Professional Documents
Culture Documents
MBA Thesis - Awni Fallouh
MBA Thesis - Awni Fallouh
الدفعة العاشرة
2021-2020
الجمهوريــــــــة العربيــــة الســـــــــورية
وزارة التعليـم العالي والبحث العلمي
المعهد العالـــــــــي إلدارة األعمـــــــــال
الدفعة العاشرة
2021-2020
تعبر اآلراء الواردة في هذا التقرير عن وجهة نظر معديه ،وال يتحمل المعهد أية مسؤولية عن هذه اآلراء
اإلهداء
إلى من ال شيء يضاهي ضوءهم في عتمتي ،وبحبهم على الي ْبس قدت سفينتي..
إلى من تضيق األبجديات أمام نبلهم وتعجز الكلمات أمام عطائ ـ ـهم وتضحياتهم..
كل من ترك لدي من ذاته في مشوار الع ْمر طيب األث ــر ..الحاضرين منهم ومن عبر..
إلى ﱢ
أ
شكر وتقدير
أتقدم بجزيل الشكر والتقدير إلى األستاذ الدكتور المشرف رعد الصرن على كل ما قدمه لي من
كما أتقدم بالشكر الجزيل لألساتذة أعضاء لجنة المناقشة الموقرين ،ولكافة أفراد الكادر التدريسي
والعلمي واإلداري في المعهد العالي إلدارة األعمال على ما قدموه لنا خالل هذه الرحلة الزاخرة بكل ما
كل من ساعدني وشجعني على إتمام هذا الماجستير وإنجاز هذا البحث.
والشكر الموصول ل ﱢ
ب
قائمة المحتويات
اإلهداء .........................................................................................................................أ
شكر وتقدير ..................................................................................................................ب
قائمة األشكال والجداول 3 ....................................................................................................
صطلحات 4 ...............................................................................................
َ مفتاحية وم
ّ كلمات
ملخص البحث 6 ...............................................................................................................
الفصل األول :اإلطار العام للبحث 8 .........................................................................................
.1.1مقدمة عامة 9..............................................................................................................
.2.1دراسات سابقة 9...............................................................................................................
.3.1ما يميز الدراسة الحالية عن الدراسات السابقة 12......................................................................
.4.1مشكلة البحث 12.............................................................................................................
.5.1أهمية البحث 13..............................................................................................................
.6.1أهداف البحث 13.............................................................................................................
.7.1منهج البحث 14..............................................................................................................
.8.1مصادر البيانات والمعلومات 14.........................................................................................
.9.1حدود البحث 14..............................................................................................................
الفصل الثاني :اإلطار النظري 15 ............................................................................................
.1.2المبحث األول :برنامج أمن المعلومات 16.............................................................................
17..................................................................................................... .1.1.2مقدمة
.2.1.2أهمية أمن المعلومات للمنظمات 17................................................................................
.3.1.2حوكمة أمن المعلومات 19...........................................................................................
.4.1.2إدارة المخاطر وااللتزام 22...........................................................................................
.5.1.2برنامج أمن المعلومات 28...........................................................................................
.2.2المبحث الثاني :الجدوى االقتصادية لمشروع 50.......................................................................
51..................................................................................................... .1.2.2مقدمة
.2.2.2تعريف دراسة الجدوى االقتصادية لمشروع 51....................................................................
.3.2.2خصائص دراسة الجدوى 52.........................................................................................
.4.2.2أهمية دراسة جدوى المشاريع 53....................................................................................
.5.2.2متطلبات دراسة جدوى المشاريع 53................................................................................
.6.2.2مجاالت التطبيق لدراسات الجدوى االقتصادية 54...............................................................
.7.2.2دراسة الجدوى التسويقية 55..........................................................................................
1
.8.2.2دراسة الجدوى التقنية (الفنية)56....................................................................................
.9.2.2دراسة الجدوى المالية 57.............................................................................................
.10.2.2صعوبات ومشاكل إجراء دراسات الجدوى57...................................................................
.3.2المبحث الثالث :المنظمة موضوع البحث 59...........................................................................
60..................................................................................................... .1.3.2مقدمة
.2.3.2مبادئ الحركات اإلنسانية 60........................................................................................
.3.3.2أهمية االستثمار في برنامج أمن المعلومات بالنسبة للمنظمة 61..............................................
.4.3.2حاجة قطاع المنظمات اإلنسانية لجعل األمن السيبراني أولوية 61...........................................
.5.3.2أسباب فشل االستثمار في أمن المعلومات في المنظمات 65..................................................
العملي 67 ............................................................................................
الفصل الثالث :اإلطار َ
.1.3مقدمة 68...................................................................................................................
.2.3المنظمة اإلنسانية 68........................................................................................................
.3.3الوضع الحالي 68............................................................................................................
.1.3.3حوكمة أمن المعلومات 69...........................................................................................
.2.3.3إدارة مخاطر أمن المعلومات 71....................................................................................
.3.3.3موارد أمن المعلومات 73.............................................................................................
.4.3.3االمتثال وااللتزام 75...................................................................................................
.4.3نتائج الدراسات 78............................................................................................................
.1.4.3الدراسة التسويقية 78..................................................................................................
.2.4.3الدراسة التقنية 80.....................................................................................................
.3.4.3الدراسة المالية 84.....................................................................................................
النتائج والتوصيات 87 ........................................................................................................
.1.4النتائج 88...................................................................................................................
.2.4التوصيات 89.................................................................................................................
مراجع البحث 90 ...............................................................................................................
المالحق 93 ....................................................................................................................
2
قائمة األشكال والجداول
األشكال
الصفحة العنوان رقم الشكل
19 مبالغ العمالت الرقمية المدفوعة لهجمات برامج الفدية المسجلة ما بين 2020-2013 1
20 عالقة الحوكمة باإلدارة وفق إطار COBIT 5 2
22 نموذج األعمال الخاص بأمن المعلومات 3
25 مراحل االستجابة للخطر 4
26 مصفوفة درجة تأثير الخطر 5
30 موقع المخاطر المتعلقة بالتكنولوجيا على االقتصاد العالمي 6
34 خطوات تطوير برنامج أمن المعلومات 7
36 نموذج نضج القدرة 8
37 مبادئ COBIT 5 9
63 ازدياد الهجمات اإللكترونية ضد جماعات حقوق اإلنسان في أعقاب مقتل جورج فلويد 10
الجداول
الصفحة العنوان رقم الجدول
4 كلمات مفتاحية ومصطلحات 1
21 العالقة بين مخرجات حوكمة أمن المعلومات مع المسؤوليات اإلدارية 2
69 نتائج استبيان أسئلة حوكمة أمن المعلومات 3
71 نتائج استبيان أسئلة إدارة مخاطر أمن المعلومات 4
73 نتائج استبيان أسئلة موارد أمن المعلومات 5
75 نتائج استبيان أسئلة االمتثال وااللتزام 6
84 الدراسة المالية وفق خطة زمنية مقترحة لتطبيق البرنامج ضمن 4سنوات ميالدية 7
93 أسئلة مقابالت المعنيين في المنظمة 8
97 تفاصيل الدراسة المالية المقترحة 9
3
صطلحات
َ مفتاحية وم
ّ كلمات
جدول ( :)1كلمات مفتاحية ومصطلحات
4
-28-16-13-6
من 30حتى-49 المزيج الشامل من التدابير التقنية والتشغيلية واإلجرائية والهيكلية اإلدارية المطبقة للحصول على سرية المعلومات ونزاهتها Information security program
-68-61من78 وإتاحتها وفق متطلبات األعمال وتحليل المخاطر. برنامج أمن المعلومات
حتى86
نظام مراقبة يكتشف األنشطة المشبوهة في الشبكة واألجهزة التي قد تشير إلى هجوم أمني محتمل ويصدر تنبيهات عند Intrusion detection system
32
اكتشافها تساعد في التحقيق في المشكلة واتخاذ اإلجراءات المناسبة لمعالجة التهديد. نظام كشف التسلل
نظام مراقبة يكتشف األنشطة المشبوهة في الشبكة واألجهزة التي قد تشير إلى هجوم أمني محتمل ثم يقوم بمنعها من Intrusion prevention system
32
إحداث ضرر بالموارد المعلوماتية. نظام منع التسلل
لجنة على مستوى اإلدارة التنفيذية العليا في المنظمة تساعد في تكوين استراتيجيات تكنولوجيا المعلومات وتشرف على
IT steering committee
93-69-29-21 النشاطات اإلدارية اليومية لتسليم خدمات ومشاريع تكنولوجيا المعلومات وتركز على التطبيق األمثل لها .ومن المفترض
لجنة توجيه تكنولوجيا المعلومات
أن تضم ضمن أعضائها مختلف أصحاب المصلحة في المنظمة أو ممثلين عنهم.
)Key goal indicator (KGI
32 مقياس يعطي اإلدارة فيما إذا حققت عمليات تكنولوجيا المعلومات متطلبات األعمال المطلوبة منها أم ال.
مؤشر الهدف
مقياس يحدد مدى كفاءة العمليات في تحقيق األهداف المطلوبة ،ويعتبر هذا مؤشر أساسي حول مدى احتمالية تحقيق Key performance indicator
45
الهدف ومؤشر جيد للقدرة والممارسة والمهارة. مؤشر األداء )(KPI
94-75-74-33 فحص حي الختبار مدى فعالية ضوابط الدفاع المطبقة من خالل تقليد نشاطات المهاجمين الحقيقيين. فحص االختراق Penetration test
التصيد هو نوع من هجمات الهندسة االجتماعية حيث يرسل المهاجم رسالة احتيالية (عبر البريد اإللكتروني غالبا)
Phishing
18-17 مصممة لخداع شخص للكشف عن معلومات حساسة للمهاجم أو لنشر برامج ضارة على البنية التحتية للضحية مثل برامج
التصيد االحتيالي
الفدية.
