكرث من‪...‬‬
‫•توسيع قدرات تدقيق تقنية املعلومات الحالية لتوفري رؤى احرتازية قابلة للتنفيذ‬ ‫فهم مفاهيم وأساليب عمل‪ ،‬وعنارص أمن الفضاء اإللكرتوين‪.‬‬
‫يف مجال أمن الفضاء اإللكرتوين‪.‬‬
‫•معرفة قوية مستمرة حول التغيريات املستجدة يف اللوائح التنظيمية‪ ،‬ومتطلبات‬
‫التغطيات التأمينية الجديدة‪ ،‬دعاوى العامل الجديدة‪ ،‬وغريها من االتجاهات‪.‬‬
‫•التأكد من أن برامج التدقيق متعن النظر يف هذه االتجاهات‪.‬‬

‫الوعي واإلدراك‬
‫•تقديم مشورة اسرتاتيجية لقادة املهام فيام يتعلق بأدوارهم ومسؤولياتهم تجاه‬ ‫التعاون مع املهام املناسبة داخل املؤسسة ملعالجة التوعية بأمن الفضاء اإللكرتوين‪.‬‬
‫أمن الفضاء اإللكرتوين‪.‬‬
‫•ضامن كفاءات أمن الفضاء اإللكرتوين للرئيس التنفيذي للتدقيق والعاملني ككل من‬ ‫االعتامد عىل موظفي تقنية املعلومات فقط لتقديم خربات أمن الفضاء اإللكرتوين‬
‫خالل برامج إدارة تنمية املواهب \ برامج التطوير املهني‪.‬‬ ‫للمؤسسة‪.‬‬

‫•زيادة فعالية املشاركة اسرتاتيجياً لضامن أن تكون الكفاءات واالختصاصات املناسبة‬

‫متاحة حسب الحاجة‪.‬‬
‫•البقاء عىل اطالع مع وترية وحجم هفوات أمن الفضاء اإللكرتوين‪.‬‬ ‫إجراء تقييم للمخاطر لتحديد احتامالت مخاطر أمن الفضاء اإللكرتوين وتأثريها املحتمل‬
‫عىل املؤسسة‪.‬‬
‫•فهم التأثري الكامل للتهديدات اإللكرتونية عىل املؤسسة وتضمني ذلك يف خطة‬
‫التدقيق‪.‬‬
‫•تحديد مخاطر أمن الفضاء اإللكرتوين املستجدة احرتازياً‪.‬‬
‫•فهم موقف املؤسسة للمخاطر ملكافحة التهديدات اإللكرتونية‪.‬‬ ‫إدراك كيفية تناول املؤسسة ألمن الفضاء اإللكرتوين‪ ،‬واتخاذ اإلدارة لإلجراءات للحد من‬
‫املخاطر ذات الصلة‪.‬‬ ‫إدارة املخاطر‬
‫•التدقيق املستمر عىل الضوابط الرقابية اإلدارية تجاه أمن الفضاء اإللكرتوين الختبار‬
‫كفايتها وفعاليتها‪.‬‬
‫•التشارك مع الرئيس التنفيذي للمعلومات (‪ /)CIO‬الرئيس التنفيذي ألمن‬ ‫مراجعة تقارير تدقيق من طرف ثالث‪.‬‬
‫املعلومات (‪ )CISO‬لتقييم مرشحي الطرف الثالث‪.‬‬

‫•املساهمة يف تحديد مخاطر املرشحني من الطرف الثالث‪.‬‬

‫•تقديم املشورة بشأن التوافق بني الطرف الثالث واسرتاتيجية وفلسفة أمن الفضاء‬
‫اإللكرتوين‪.‬‬

‫‪globaliia.org‬‬
‫‪13‬‬
 ‫�آراء ورؤى عاملـــيـة‬
‫التدقيق ادلاخيل مكستشار �إلكرتوين موثوق‬

‫أن تصبح مستشارا ً إلكرتونياً موثوقاً به‬

‫وإمنا يستلزم أيضاً‪...‬‬
‫أمر يتطلب أكرث من‪...‬‬
‫•توفري مراجعة مستقلة السرتاتيجية أمن الفضاء اإللكرتوين قبل أن يتم وضع‬ ‫تقييم االمتثال بالسياسات واإلجراءات املتعلقة بأمن الشبكات‪.‬‬
‫السياسات واإلجراءات‪.‬‬

‫•أن تكــون جــز ًء من فرق تنفيذ املرشوع التقني لضامن معالجة وتبني حلول املخاطر‬
‫اإللكرتونية‪ ،‬بدالً من إضافتها الحقاً‪.‬‬

‫•قياس واختبار مدى كفاءة وفعالية السياسات واإلجراءات ضد األطر املعمول بها‪.‬‬
‫•تقييم نتائج التدريب وتذكر املعارف املكتسبة‪.‬‬ ‫تقييم االمتثال مبتطلبات تدريب موظفي أمن الفضاء اإللكرتوين‪.‬‬

‫•تقديم رؤى حول كيفية محاذاة التدريب مع اسرتاتيجية أمن الفضاء اإللكرتوين‪.‬‬

‫•االستفادة من قدرات التدقيق الداخيل مع قوة البدالء املوجودين يف صفوف الدفاع‬ ‫توفري توكيدات بشأن برنامج أمن الفضاء اإللكرتوين للمؤسسة‪.‬‬

‫التوكـــيد‬
‫األوىل والثانية مع الحفاظ عىل املوضوعية‪.‬‬

‫•قيادة جهود أمن الفضاء اإللكرتوين بالتعاون مع خطوط الدفاع الثالثة‪.‬‬

‫•تقديم رؤى حول تنسيق الخطط واملواءمة مع اسرتاتيجية العمل‪.‬‬ ‫توفري توكيدات عىل خطط االستجابة للحوادث‪ ،‬التعايف من الكوارث‪ ،‬واستمرارية العمل‪.‬‬

‫•التحضري موظفي التدقيق الداخيل ليكونوا أكرث قدرة عىل التدخل واملســاعدة كلام‬
‫دعت الحاجة خالل األزمة‪ ،‬حسبام يقتيض‪.‬‬
‫•إرشاك اإلدارة ولجنة أو مجلس التدقيق يف املناقشات االسترشافية‪ ،‬ومساعدتهم‬ ‫اإلبالغ عن نتائج املهام املتعلقة باألمن اإللكرتوين لإلدارة ولجنة أو مجلس التدقيق‪.‬‬
‫عىل التفكري من خالل نقاط ضعف الشبكات التي تواجه املؤسسة‪.‬‬

‫•تقديم املشورة أو تيسري إجراء عملية تأسيس لتحمل مخاطر أمن الفضاء اإللكرتوين‬
‫للمؤسسة‪.‬‬

‫‪14‬‬ ‫‪globaliia.org‬‬
 ‫‪Translated by UAE Internal Auditors Association‬‬
‫متت الرتجمة إىل اللغة العربية من قبل جمعية املدققني الداخليني بدولة اإلمارات العربية املتحدة‬ ‫‪2016-0637‬‬

‫‪globaliia.org‬‬