64-55-44-21 التوجيهات والنوايا الشاملة لإلدارة معبر عنها بطريقة رسمية السياسة Policy
93-74-70-45 وثيقة تحوي وصف مفصل حول الخطوات الضرورية لتنفيذ عمليات محددة بما يتالئم مع المعايير المطبقة اإلجراء Procedure
32 تشفير غير متماثل ،وهو نظام تشفير يستخدم أزواج من المفاتيح والمفتاح العام هو الذي يتم نشره بشكل واسع التمام ذلك. المفتاح العام Public key
تقنية افتراضية لتخزين البيانات تجمع بين العديد من محركات األقراص الفعلية في وحدة منطقية واحدة أو أكثر ألغراض Redundant array for
32
تكرار البيانات أو تحسين األداء أو كليهما. )inexpensive disks (RAID
24-23 مقدار الخطر المتبقي بعد تطبيق نشاطات االستجابة المناسبة للخطر الخطر المتبقي Residual risks
صيغة قياس تمكن المستثمرين من تقييم استثماراتهم والحكم على مدى جودة أداء استثمار معين مقارنة مع استثمارات )Return on investment (ROI
89-86-85-51
أخرى مختلفة .يتم استخدام حساب عائد االستثمار أحيانا مع أساليب أخرى لتطوير دراسة جدوى مقترح معين. العائد على االستثمار
-75-73-33 هي مجموعة من األدوات والخدمات التي تقدم نظرة شاملة ألمن معلومات المنظمة وتوفر رؤية في الوقت الحقيقي من Security information and
-84-79-76 خالل أنظمة أمن المعلومات المستخدمة ،وتقوم بإدارة سجالت األحداث ( )logعبر دمج تلك البيانات التي يتم جمعها من )event management (SIEM
97-94 مصادر عديدة. نظام جمع وتحليل سجالت المراقبة
اتفاقية يفضل أن تكون مكتوبة ما بين مزود الخدمة والزبون تحدد المستوى األدنى من األداء المطلوب للخدمة ،باإلضافة
Service Level Agreement
72 إلى وصف المنتجات أو الخدمات التي سيتم تقديمها ،ونقاط االتصال لحل مشاكل الزبون ،والمقاييس التي يتم من خاللها
اتفاقية مستوى الخدمة )(SLA
مراقبة فعالية الخدمة والموافقة عليها.
Social engineering
18 هي التالعب النفسي بالمستخدمين أو مدراء األنظمة لتسريب أو إفشاء معلومات سرية.
الهندسة االجتماعية
90-32 مطلب إجباري لممارسات أو مواصفات معتمدة بواسطة منظمات خارجية متخصصة بالمعايير مثل ISO المعيار Standard
-75-74-33
نقطة ضعف في التصميم أو التطبيق أو التشغيل أو في أحد الضوابط الداخلية يمكن أن تؤدي النتهاك أمن النظام الثغرة Vulnerability
97-94-84-79
5
ملخص البحث
تعتبر الحوادث السيبرانية أحد أكبر التهديدات التي تواجه األعمال التجارية الحديثة ،وتتركز بشكل
خاص على المنظمات الصغيرة والمتوسطة ذات الميزانيات والموارد المحدودة التي تعيقها عن حماية
نفسها ،مما يؤدي إلى عدم الكفاية في الحماية تجاه األمن المعلوماتي في هذه المنظمات وإلى وقوع
عدد متزايد من الهجمات وحوادث األمن السيبراني الالحقة .تحتاج المنظمات الصغيرة والمتوسطة
إلى زيادة االستثمار في هذا المجال ،ولكن يجب موازنة ذلك مع أولويات األعمال األخرى.
إن الغرض من هذا البحث هو توفير دراسة جدوى لهذا النوع من االستثمار تفيد متخذي القرار من
كبار المدراء والمالكين في معظم المنظمات وخاصة منها الصغيرة والمتوسطة في سوريا وتساعدهم
على فهم العوامل التي تؤثر على ق ارراتهم المتعلقة باالستثمار اإلضافي في األمن السيبراني .إن فهم
تلك العوامل سيساعد هذه المنظمات بشكل كبير عند صياغة سياسات الحوكمة والمعايير في المستقبل
كما أنه سيساهم في تذليل العقبات تجاه التخطيط االستراتيجي للمنظمة لتحقيق التكامل واالندماج
بين األعمال التجارية من جهة ونشاطات برنامج أمن المعلومات الذي تم تبنيه من جهة أخرى.
تم تطبيق هذه الدراسة على إحدى المنظمات اإلنسانية غير الربحية العاملة في الجمهورية العربية
السورية وتم اختيار األبعاد األربعة التي تحدد درجة نضج المنظمة في مجال أمن المعلومات على
أنها ( )1حوكمة أمن المعلومات ( )2إدارة مخاطر أمن المعلومات ( )3موارد أمن المعلومات و()4
االمثال وااللتزام .وأظهر البحث بشكل حاسم أن المنظمة الممثلة لحالة الدراسة تقر بالحاجة إلى
االستثمار في أمن المعلومات وهي مستعدة له ولكن هناك حاجة إلى مزيد من التوجيه والمعرفة
لضمان أن االستثمار يستهدف المناطق األكثر تأثي ار على األعمال .وقد خلصت الدراسة إلى مجموعة
نتائج كان من أهمها أن لحوادث أمن المعلومات (في حال وقوعها) أثر بالغ الخطورة على مصالح
المنظمة وأعمالها ما قد يطال جوانب مالية وقانونية (قضائية) باإلضافة ألثرها المباشر على سمعة
المنظمة ومكانتها ،باإلضافة إلى وجود درجة نضج منخفضة تجاه حوكمة أمن المعلومات وإدارة
المخاطر المتعلقة بذلك .مما يتطلب تخصيص جهود وموارد مالئمة لتطبيق برنامج واضح لنشاطات
أمن المعلومات ضمن المنظمة تنتقل بها من الوضع الراهن إلى وضع أكثر أمنا ويتمتع بدرجة أقل
من مستويات مخاطر أمن المعلومات المقبولة من قبل المنظمة.
6
Abstract
Cybercrime is one of the biggest threats to modern businesses. The threat is particularly
poignant for small and medium-sized organizations (SMEs) with limited budgets and
resources to protect themselves. This leads to insufficient protection towards information
security in these organizations and to an increasing number of attacks and subsequent
cybersecurity incidents. Small and medium organizations need to invest more in this area
but this must be balanced with other business priorities. The purpose of this research is to
provide a feasibility study for this type of investment that will benefit decision makers
such as senior managers and business owners of most of Syrian organizations, especially
small and medium ones, to understand the factors that affect their decisions regarding
additional investment in cybersecurity protection. Understanding these factors will
greatly help when formulating governance policies and standards in future, as it will
contribute to overcoming obstacles towards the organization's strategic planning to
achieve integration and combination between business operation and activities of
information security program that has been adopted.
Four dimensions that define maturity level of the organization in information security
domain were selected as (1) information security governance, (2) information security
risk management, (3) resources of information security and (4) commitment and
compliance. The research decisively showed that the organization recognizes their needs
to invest in information security and they are ready for it. However, more guidance and
knowledge are required to ensure that investment targets areas with the most impact on
business.
The study concluded that information security incidents (if occured) have very serious
impact on the organization interests and business continuity including financial issues,
legal aspect and direct impact on reputation and position of the organization. The
organization has low level of maturity towards information security governance and
related risk management. This requires to allocate appropriate efforts and resources to
implement a clear information security program in which it moves from current situation
to more secure situation that has lower and accepted level of information security risks
for the organization.
7
الفصل األول :اإلطار العام للبحث
.1.1مقدمة عامة
.2.1دراسات سابقة
.4.1مشكلة البحث
.5.1أهمية البحث
.6.1أهداف البحث
.7.1منهج البحث
.9.1حدود البحث
8
.1.1مقدمة عامة
لقد بات مصطلح األمن المعلوماتي أو السيبراني يتصدر عناوين األخبار واإلنترنت ووسائل التواصل
االجتماعي ومنتديات تكنولوجيا المعلومات بشكل يومي وكثيف .ومع ذلك فهو ال يزال ينطوي على
الكثير من الغموض بالنسبة للكثيرين ،حيث يسعى القائمون على المؤسسات من مديرين تنفيذيين
وأعضاء مجلس إدارة ومسؤولي أمن معلومات للحفاظ على أمان بيانات شركاتهم ومواردها المعلوماتية
بطرق وأساليب مختلفة ومتعددة ،ما يدفعهم بقوة للبحث عن االستراتيجيات المالئمة لتحقيق األهداف
المنشودة المتعلقة بضمان األمن في منظماتهم وإعطاء هذه األهداف كل الدعم والمتابعة الحثيثة
وخاصة لدى المنظمات التي تعي خطورة ما يترتب عليه إهمال ذلك.
ومع التزايد المستمر والمتصاعد في اعتماد مختلف المؤسسات على التكنولوجيا في أداء أعمالها
باإلضافة لالنتشار السريع لمفهوم إنترنت األشياء واألنظمة الذكية التي تمكن التجهيزات من االتصال
والتحكم بها عن طريق اإلنترنت ومن خالل تقنيات اتصاالت الجيل الخامس ،فإن االهتمام بالحفاظ
على أمن هذه األنظمة أصبح أم ار أساسيا وملحا ،وإهماله قد يؤدي لكوارث قد ال تحتمل أية مؤسسة
نتائجها مهما كان حجمها .إن األمن السيبراني هو مجموعة من األدوات التقنية والعمليات والممارسات
المصممة لحماية األنظمة والشبكات والبرامج والبيانات من المخاطر السيبرانية مثل الهجمات
اإللكترونية أو التلف أو الوصول غير المصرح به ،ويشار له أيضا باسم أمن تكنولوجيا المعلومات
أو اختصا ار بأمن المعلومات .ومع تطور وتنوع الهجمات اإللكترونية اليوم وتحولها إلى خطر مباشر
على المؤسسات والموظفين والعمالء ،فإن األمن السيبراني بات يلعب دو ار مهما للغاية في الوقاية
من هذه التهديدات األمنية.
.2.1دراسات سابقة
الدراسة األولى :دراسة رضا ابراهيم صـالح وآخرون ( )2020بعنوان:
"دراسة أثر إدارة أمن المعلومات على نجاح برنامج أمن نظم المعلومات المحاسبية :مع دراسة
ميدانية على الشركات المصرية"
هدف هذا البحث إلى محاولة معرفة أثر إدارة أمن المعلومات على نجاح برنامج أمن المعلومات في
بيئة األعمال المصرية ،ولقد قدم البحث إطا ار نظريا ألهم العوامل والمتغيرات التي تؤثر على فعالية
إدارة أمن المعلومات وأثرها على نجاح برنامج أمن المعلومات ،كما قام البحث باختبار عناصر ذلك
اإلطار ميدانيا على عينة من فروع الشركة المصرية لالتصاالت ،WEوذلك باستخدام قائمة
االستقصاء التي تم تصميمها خصيصا لهذا الغرض ،وقد توصلت نتائج الدراسة إلى أن إدارة أمن
9
المعلومات لها تأثير جوهري وإيجابي على نجاح برنامج أمن نظم المعلومات المحاسبية فى البيئة
المصرية ،كما أوصت بضرورة اهتمام منظمات األعمال بإدارة أمن المعلومات باعتبارها عنص ار هاما
وضروريا لنجاح برنامج أمن المعلومات فى منظمات األعمال المصرية.
10
خالل استبيان تم إرساله لكافة الشركات المدرجة في بورصة عمان في األردن .ووجدت الدراسة أن
هناك عالقة مهمة بين سياسات أمن الشبكات وتوثيق أدلة التدقيق .إلى جانب ذلك ،بينت أن قيمة
معامل االرتباط بين سياسات أمان الشبكة وتوثيق التدقيق قد ارتفع بعد إدخال متغير الثقافة األمنية
للمحاسبة وأوضحت هذه النتيجة بحسب الدراسة أهمية التوعية بالثقافة األمنية للشركات .وأوصى
الباحث على التأكيد على أهمية الوعي بالثقافة األمنية لدى المنظمات.
اهتمت هذه الدراسة بتقييم أثر االستثمار فى أمن المعلومات على أداء البنوك فى القطاع المصرفي
المصري في محاولة لقياس مدى تأثير االستثمار فى أمن المعلومات على مؤشرات الربحية وجودة
األصول وقد تناول البحث عينة تتكون من 13مصرفا .وخلصت الدراسة إلى وجود تأثير معنوي
لالستجابة لسرعة معالجة تهديدات أمن المعلومات على معدل العائد على األصول ،ونظام حماية
الخدمات المصرفية اإللكترونية على معدل العائد على الملكية ،واإلجراءات الخاصة بتطبيق معيار
أمن المعلومات ISO 27001على معدل العائد على رأس المال .حيث يوجد تأثير معنوي لإلجراءات
الخاصة بتطبيق معيار PCI-DSSلحماية بطاقات االئتمان على جودة األصول من خالل خفض
نسبة مخصصات خسائر القروض .وأوصت بالقيام ببحوث مستقبلية فى مجال دراسة أثر االستثمار
فى أمن المعلومات على أداء الشركات ،وأثر تهديدات أمن المعلومات على عوائد األسهم.
11
معرفة وفهم دور أمن المعلومات والمسؤوليات المتعلقة به .أما في مرحلة اقتراح تحديد استثمار أمن
المعلومات فتلعب قدرات المنظمات على تحديد اقتراح االستثمار المناسب الدور األبرز ،ويؤثر
المستوى الكافي من المعرفة حول أمن المعلومات هنا بقوة .ويبدو أنه ما يزال التحدي األكبر في
مرحلة التعريف يتعلق بتوفير الموارد البشرية المالئمة .حيث اتضح للدارس أنه ال يوجد موارد أمن
معلومات خبيرة يمكنها متابعة االتجاهات الحالية وتحديد المتطلبات والمقترحات وإقناع اإلدارة حول
مالءمة مقترحات االستثمار في أمن المعلومات خالل مرحلة اتخاذ القرار .كذلك وجدت الدراسة أن
ثقافة المنظمة والتزام ودعم اإلدارة تؤثر بشكل كبير على صنع القرار المتعلق بذلك.
• تتعرض الدراسة الحالية إلى بحث جدوى االستثمار في تطبيق برنامج أمن معلومات بشكل
متكامل وشامل ،وتستعرض آليات إدارته وتطويره على المدى االستراتيجي للمنظمة ،ومع ندرة
وجود دراسات محلية مشابهة فإن معظم الدراسات العربية والعالمية السابقة تناولت أجزاء معينة
من مدخالت البرنامج أو مخرجاته فقط.
• في الوقت الذي ركزت فيه أغلب الدراسات السابقة على الجانب المالي أو المؤسسات ذات طبيعة
العمل المالية فإن الدراسة الحالية تناولت البحث من جوانب تسويقية وفنية باإلضافة إلى المالية،
وحرصت على أن تكون الدراسة موائمة لطيف أوسع من األعمال وأال تقتصر على المؤسسات
ذات طبيعة العمل المالية.
• تختلف البيئة والمنهج المعتمد وعينة البحث التي تم تنفيذ هذه الدراسة عليها عن غيرها من
الدراسات حيث طبقت على منظمة إنسانية لم يسبق إجراء مثل هذه الدراسات عليها محليا.
.4.1مشكلة البحث
باتت حماية المعلومات في الوقت الراهن أم ار بالغ األهمية لمختلف المؤسسات وقطاعات األعمال
وذلك بهدف ضمان استم اررية األعمال بالدرجة األولى وتجنب الحوادث األمنية التي من شأنها أن
تؤثر على موارد المنظمة أو سمعتها أو عمالئها .فإدارة أمن المعلومات وباإلضافة لكونها العامل
األساسي في صون سرية البيانات ونزاهتها وإتاحتها بالشكل المناسب أصبحت تلعب دو ار فريدا في
تأمين وتشغيل الموارد المختلفة الالزمة لتحقيق ذلك من بنى تحتية وأدوات تقنية وكوادر بشرية.
وعليه فإنه يمكن تلخيص مشكلة البحث في السؤال التالي :هل هناك جدوى من االستثمار في برنامج
أمن معلومات؟
12
وللحصول على إجابة لهذا السؤال ينبغي اإلجابة على األسئلة الفرعية التالية:
لإلجابة على هذه التساؤالت الفرعية قد نحتاج لمعرفة دقيقة حول مدى نضج بيئة الحوكمة في
المنظمة وفيما إذا كانت تمتلك إدارة واعية وملتزمة وداعمة لبرنامج أمن المعلومات أم ال .كما ينبغي
معرفة مدى نضج إدارة مخاطر أمن المعلومات وااللتزام بالمعايير ضمن المنظمة .وهل لديها القدرة
على تخصيص الموارد الالزمة لتطبيق برنامج أمن المعلومات من خالل امتالك الكوادر البشرية
الخبيرة باإلدارة واإلشراف على تطبيق البرنامج باإلضافة لتوفير التكنولوجيا المواكبة لتطبيقه بشكل
فعال.
.5.1أهمية البحث
األهمية العلمية :تأتي أهمية البحث العلمية من خالل الحصول على دراسة الجدوى االقتصادية
المتعلقة بالتخطيط والتنفيذ والتشغيل واإلدارة لبرنامج أمن معلومات متكامل ضمن المنظمات العاملة
في سوريا.
األهمية العملية :تكمن أهمية البحث التطبيقية في مساعدة اإلدارات العليا والمالكين في اتخاذ القرار
االستثماري المناسب المتعلق ببرنامج أمن المعلومات ضمن المنظمات اإلنسانية.
.6.1أهداف البحث
يمكن تلخيص أهداف هذا البحث بما يلي:
.1التعريف ببرنامج أمن المعلومات وما يرتبط به من مشاريع ونشاطات فرعية مكونة وداعمة له.
.2إجراء دراسة جدوى اقتصادية لتطبيق ببرنامج أمن المعلومات في المنظمة ،ويتفرع عن هذا
الهدف األهداف الفرعية التالية:
• إجراء دراسة تسويقية لالستثمار في برنامج أمن معلومات.
• إجراء دراسة تقنية لالستثمار في برنامج أمن معلومات.
• إجراء دراسة مالية لالستثمار في برنامج أمن معلومات.
13
.7.1منهج البحث
تم استخدام المنهج الوصفي التحليلي (دراسة حالة) ،والمتضمن ج ْمع المعلومات والبيانات المتعلقة
بمتغيرات الدراسة لتطبيق برنامج أمن معلومات في المنظمة.
وقسم البحث إلى جزأين :نظري وعملي ،في الجزء النظري تم عرض بعض من أهم الدراسات التي
تم تقديمها في هذا المجال ضمن اإلطار العام للبحث ،واحتوى هذا الجزء ثالثة مباحث )1( :عن
برنامج أمن معلومات بشكل عام و( )2عن دراسات الجدوى االقتصادية ودورها في عملية اتخاذ
القرار و( )3عن المنظمة الممثلة لحالة الدراسة وأهمية الدراسة بالنسبة لها .أما بالنسبة للجزء العملي
فتم عرض للدراسة التي تم العمل عليها ،باإلضافة لمعلومات حول نتائج الدراسات التسويقية والتقنية
والمالية المتعلقة بذلك وتحليلها .وأخي ار النتائج والتوصيات المنبثقة عن هذا البحث.
.9.1حدود البحث
حدود مكانية :تم تطبيق هذه الدراسة على إحدى المنظمات العاملة في الجمهورية العربية السورية
(طلبت المنظمة عدم اإلشارة السمها في البحث ألسباب خاصة بها).
حدود زمانية :سيتم اعتماد الفترة الزمنية المحددة بالنصف األول من السنة الميالدية 2022ابتداءا
من األول من شهر كانون الثاني ولنهاية شهر حزيران من هذا العام.
14
الفصل الثاني :اإلطار النظري
15
.1.2المبحث األول :برنامج أمن المعلومات
.1.1.2مقدمة
16
.1.1.2مقدمة
تتعامل بعض المؤسسات حتى اآلن مع أمان بياناتها باستخفاف ،وتقع نتيجة لذلك ضحية للهجمات
السيبرانية المتنوعة والكثيرة .وفي الواقع ال تزال معظم المنظمات ومنها المنظمات في سوريا غير
محص نة بالشكل المناسب ضد هذه الهجمات اإللكترونية المتطورة .ولكن بفضل معايير التكنولوجيا
سريعة التطور اليوم أصبح األمن السيبراني أولوية لكل منظمة في جميع أنحاء العالم.
فيما يلي بعض من األسباب التي تساعد في فهم أهمية األمن السيبراني بالنسبة للمنظمات:
.1انتشار الجرائم اإللكترونية
سواء كانت المنظمة كبيرة أو صغيرة الحجم فال يستثني مجرمو اإلنترنت أحدا .بل على العكس
فهم يبحثون عن فرص الستغالل البيانات وجني األموال من هذه المؤسسات .فيما يلي بعض
المؤشرات العالمية المتعلقة بذلك للعام 2021وفقا لموقع (:)Integrity360
• يبلغ متوسط التكلفة اإلجمالية الختراق البيانات اآلن 4,24مليون دوالر بزيادة قدرها ٪10
في متوسط التكلفة اإلجمالية الختراق البيانات من عام 2020إلى عام 2021
• تم اكتشاف أكثر من ٪80من انتهاكات أمن المعلومات من قبل أطراف خارجية (وليس
المؤسسة نفسها).
• ٪85من االنتهاكات تتعلق بالعنصر البشري.
• ٪ 20من االنتهاكات ناتجة في البداية عن حسابات مخترقة لمستخدمين أو مدراء أنظمة
معلوماتية.
• متوسط الوقت الالزم لتحديد الخرق واحتوائه هو 287يوم.
• متوسط توفير تكاليف الهجمات عند وجود فرق استجابة لحوادث أمن المعلومات وتنفيذ
االختبارات الدورية لها يبلغ 2,46مليون دوالر.
17
• يبلغ التوفير في هجمات خرق البيانات في المؤسسات التي لديها أتمتة أمنية مطبقة بشكل
كامل 3,81مليون دوالر.
• تنظر ٪88من مجالس إدارة المؤسسات اآلن إلى األمن السيبراني باعتباره خط ار تجاريا.
• يستغرق اكتشاف أكثر من ٪30من الهجمات شهو ار أو سنوات.
• أعلى خمس متوسطات تكلفة إجمالية ألنواع هجمات:
-اختراق البريد اإللكتروني لألعمال ( 5,01( )Business email compromiseمليون
دوالر)
-التصيد ( 4,65( )Phishingمليون دوالر)
-الهجمات بواسطة عمالء من الداخل ( 4,61( )Malicious insidersمليون دوالر)
-الهندسة االجتماعية ( 4,47( )Social engineeringمليون دوالر)
-حسابات الدخول المخترقة ( 4,37( )Compromised credentialsمليون دوالر)
• ارتفعت التكلفة اإلجمالية إلصالح هجوم برامج الفدية بشكل كبير من حوالي 761ألف
دوالر أمريكي في عام 2020إلى 1,85مليون دوالر أمريكي في عام 2021
• في ٪62من هجمات سلسلة التوريد كانت البرمجيات الخبيثة هي تقنية الهجوم المستخدمة.
• شهد القطاع العام زيادة كبيرة في تكاليف خرق البيانات حيث ارتفعت بنسبة ٪78,7بين
2021-2020
.2التنامي في إنترنت األشياء
مع االستمرار في التطور المتعلق بإنشاء المدن الحديثة المزودة باألجهزة الذكية فقد ازداد االعتماد
على ربط كل شيء باإلنترنت .لم يؤد إدخال تقنية إنترنت األشياء (ربطها باإلنترنت) إلى تبسيط
المهام وتسريعها فحسب بل أدى أيضا في جانب آخر إلى خلق فجوة من الثغرات األمنية الجديدة
التي يمكن للمخترقين استغاللها بغض النظر عن مدى درجة اإلجراءات األمنية التي تتخذ .وإذا
لم تتم إدارة هذه األجهزة المتصلة باإلنترنت بشكل صحيح فيمكنها توفير بوابة أعمال مهمة
لمجرمي اإلنترنت!
إن تزايد االعتماد على األنظمة الرقمية على مدى السنوات العشرون الماضية زاد بشكل جذري
عدد المجتمعات الفعالة رقميا .كما أن التحول الناجم عن وباء COVID-19أدى إلى تسريع
االعتماد على المنصات واألجهزة التي تسمح بالعمل عن بعد وتواجد البيانات الحساسة بشكل
مشترك مع جهات خارجية مثل مزودي الخدمات السحابية ومجمعي البيانات وغيرهم ممن
يعتبرون وسطاء مرتبطون بالتكنولوجيا لهذه األنظمة ،في الوقت الذي يتيحون فيه أدوات قوية
للتخزين ومعالجة البيانات باتوا يشكلون طبقة اعتماد إضافية كمقدمي خدمات.
18
.3فجوة األمان في العامل البشري
لطالما كانت الموارد البشرية وموارد تكنولوجيا المعلومات أحد أهم جوانب العمل في أي مؤسسة،
وبغض النظر عن درجة اعتمادهم على بعضهم البعض فقد كانت هناك فجوة أمنية دائمة بينهما،
حيث كان وال يزال يعتبر العامل البشري هو الحلقة األضعف في سلسة حماية أمن المعلومات.
ومن أجل سد هذه الفجوة فال بد من تزويد األفراد العاملين في المؤسسة بالتدريب المناسب لزيادة
الوعي والمهارات باألمن السيبراني وخلق ثقافة عمل مرنة عبر اإلنترنت في المؤسسة.
.4تكاليف المخاطر السيبرانية
ال تتضاعف الهجمات اإللكترونية اليوم في األعداد فحسب بل تتضاعف أيضا في تكلفة الضرر
الناتج ،حيث يمكن أن تكون هذه الهجمات مكلفة لدرجة ال تستطيع أي منظمة تحملها إذا لم
تتخذ تدابير أمنية مناسبة لتخفيف تأثير المخاطر المرتبطة بها .ومن المتوقع أن تكلف الجريمة
اإللكترونية العالم 10,5تريليون دوالر سنويا بحلول عام 2025وال يقتصر األمر على الضرر
المالي ولكن يتعداه أيضا للتأثير على سمعة المؤسسة وفقدان ثقة العمالء في أعمالها التجارية.
.5أمن البيانات الحساسة
عندما يتعلق األمر بأمن البيانات الحساسة فإن هناك عدد مثير للقلق النتهاكات البيانات
وتسريبات المعلومات التي تتصدر عناوين األخبار كل يوم تقريبا .ويعد تنفيذ حلول األمن
السيبراني الصحيحة أم ار ضروريا للحد من المخاطر اإللكترونية التي تتعلق بتسريب أو سرقة
البيانات الحساسة للمؤسسة.
الشكل ( )1مبالغ العمالت الرقمية المدفوعة لهجمات برامج الفدية المسجلة ما بين 2020-2013
19
لتحقيق مهمة حماية المعلومات في المنظمة والتي باتت تعتبر من أهم موارد المنظمات يجب أن يتم
رفع هذه المسألة إلى مستوى مجلس اإلدارة واإلدارة التنفيذية كما هو الحال مع مواضيع الحوكمة
الحساسة األخرى ،إذ أن تعقيدات وروابط وحساسية أمن المعلومات وتفويضات الحوكمة المتعلقة به
يجب أن تعالج ويتم تبنيها على أعلى مستويات إدارة المنظمة.
إن حوكمة أمن المعلومات هي مجموعة من المسؤوليات والممارسات التي يتم وضعها من قبل مجلس
اإلدارة واإلدارة التنفيذية بهدف إعطاء توجهات استراتيجية والتأكد من تحقيق األهداف وضمان وجود
إدارة مالئمة للمخاطر واستخدام موارد المنظمة المتاحة بشكل مسؤول .وتعتبر إدارة المنظمة العليا
ممثلة بمجلس اإلدارة واإلدارة التنفيذية هي المسؤول المباشر عن حوكمة أمن المعلومات ويجب أن
تعمل على توفير القيادات الضرورية والهيكل الوظيفي واإلجرائي المناسب لتضمن تكامل وشفافية
حوكمة أمن المعلومات مع بنية حوكمة المنظمة ككل.
• تحديد المسؤوليات المدنية والقانونية على المنظمة التي قد تنتج عن غياب العناية الواجبة أو
عدم الدقة في االمتثال للسياسات.
• توفير تأكيد على االلتزام بالسياسات.
• زيادة القدرة على التنبؤ وتقليل درجة عدم اليقين في األعمال التشغيلية للمنظمة عن طريق تعريف
وتخفيض المخاطر إلى مستويات مقبولة.
• توفير البنية وإطار العمل لتحسين استثمار موارد أمن المعلومات المحدودة بالشكل األمثل.
• توفير مستوى من الضمان بأن الق اررات الحساسة المتخذة ليست مبنية على معلومات مضللة.
20
• توفير أسس متينة لكفاءة وفعالية إدارة المخاطر وتحسين العمليات واالستجابة للحوادث واستم اررية
العمل.
• توفير ثقة أكبر في التفاعل مع الشركاء التجاريين.
• تحسين الثقة في العالقات مع الزبائن.
• حماية سمعة المنظمة.
• تمكين طرق جديدة للعمليات اإللكترونية.
• تعزيز مسؤولية تأمين البيانات خالل نشاطات األعمال الحساسة كاإلندماج واإلستحواذ واالستجابة
للتشريعات.
ويبين الجدول التالي العالقة بين م ْخرجات حوكمة أمن المعلومات مع المسؤوليات اإلدارية المختلفة:
21
ويمكن تلخيص نموذج الحوكمة الخاص بأمن المعلومات بأربعة عناصر هي (استراتيجية وتصميم
المنظمة ،األفراد ،العمليات ،التكنولوجيا) مرتبطة ببعضها بستة روابط ديناميكية (الحوكمة ،الثقافة،
التمكين والدعم ،النشوء ،العوامل البشرية ،البنية) والتي تتفاعل وتؤثر وتتأثر ببعضها البعض .وعند
حدوث أي تغيير غير مدروس أو إدارة غير مناسبة ألي جزء من النموذج فإن بقية األجزاء ستكون
حتما في خطر.
الشكل ( )3نموذج األعمال الخاص بأمن المعلومات
بغض النظر عن طريقة تعريف الخطر فإن إدارة مخاطر المعلومات هي التطبيق المنظم للسياسات
واإلجراءات والممارسات المتعلقة بمهام تقييم الخطر التي تتضمن :تحديد وتعريف الخطر باإلضافة
إلى تحليله وتقييمه ،كما تتضمن أيضا معالجة الخطر (أو االستجابة له) واإلبالغ عنه ومراقبته.
إن تصميم وتطبيق عمليات إدارة المخاطر في المنظمة سوف يتأثر بما يلي:
باإلضافة لذلك ينبغي أن يعلم الموظفون بالمخاطر التي تواجهها المنظمة وأن يفهموا مسؤولياتهم وأن
يتم تدريبهم على اإلجراءات المطبقة ،كما ينبغي أن تتم مراقبة االلتزام بضوابط أمن المعلومات
وفحصها وفرضها باستمرار على مستوى كامل المنظمة.
23
• تحديد األهداف
• تحديد المنهجية المستخدمة وفريق التنفيذ
ويتحمل مدير أمن المعلومات مسؤولية تطوير ونشر وتطبيق واإلشراف على برنامج إدارة مخاطر
المعلومات لتحقيق مستوى مقبول من الخطر .وينبغي عليه مراعاة أفضل فعالية كلفة ممكنة عند
تطبيق ذلك.
• فهم خلفية المنظمة والمخاطر التي تتعرض لها (مثل جوهر عملها وأصولها القيمة ومناطق
المنافسة).
• تقييم نشاطات إدارة المخاطر الموجودة أصال ضمنها.
• تطوير البنية والعمليات لتحسين ضوابط ونشاطات إدارة المخاطر.
وينبغي أن يتكامل برنامج إدارة المخاطر مع نظام المنظمة ككل ويتوافق مع احتياجاتها.
24
• معالجة المخاطر
• قبول الخطر المتبقي
• مراقبة وتبادل معلومات الخطر
ويبين الشكل ( )4مراحل االستجابة للخطر حيث يجب التمييز بين أنواع االستجابة المتعددة (إلغاء
النشاط ،تخفيض الخطر ،نقل الخطر أو االحتفاظ بالخطر) باختالف التسميات أو المصطلحات
المستخدمة لوصفها وسيتم شرح كل منها بالتفصيل في فقرة الحقة.
الشكل ( )4مراحل االستجابة للخطر
.5.4.1.2تحليل المخاطر
في هذه المرحلة يتم تقييم وفهم طبيعة ودرجة الخطر وتعتبر المعلومات الناتجة عنها الدخل األساسي
لمتخذي القرار لتحديد كيفية التعامل مع الخطر بأكثر الطرق فعالية بالنسبة للكلفة.
ومن األساليب الشائعة لتحليل الخطر استخدام مصفوفة من 5أسطر و 5أعمدة والتي تدعى
( )semiquantitative impact matrixكما هو موضح في الشكل التالي:
25
الشكل ( )5مصفوفة درجة تأثير الخطر
الهدف من طريقة تحليل الخطر هذه هو إسناد قيمة لدرجة الخطر التي تم استنتاجها بالتقييم النوعي
( )qualitativeوتكون هذه القيمة عادة تقديرية وليست حقيقية وتستخدم كمدخل للتقييم الكمي
( )quantitativeويعطي هذا األسلوب القدرة على ترتيب المخاطر وتحسب القيمة المقابلة الحتمالية
حدوث ونتائج كل خطر (من 1إلى )25عن طريق ضرب التأثير باحتمالية الحدوث المقابلة للخطر:
ومن الجدير المالحظة أن تقييم الخطر أحيانا يقود التخاذ قرار بإجراء مزيد من التحليل .وهنا يجب
أخذ عدة أمور بعين االعتبار مثل أهداف المنظمة وآراء أصحاب المصلحة وبالتأكيد نطاق وهدف
إدارة الخطر مع الحفاظ على هامش خطأ مقبول .وعادة ما تؤخذ الق اررات المتعلقة بالمخاطر اعتمادا
على درجة الخطر ولكن قد يكون هناك عوامل مؤثرة أخرى يجب أخذها باالعتبار أيضا منها:
26
.1إلغاء النشاط
في هذه الحالة يتم تجنب الخطر عن طريق إلغاء النشاط المرتبط به أو إجراء إعادة تصميم أو إعادة
هندسة لهذا النشاط ،وعادة ما يتم اللجوء لذلك عندما تكون منافع النشاط ال تستحق التعرض للخطر
المرتبط بإبقاءه أو تحمل المسؤوليات الناتجة عنه.
.2نقل الخطر
قد تلجأ المنظمة أحيانا لشراء بوالص تأمين لتغطية بعض المخاطر لديها ،وبالتالي يتم نقل الخطر
إلى شركة التأمين عن طريق تغطية نتائج الخطر وفق تقديرات شركة التأمين .ولكن يجب االنتباه
هنا أن الخطر لم يتم نقله فعليا لشركة التأمين وإنما يتم تخفيض أثره على المنظمة بقدر ما يغطيه
عقد التأمين كليا أو جزئيا .وعادة ما يتم اللجوء لهذه االستراتيجية عندما تكون احتمالية حدوث الخطر
منخفضة ولكن تأثيرها عال جدا ومن األمثلة على ذلك الكوارث الطبيعية كالزالزل والفيضانات في
األماكن التي ال تحدث بها عادة.
ومن األمثلة األخرى على نقل الخطر تعهيد وظائف تكنولوجيا المعلومات ( )outsourcingلموردين
خارجيين ،ويجب االنتباه هنا للتحديد الدقيق للمسؤوليات عند التعاقد.
أخي ار يجب التأكيد على أن هذه االستراتيجية قد تغطي اآلثار المالية الناتجة عن الخطر وتنقلها
لطرف آخر ولكن ال يمكن نقل أية تبعات قانونية عادة.
.3تخفيض الخطر
يمكن تخفيض الخطر أو تسكينه بطرق عديدة ،مثال يمكن أن يتم التخفيض عن طريق تطبيق أو
تحسين ضوابط األمن والتي يمكن أن تكون ضوابط تمنع حدوث الخطر كليا أو ضوابط مكملة
تخفض من تأثير الخطر حال وقوعه.
.4قبول الخطر
هناك نطاق واسع من المخاطر التي يتم قبولها من قبل المنظمة .من هذه الحاالت عندما تكون كلفة
تخفيض الخطر أعلى بكثير من تأثيره .أو عندما ال يكون من المجدي تخفيض خطر له درجة تأثير
منخفضة أساسا .ويجب االنتباه هنا أن تأثير المخاطر قد ال يكون ماليا في كل الحاالت حيث هناك
عناصر أخرى يجب أن تؤخذ أيضا بعين االعتبار عند التعامل مع المخاطر المختلفة كثقة الزبائن
والمسؤولية القانونية والسمعة.
27
.5.1.2برنامج أمن المعلومات
يتضمن برنامج أمن المعلومات مجموعة النشاطات والمبادرات والمشاريع المرتبة لتحقيق استراتيجية
أمن المعلومات ضمن المنظمة وإدارة هذا البرنامج بما يضمن تحقيق ذلك .واالستراتيجية هي الخطة
الموضوعة لتحقيق أهداف أمن المعلومات المتواءمة مع أهداف المنظمة .وبذلك فإن برنامج أمن
المعلومات يعمل على التوجيه والمراقبة واإلشراف على النشاطات المتعلقة بأمن المعلومات لدعم هذه
األهداف .وإدارة هذا البرنامج تعمل على استثمار الموارد البشرية والمادية والمالية المتاحة بالشكل
األمثل التخاذ الق اررات األنسب باتجاه دعم عمل المنظمة.
.1.5.1.2عناصر برنامج أمن المعلومات األساسية
يوجد ثالثة عناصر أساسية تضمن التصميم والتطبيق واإلدارة الناجحة لبرنامج أمن المعلومات وهي:
• يجب أن يبنى البرنامج على استراتيجية أمن معلومات معدة بعناية ومتوافقة مع أهداف المنظمة
وتدعمها.
• يجب أن يصمم البرنامج بالتعاون والدعم من إدارة المنظمة وكافة األطراف ذات العالقة.
قدم
• يجب تطوير مقياس فعال للبرنامج في مختلف مراحله يساعد في توفير التغذية الراجعة وي ﱢ
المؤشرات أثناء تنفيذ البرنامج للحصول على المخرجات المطلوبة.
في الواقع ال تزال العديد من المؤسسات غير جاهزة لتحمل التكاليف والجهود الالزمة لتطبيق برامج
أمن المعلومات .في مثل هذه الحالة يحتاج مدير أمن المعلومات لتجزئة األهداف ويمكن أن يتم ذلك
من خالل استخدام معايير معتمدة مثل COBITأو ISO27001:2013باإلضافة إلى نموذج
ضج القدرة ) .Capability Maturity Model (CMMهذا األسلوب سيمكن مدير أمن المعلومات
نْ
من توصيف الوضع الراهن ووضع األهداف واالستراتيجية الالزمة لتحقيقها.
.2.5.1.2أهمية برنامج أمن المعلومات
إن تحقيق مستوى مناسب من أمن المعلومات بكلفة معقولة يتطلب تخطيط جيد واستراتيجية فعالة
وإدارة قادرة .فبرنامج أمن المعلومات لديه متطلبات متغيرة باستمرار لتوفير حماية األصول المعلوماتية
وتحقيق المتطلبات التشريعية.
لذلك فالتنفيذ الجيد لبرنامج أمن المعلومات سوف يؤدي لتصميم وتطبيق وإدارة ومراقبة نشاطات
وفعاليات البرنامج واالنتقال بها من الخطط االستراتيجية إلى الواقع الفعلي.
28
.3.5.1.2مخرجات برنامج أمن المعلومات
ينبغي أن يتم تحديد وتعريف أهداف البرنامج بدقة كما أنه من الضرورة تحديد معامالت القياس
لتتمكن إدارة البرنامج من تقييمه ومعرفة ما تم تحقيقه من األهداف وما يجب تحسينه لتالفي أي
تقصير.
وبغض النظر عن طبيعة حوكمة أمن المعلومات المطبقة في المنظمة فإن تحقيق مستويات تطبيق
مقبولة للمخرجات الستة التالية تعتبر من أساسيات تطوير أي برنامج أمن معلومات فعال:
.1التوافق االستراتيجي
إن الوصول إلى التوافق المنشود ما بين أمن المعلومات ومتطلبات األعمال التجارية يتطلب
تواصل منتظم مع مالك العمل لفهم خططه وأهدافه .وعادة ما يتطلب ذلك الحصول على إجماع
حول المعطيات الضرورية ألمن المعلومات بالتعاون مع الوحدات التشغيلية .ويقع الحصول على
هذا اإلجماع على عاتق مدير أمن المعلومات الذي من واجبه الوصول لفهم مشترك للعديد من
القضايا ومنها:
• مخاطر المعلومات في المنظمة
• اختيار أهداف ومعايير الضوابط المناسبة
• التوافق على مستوى وهوامش الخطر المقبولة في المنظمة
• تحديد القيود المالية أو التشغيلية أو غيرها..
ويمكن تحقيق ذلك من خالل عرضه في اجتماعات اللجنة التوجيهية ألمن المعلومات
( )Security Steering Committeeالتي من المفترض أن تضم ضمن أعضائها مختلف
أصحاب المصالح في المنظمة أو ممثلين عنهم .ويجب على إدارة أمن المعلومات عرض
االستراتيجية الخاصة بذلك ضمن تقارير دورية ترسل لإلدارة التنفيذية لضمان الشفافية والنجاح
والحصول منها على ردود حول التوافق االستراتجي .وتتنوع هذه البيانات من شرح التقدم في
المشاريع وحتى عرض أية مخاطر جديدة قد تؤثر على أحد خطوط اإلنتاج في المنظمة.
باإلضافة لفوائد هذا التواصل المستمر في بناء تعاون مشترك على مستوى المنظمة فإنه يساعد
أيضا في زيادة الوعي والحس بالمسؤولية تجاه مواضيع أمن المعلومات .وتمتد الجهود المبذولة
لتحقيق التوافق مع توجهات األعمال لتأخذ بعين االعتبار موائمة حلول أمن المعلومات المقترحة
مع مبادرات األعمال الحالية والمخططة ويجب مراعاة العمليات الحالية القائمة ضمن المنظمة،
الكلف الالزمة ،ثقافة المؤسسة ،الحوكمة المتبعة ،التقنيات المستخدمة وبنية المنظمة أثناء ذلك.
29
.2إدارة المخاطر
تعد إدارة المخاطر المتعلقة بأمن المعلومات من المسؤوليات الرئيسية لمدير أمن المعلومات.
ويبنى تحليل المخاطر على متطلبات األعمال ضمن المنظمة وعلى فهم عميق للعمليات والتقنيات
والثقافة ضمن المنظمة.
ولتحقيق إدارة مخاطر فعالة يجب الوصول لفهم متكامل للتهديدات والثغرات التي تواجهها المنظمة
باإلضافة إلى سجل المخاطر ومستوى الخطر المقبول بالنسبة لها .وبكل األحوال فإن المخاطر
التي تتعرض لها أية منظمة تكون متغيرة باستمرار لذلك فمن األهمية بمكان تفعيل عملية إدارة
مخاطر مستمرة أثناء كافة مراحل تطوير برنامج أمن المعلومات.
وتظهر تقارير المخاطر على االقتصاد العالمي التي يصدرها سنويا المنتدى االقتصادي العالمي
نموا متزايدا للمخاطر المتعلقة بالتكنولوجيا وخاصة منها قضايا األمن المعلوماتي حيث تحتل
مرتبة من المخاطر العشرة األعلى التي تهدد االقتصاد العالمي كما هو موضح في الشكل التالي:
المصدرThe Global Risks Report 2021 16th Edition (published by the World Economic Forum) :
.3القيمة المكتسبة
حيث يجب الحصول على مستوى من أمن معلومات يحقق الفعالية والكفاءة المطلوبة .ويجب
إدارة االستثمارات في أمن المعلومات لتحسين الدعم المقدم نحو تحقيق أهداف األعمال عن
طريق تقديم قيمة مضافة واضحة للمنظمة .وال يمكن إلدارة أمن المعلومات البقاء في وضع
ساكن بل ينبغي التحرك باستمرار لتطوير ثقافة أمن المعلومات باتجاه التحسين المستمر.
.4إدارة الموارد
تتضمن الموارد المستخدمة في تطوير وإدارة برنامج األمن كال من األشخاص والتقنيات والعمليات.
30
وأحد المبادئ المهمة في إدارة الموارد يتم تحقيقه عن طريق جمع المعارف وجعلها متاحة لهؤالء الذين
بحاجة لها.
.5قياس األداء
ينبغي أن تحدد استراتيجية أمن المعلومات المطورة طيف واسع من متطلبات المراقبة والقياس
بهدف المتابعة المستمرة للتقدم في تحقيق األهداف وإجراء التغييرات المطلوبة لتالفي أية أخطاء
أو ثغرات ويسمح ذلك للمدققين المستقلين بالتأكد من أن برنامج أمن المعلومات في وضعه
الصحيح ويخضع إلدارة فعالة.
.6التكامل مع إجراءات الضمان األخرى
من المهم لمدير أمن المعلومات أن يكون لديه معرفة وتفهم لوظائف الضمان األخرى في المؤسسة
ألنها بدون شك ستؤثر على برنامج أمن المعلومات بشكل أو بآخر .قد تتضمن هذه الوظائف:
األمن المادي (الفيزيائي) ،إدارة المخاطر ،ضمان الجودة ،التدقيق ،إدارة التغيير ،التأمين ،الموارد
البشرية ،استم اررية العمل ،االستعادة من الكوارث وغيرها..
لذلك يجب تطوير صيغة عالقات رسمية مع مزودي الضمان اآلخرين في المنظمة لخلق نوع
من التكامل في النشاطات مع نشاطات أمن المعلومات ولتفادي التكرار في النشاطات ذات
األهداف المتقاربة أو المتشابهة.
.4.5.1.2أهداف برنامج أمن المعلومات
يهدف برنامج أمن المعلومات إلى تطبيق االستراتيجية بأفضل طريقة فعالة من حيث التكلفة مع
تعظيم الدعم المقدم لوظائف األعمال وتقليل االنقطاعات للحد األدنى.
عندما يتم تطوير االستراتيجية بالشكل األمثل فإن تحويلها لواقع يصبح مجرد تنفيذ سلسلة من المهام
والمشاريع .ومع ذلك هناك عناصر يجب أن تعدل طوال مراحل البرنامج وذلك ألسباب عديدة مثل
حدوث تغير في متطلبات األعمال ،تعديالت في البنية التحتية أو في التقنيات أو في مستوى الخطر.
وقد يكون نتيجة توافر حل أفضل من الحل المقترح سابقا ولم يكن متاحا من قبل في وقت ما من
مراحل تطور البرنامج .وربما يكون للممانعة غير المتوقعة من قبل هؤالء المتأثرين بالتغيير أث ار في
إجرء التعديالت أحيانا.
ا
ومن األساسي أن يتم تحديد القوى التي تقود احتياجات األعمال ألمن المعلومات ضمن المنظمة
حيث من الممكن أن يكون الدافع لذلك:
إن تحديد الدافع سوف يوضح أهداف برنامج أمن المعلومات ويعطي أسس تطويره ومراقبته .عند
تحديد أهداف البرنامج بوضوح يصبح الغرض من نشاطات البرنامج هو أن يتم إنشاء العمليات
والمشاريع التي تردم الفجوة بين الوضع الراهن والوضع المأمول .وحتى لو كان هناك برنامج مطبق
مسبقا أو لم يكن فهناك مجموعة من األسس يجب أن تبنى لدعم نشاطات البرنامج والتأكد من فعاليتها
وتكون الخطوة األولى لذلك دوما هي تحديد أهداف اإلدارة ألمن المعلومات وإنشاء مؤشرات واضحة
تعكس هذه األهداف ( )Key Goal Indicatorsثم تطوير آليات القياس للتحقق فيما إذا كان
البرنامج يمضي باالتجاه الصحيح لتحقيق هذه األهداف أو ال.
.5.5.1.2الموارد التقنية لبرنامج أمن المعلومات
يتضمن برنامج أمن المعلومات في معظم الحاالت طيف واسع من التقنيات (باإلضافة إلى
السياسات/اإلجراءات والموارد البشرية) .ويجب أن يتم اتخاذ الق اررات بشأن اختيار المناسب من هذه
التقنيات والقابل لالستخدام منها بما يتوافق مع أهداف البرنامج واحتياجات المنظمة .فيما يلي عينة
من التقنيات الحالية المرتبطة مباشرة بأمن المعلومات:
32
• طرق حماية التطبيقات ()application
• طرق الوصول عن بعد (مثل )virtual private network VPN
• أساليب الحماية عبر اإلنترنت
security information and event • أدوات جمع وتحليل سجالت المراقبة (مثل
)management SIEM
• أدوات المسح عن الثغرات وفحص االختراق ( vulnerability scanning and penetration
)testing
• تقنيات وأساليب منع تسريب المعلومات ()data leak prevention DLP
• أنظمة إدارة الدخول وتحديد الهوية ()identity and access management systems
تعتبر معظم التقنيات أعاله مرتبطة بشكل مباشر بأمن المعلومات إال أنه يجب االعتراف -على
األقل نظريا -بأن كل التقنيات المطبقة في المنظمة بمختلف أشكالها لها عالقة ما بأمن المعلومات
ضمنيا.
.6.5.1.2نطاق برنامج أمن المعلومات
سواء كانت نقطة االنطالق تتطلب تشكيل برنامج أمن معلومات جديد أو أن هناك برنامج مسبق
مطلوب استكماله فيجب أخذ عدة قضايا مهمة بعين االعتبار .من أهم هذه النقاط هو تحديد نطاق
عمل ومسؤولية وميثاق برنامج أمن المعلومات .لألسف فإنه من النادر أن نجد هذه العناصر معرفة
وموثقة بشكل واضح مما يؤدي إلى صعوبة في تحديد من يدير ماذا أو مدى مالئمة وظائف أمن
المعلومات ألهداف المنظمة.
لذلك فعلى مدير أمن المعلومات أن يبدأ عمله الجديد ببذل جهود استقصائية للحصول على فهم جيد
من المعنيين حول التوقعات ،المسؤوليات ،نطاق العمل ،الصالحيات ،الميزانيات ،متطلبات
البالغات ..،وسيكون من المفيد جدا توثيق هذه المعطيات والحصول على تفاهم مع اإلدارة حولها.
وفيما يتعلق بالسلسلة اإلدارية ينبغي فهم هيكلية المنظمة وأين تقع وظائف أمن المعلومات ضمن
هذه الهيكلية .في العديد من الحاالت يمكن أن يكون هناك هيكلية إدارية متوارثة ومتعارضة قد تؤدي
لظهور تضارب في المصالح ،وهنا ينبغي مناقشة ذلك مع اإلدارة واالتفاق حول آليات التعامل مع
هذا الوضع .عادة ما يعتبر قسم أمن المعلومات على أنه من الوظائف التنظيمية وقدرته على العمل
بشكل فعال يتعارض مع كونه تابعا لوظائف من المفترض أن يكون رقيبا عليها .ومع وجود بعض
االستثناءات ،فإن مدير أمن المعلومات التابع إلدارة التكنولوجيا أو أي إدارة تشغيلية أخرى ستكون
قدراته على توفير وظيفة أمن معلومات فعالة على مستوى المنظمة محدودة جدا.
33
وتتوقف فعالية إدارة أمن المعلومات في بعض المنظمات على ثقافة المنظمة ومدى فهم مدير أمن
المعلومات لهذه الثقافة .وغالبا ما تتعلق وظيفة األمن بالقوى المتفاعلة داخل المنظمة لذلك فنجاحها
يعتمد بشكل كبير على بناء عالقات صحيحة مع مختلف األطراف ،فغالبا ما يرتبط نجاح العمل في
المنظمات بقوة تأثير العالقات أكثر من ارتباطه بمواثيق العمل المكتوبة .يبين الشكل التالي الخطوات
الالزمة لتطوير برنامج أمن معلومات باختصار:
تحديد النتائج
المرجوة من أمن
المعلومات
إدارة البرنامج تطوير برنامج أمن إنشاء خارطة طريق إنشاء استراتيجية تنفيذ تحليل فجوات تحديد أهداف أمن
لتحقيق األهداف معلومات لتطبيق لتوجيه االستراتيجية إلغالق الفجوات بين الوضع الراهن المعلومات (الوضع
والوضع المطلوب االستراتيجية والمطلوب المطلوب)
تحديد الوضع
الراهن
يبنى نطاق برنامج أمن المعلومات عن طريق تطوير استراتيجية المنظمة المتعلقة به وربطها
بمسؤوليات إدارة المخاطر ويحدد ميثاق البرنامج مدى دعم كل إدارة ضمن المنظمة نشاطات تطبيق
هذا البرنامج.
إن تطبيق برنامج أمن المعلومات ال بد أن يغير في طريقة المنظمة في عملها األشياء .ويجب أن
يسعى مدير أمن المعلومات ضمن بنية الموظفين واإلجراءات والتقنيات الموجودة على دمج التغييرات
ضمن االجراءات والسياسات المعمول بها مسبقا ،وال شك أن هذا سيولد درجة ما من الممانعة للتغيير
وهذا ما يجب توقعه والتخطيط له.
فيما يلي مثال على وصف برنامج أمن معلومات ناضج يمكن االعتماد عليه كأساس لالستراتيجية
ويساعد في تحديد النطاق والميثاق لبرنامج أمن المعلومات:
" أمن المعلومات هي مسؤولية مشتركة من قبل إدارات األعمال والتكنولوجيا وأمن المعلومات ،وهو
يتكامل مع أهداف المنظمة التشغيلية .إن متطلبات أمن المعلومات قد تم تحديدها بوضوح وتحسينها
34
وجمعها ضمن خطة أمن معتمدة .تتكامل وظائف أمن المعلومات مع التطبيقات في مراحل التصميم،
ويجب التركيز على إعطاء المستخدمين النهائيين دو ار متزايدا في إدارة األمن .تعطي تقارير وإبالغات
أمن المعلومات إنذا ار مبك ار حول التغييرات أو أية مستجدات بالمخاطر باستخدام أساليب مراقبة آلية
فعالة لألنظمة الحساسة .يتم التعامل مع الحوادث وفق إجراء االستجابة المعتمد لها مدعوما بمجموعة
أدوات آلية .يتم تنفيذ تقييم أمني دوري لتحديد فعالية تطبيق الخطة األمنية .يتم جمع معلومات عن
التهديدات والثغرات األمنية الجديدة بشكل آلي ويتم التواصل بشأن الضوابط المناسبة الالزم تطبيقها.
يعتبر فحص االختراق وتحليل السبب الجذري للحوادث وتحديد المخاطر بشكل مسبق هي أساسيات
التحسين المستمر .تتكامل عمليات وتقنيات أمن المعلومات على مستوى المنظمة ككل ".
(المصدر)ISACA, CISM Review Manual 14th Edition :
مع التطور الكبير في قطاع األعمال أصبح العالم اآلن يتجه نحو توفير بيئة عمل فيها العديد من
التقنيات الحديثة ،مثل :منصات التواصل االجتماعي والحوسبة السحابية وتقنيات تحليل البيانات،
ومع زيادة هذا التطور الذي يؤدي من جانب إلى زيادة معدل نجاح األعمال ،لكنه من جانب آخر
يشير إلى مخاوف ومخاطر أخرى تتعلق بكيفية اإلدارة والحوكمة لتقنية المعلومات ،مما دفع إلى
ظهور حاجة لحلول جذرية لسيناريوهات مخاطر تقنية المعلومات .لهذا السبب تم إنشاء مجموعة من
أطر العمل المعيارية كحل فعال يساعد على تسهيل عملية حوكمة تقنية المعلومات في الشركات
والمنشآت .ويوجد اليوم أكثر من إطار عمل يمكن أن يتم استخدامه لتطوير برنامج أمن المعلومات
ومن أكثرها شيوعا واستخداما على مستوى العالم COBIT 5و ISO/IEC 27001وفيما يلي شرح
مختصر عن كل منها:
.1.7.5.1.2إطار عمل COBIT 5
هو إطار عمل تم إنشاؤه بواسطة منظمة التدقيق والرقابة على نظم المعلومات ) (ISACAيستخدم
إلدارة وحوكمة تقنية المعلومات داخل المؤسسات ،حيث تعتبر الحوكمة الفعالة لتقنية المعلومات أمر
بالغ األهمية وأساس نجاح األعمال.
يعرف إطار العمل COBIT (Control Objectives for Information and Related
) Technologyبأنه إطار حوكمة تقنية المعلومات المعترف به دوليا ،ويسمى أيضا اإلطار /النموذج
المرجعي لألمن ولضمان استغالل تقنية المعلومات بالشكل األمثل ،يستخدم لتحسين أداء األعمال
بإطار متوازن ولخلق قيمة لتقنية المعلومات وخفض المخاطر المحتملة منها.
يتكون هذا اإلطار من مجموعة من الممارسات والعمليات الراسخة والمقبولة (مع كل عملية يتم تحديد
المدخالت والمخرجات للعملية ،وأنشطة العملية الرئيسية ،وأهداف العملية ،ومقاييس األداء ،ونموذج
35
نضج القدرة) لتضمن أن تقنية المعلومات المستخدمة داخل المنشآت تغطي أهداف العمل ،وأن الموارد
تستخدم بشكل جيد ،وأن المخاطر يتم رصدها بشكل كاف.
.1اإلطار (Framework):يعمل على تنظيم عملية حوكمة تكنولوجيا المعلومات وتقديم أفضل
الممارسات الجيدة حسب مجاالت تكنولوجيا المعلومات المختلفة وربطها باحتياجات األعمال.
.2التعريفات وأوصاف العمليات (Process objectives):يقدم نموذج مرجعي ولغة مشتركة لكل
فرد في المنشأة ،وتتضمن أوصاف العمليات ومجاالت المسؤولية (من تخطيط ،وبناء ،وتشغيل،
ومراقبة) لجميع عمليات تقنية المعلومات.
.3أهداف التحكم (Control objectives):توفر مجموعة كاملة من المتطلبات عالية المستوى
التي يجب أن تنظر فيها اإلدارة للتحكم الفعال في كل عملية.
.4إرشادات اإلدارة (Management guidelines):تساعد في تحديد المسؤوليات بشكل أفضل،
واالتفاق على األهداف المشتركة ،وقياس األداء ،وتوضيح العالقة المتبادلة مع العمليات األخرى.
.5نماذج النضج ( :)Maturity modelsتعمل على تقييم نضج القدرة لكل عملية وتساعد على
معالجة الفجوات بينها .يتألف هذا النموذج من مستويات ما بين الصفر والخمسة تحدد اعتمادا
على درجة نضوج عمليات أمن المعلومات في المنظمة كما في الشكل التالي:
36
مبادئ إطار العمل : COBIT 5
الشكل ( )9مبادئ COBIT 5
لبناء نظام إدارة وحوكمة تقنية المعلومات فعال داخل المنشآت،
يجب مراعاة األسلوب الذي يتبعه إطار كوبت ()COBIT 5
إلدارة تقنية المعلومات ،ويعتمد على خمسة مبادئ أساسية
وهي:
يعتمد COBITبشكل كامل على مجموعة شاملة تتكون من سبعة عوامل تمكين تعمل على تحسين
االستثمار في تقنية المعلومات واستخدامها لصالح جميع أصحاب العمل ،وهي:
يعتبر معيار اآليزو ) (ISO/IEC 27001:2013المعيار الدولي الذي يوضح كيفية وضع نظام
إدارة أمن المعلومات بشكل معتمد وتطبيقه والحفاظ عليه وتحسينه باستمرار ضمن أطر عملية مما
يسمح بالحفاظ على البيانات الحساسة والسرية بشكل آمن والتقليل من احتمال الوصول إليها بشكل
غير قانوني أو بدون إذن كما يسمح بإدارة المخاطر األمنية واسترداد المعلومات وتقليل الخروقات
األمنية والتأكد من وجود نظام أمن معلومات يؤدي المهام بكفاءة ويتابع مستويات الحماية الخاصة
بالمنظمة من خالل:
إن اعتماد نظام اآليزو سواء للحصول على الشهادة أو تطبيقه في المنظمة كأفضل ممارسة سيعود
على المنظمة بفوائد عديدة أهمها:
• إدارة وتقليل تأثير المخاطر المتعلقة باألصول المعلوماتية من خالل تصميم أفضل الضوابط
األمنية الداخلية وأكثرها مالءمة لبيئة األعمال.
• حماية المنظمة وحماية أصول المستفيدين والموردين والمحافظة على أمن المعلومات السرية.
• ضمان استم اررية األعمال بشكل آمن في حاالت األزمات.
• تزويد العمالء وأصحاب المصلحة بالثقة في كيفية إدارة المخاطر المرتبطة باألصول المعلوماتية.
يوجد في اإلصدار األخير من هذا المعيار 114ضابط تحكم موزعة ضمن 14فقرة (يبدأ ترقيمها
من A.5وحتى A.18لتكون متوافقة مع الترقيم في المعيار ISO/IEC 27002:2013الذي
يعطي إرشادات لمعايير أمن المعلومات التنظيمية وممارسات إدارة أمن المعلومات) كما يلي:
39
سلسلة معايير ISO27k
نظر ألن ISO 27001يحدﱢد متطلبات نظام إدارة أمن المعلومات ) ،(ISMSفإنه يعتبر المعيار
ا
الرئيسي في مجموعة معايير ISO 27000وهو يعرﱢف بشكل أساسي ما هو مطلوب لتطبيق النظام،
وليس كيفية القيام بتطبيق النظام وتفعيله داخل المنظمة ،ولذلك فقد تم تطوير العديد من معايير أمان
المعلومات األخرى لتوفير إرشادات إضافية .ويوجد حاليا أكثر من 40معيا ار في سلسلة ISO27k
من أكثرها شيوعا:
يعد إطار إدارة أمن المعلومات التمثيل المبدئي لبنية إدارة أمن المعلومات في المنظمة ويجب أن
يحدد العناصر التقنية والتشغيلية واإلشرافية واإلدارية للبرنامج .كما يركز اإلطار الفعال على بعض
االحتياجات قصيرة المدى كحاجة متخذي القرار في المنظمة لشرح حول المخاطر وطرق تخفيفها
والتي من الممكن أن تكون متعلقة ببعض نشاطاتها مثل االستضافة الخارجية (السحابية) لنظام
معلوماتي ما.
.8.5.1.2نشاطات إدارة وتنظيم برنامج أمن المعلومات
تتضم ن إدارة برنامج أمن المعلومات نشاطات التوجيه واإلشراف والمراقبة المتعلقة بأمن المعلومات
لدعم أهداف المنظمة .واإلدارة هي عملية تحقيق أهداف المنظمة عن طريق دمج الموارد البشرية
والمادية والمالية بالشكل األمثل مع العمليات والتقنيات واتخاذ أفضل الق اررات لصالح المنظمة آخذين
باالعتبار بيئتها التشغيلية .تتضمن اإلدارة المستمرة للبرنامج نشاطات متعددة مثل:
40
• متابعة أداء الموظفين وتنظيم الوقت واالحتفاظ بالسجالت
• االستخدام األمثل للموارد
• الشراء /االستحواذ
• إدارة المخزون
• تتبع ومراقبة وإدارة المشاريع
• تطور برنامج التوعية
• اإلدارة المالية والميزانية وضبط األصول
• إدارة األشخاص والعالقة مع الموارد البشرية
• إدارة العمليات التشغيلية وتسليم الخدمات
• تطبيق ومراقبة مؤشرات القياس والتقارير
• إدارة دورة حياة عناصر تقانة المعلومات
حيث يتم باستخدام األسلوب المناسب مناقشة مخاطر أمن المعلومات مع مختلف األقسام ضمن
المنظمة واقتراح الحلول التي تراعي كال من المتطلبات األمنية والتأثير األقل على النشاطات التشغيلية
للمنظمة.
فيما يلي األبعاد المهمة التي يجب مراعاتها في إدارة برنامج أمن المعلومات:
.1.8.5.1.2شؤون الموظفين ،األدوار ،المهارات والثقافة
يمكن أن يتضمن فريق العمل في برنامج أمن المعلومات مهندسي أمن معلومات ،مختصين بضمان
الجودة واالختبار ،مدراء الوصول ،مدراء مشاريع ،منسقي التزام ،مختصين ببنى أمن المعلومات،
منسقي توعية ،ومختصين بالسياسات .ويجب أن تكون المسؤوليات موضحة لكل دور من الوظائف
التي يتم إسنادها لضمان التطبيق الفعال.
41
ومن المهم فهم مهارات األشخاص المتاحين في الفريق للمساعدة في وضعهم ضمن المهام الصحيحة
المناسبة لقدراتهم ضمن البرنامج .ويمكن الحصول على بعض المهارات غير المتوفرة عن طريق
تدريب الفريق الحالي أو االستعانة بموارد خارجية (والتي قد تكون أكثر جدوى في حاالت الحصول
على استشارات تخصصية لفترة محدودة أو لمشاريع صغيرة) .ويجب أن يتم تجهيز اتفاقيات توظيف
رسمية وفق المسؤوليات المسندة لكل موظف خالل بداية عملية التوظيف.
تعكس الثقافة سلوك المنظمة وتوجهاتها ومستويات التأثير الرسمية وغير الرسمية في بنية أداء
األعمال ،السلوك ،األعراف ،درجة نضج العمل الجماعي ،ووجود أو عدم وجود روح المنافسة .وتتأثر
الثقافة بخلفيات األفراد ،أخالقيات العمل ،القيم ،الخبرات السابقة ،ومعتقداتهم في الحياة التي
يحضرون ها معهم لمكان العمل .ولكل منظمة ثقافة معينة بغض النظر فيما إذا كان قد تم تصميمها
وبناؤها بشكل متعمد أو بنيت ببساطة نتيجة التراكمات اإلدارية عبر الزمن.
وبما أن دور أمن المعلومات متشعب ضمن كل المنظمة ويحتاج لبناء عالقات مع مختلف األقسام
لذلك يجب التأسيس لثقافة أمن معلومات تحترم أدوار كل الموظفين الذين يؤدون مهامهم مع مراعاة
حماية األصول التي يعملون بها .وعلى كل موظف مهما كان موقعه أن يعي كيف ترتبط مهام أمن
المعلومات بدوره في المنظمة .للوصول لذلك ينبغي التركيز على تحسين التواصل والمشاركة ضمن
اللجان والمشاريع بفعالية وإعطاء االهتمام الضروري للمستخدمين النهائيين.
ال يمكن التعامل مع المخاطر المتوارثة الناتجة عن استخدام أنظمة المعلومات المختلفة عن طريق
اآلليات التقنية البحتة .يساهم برنامج التوعية الفعال في الحد الكبير من المخاطر عن طريق استهداف
عنصر السلوك األمني لدى األشخاص .يجب أن يركز برنامج التوعية على المخاوف األمنية الشائعة
للمستخدمين مثل اختيار كلمات المرور ،االستخدام المناسب للموارد التقنية ،أمان البريد اإللكتروني
وتصفح اإلنترنت ،وأساليب الهندسة االجتماعية ويجب تخصيص كل برنامج توعية لمجموعة معينة
مع األخذ باالعتبار أن المستخدم النهائي هو خط االكتشاف األول للتهديدات التي قد ال تكون قابلة
لالكتشاف عن طريق األنظمة األمنية التقنية مثل أساليب االحتيال والهندسة االجتماعية.
.3.8.5.1.2التوثيق
يعتبر التوثيق من المهام اإلشرافية الضرورية المرافقة لبرنامج أمن المعلومات .ويجب أن تسند كل
وثيقة لمالك معين يكون مسؤوال عن تعديالتها .ومن المهم اعتماد إصدارات متعددة لكل وثيقة للتأكد
42
من أن الجميع يستخدم اإلصدار الصحيح مع وجود آلية للنشر وإبالغ أصحاب العالقة بأية إصدارات
جديدة .وينبغي تطبيق إجراء واضح لإلضافة أو التعديل أو حتى إتالف الوثائق المرتبطة بالبرنامج.
.4.8.5.1.2تقدم البرنامج وإدارة المشاريع
إن تحقيق أهداف البرنامج لالنتقال من الوضع الراهن للوضع المستهدف لزيادة درجة األمن والحصول
على مستوى مقبول من المخاطر يتطلب تنفيذ العديد من المشاريع التي تساعد في التقدم ضمن
البرنامج .يجب أن تتم مراجعة المشاريع الضرورية لردم هذه الفجوة بشكل دقيق ،حيث أن العديد من
هذه المشاريع سيكون لتطبيق تقنيات جديدة أو لمراجعة وتعديل إعدادات األنظمة المستخدمة .وينبغي
التأكيد على أن يكون لكل من هذه المشاريع وقت محدد وميزانية ونتائج قابلة للقياس لتحقيق زيادة
في المستوى األمني مع مراعاة عدم تأثيرها على المستوى األمني سلبيا لجوانب أخرى ضمن المنظمة.
كما ينبغي التعامل مع هذه المشاريع ضمن محفظة مشاريع متكاملة بحيث يتم ترتيبها وفق األهمية
مع مراعاة عدم التأخر في المشاريع المتداخلة وتخصيص الموارد الالزمة لكل منها بالشكل األمثل
ودمج نتائجها بشكل سلس ضمن العمليات التشغيلية.
.5.8.5.1.2إدارة المخاطر
تسعى كل نشاطات البرنامج نظريا إلدارة المخاطر ضمن الحدود المقبولة ،ولكن مع التغير المستمر
في أبعاد المخاطر فإنه من األساسي أن تالحق نشاطات أمن المعلومات هذه التغييرات وتكيف نفسها
بالشكل المطلوب للتعامل بشكل فعال مع الظروف الحالية .وفي الوقت الذي تهمل فيه بعض
المنظمات االهتمام بتأثيرات حوادث أمن المعلومات فإنه من األساسي للبرنامج التأكد من قدرة المنظمة
على االستجابة للحوادث األمنية التي قد تسبب انقطاعات في األعمال التشغيلية.
.6.8.5.1.2تطوير حاالت عمل ()Business Case
إن الغاية من حاالت العمل هي إيجاد تبرير وأسباب للمشاريع والمهام ويجب أن تتضمن تلك الحاالت
العوامل التي يمكن أن تؤدي لنجاح أو فشل المشروع .ويتم عرض هذه الحاالت وفق األسلوب المتبع
في كل منظمة كما يمكن أن يتم ذلك إلكترونيا عبر مستند جيد التحضير أو عرض تقديمي مناسب.
وينبغي أن يتم تحديد المنافع والكلف والمخاطر ضمن كل حالة ،حيث عادة ما تكون المنافع قابلة
للقياس وداعمة ومتماشية مع المنظمة ،ويجب االهتمام بشكل خاص بالجانب المالي للعرض كما
يجب أن يتم اإلشارة للمخاطر الواقعية المرافقة لفترة حياة المشروع .ومن األفضل تجنب الثقة الزائدة
والتفاؤل المفرط والعمل على تقديم حاالت واقعية تعطي نتائج ملموسة.
43
.7.8.5.1.2تمويل البرنامج
التمويل هو جزء أساسي من برنامج أمن المعلومات ويمكن أن يكون له تأثير كبير على نجاح
البرنامج .وكما هو الحال مع نشاطات األعمال األخرى فإن المعرفة والتحضير العميق تعتبر من
العوامل الرئيسية بالنجاح في إدارة مجريات هذا التحدي .ومن العوامل األساسية األخرى هو وجود
استراتيجية أمن معلومات بشكل مسبق للحديث عن التمويل وكل المصاريف والنفقات يجب أن تكون
مدعومة ضمن االستراتيجية ألنها تحدد خارطة طريق واضحة للتقدم في تطبيق برنامج أمن المعلومات
المتفق عليه .فوجود استراتيجية متفق عليها ومعتمدة يجب أن يسبق الدخول في إجراءات التمويل.
وتجدر اإلشارة إلى وجود بعض العناصر في برنامج أمن المعلومات التي ال يمكن التنبؤ بها والتي
قد تتطلب نفقات مفاجئة وغير مخططة خاصة أثناء االستجابة للحوادث مثل ضرورة االستعانة
بمختصين من خارج المنظمة لتقديم استشارات خارج مهارات فريق المنظمة .في مثل هذه الحاالت
يمكن تخصيص ميزانية باالعتماد على البيانات التاريخية لحاالت مشابهة.
.8.8.5.1.2قواعد عامة لسياسة االستخدام المقبول
بينما تزوﱢد اإلجراءات المحددة خطوات تفصيلية للعديد من الوظائف على المستوى التشغيلي فإنه ال
يزال هناك مجموعة كبيرة من المستخدمين الذين قد تكون الفائدة األكبر لهم نابعة من الخالصات
سهلة التناول حول ما يجب وما ال يجب فعله لاللتزام بالسياسة .ومن الطرق الفعالة لتحقيق ذلك
إنشاء سياسة لالستخدام المقبول ( )Acceptable Use Policyوالتي يمكن أن توزع لكل
المستخدمين ليتم بعدها التأكد من قراءتها وفهمها من قبل الجميع .وينبغي أن توزع سياسة االستخدام
المقبول لكافة الموظفين الجدد الذين سيستخدمون موارد تكنولوجيا المعلومات.
تكون عادة القواعد التي يتم تضمينها في سياسة االستخدام المقبول حول ضوابط الدخول ،التصنيف،
طرق معالجة وثائق البيانات ،متطلبات اإلبالغ وقيود التصريح ،وقد تتضمن قواعد حول استخدام
البريد اإللكتروني واإلنترنت حيث تضع الحد األدنى من الضوابط الالزمة لتحقيق مستوى أمن
المعلومات على صعيد المنظمة.
.9.8.5.1.2ممارسات إدارة مشكالت أمن المعلومات
تتطلب إدارة المشكالت أسلوب منظم لفهم أبعاد القضية المختلفة وتحديد المشكلة وتصميم برنامج
عمل بالتوازي مع إسناد المسؤوليات وتورايخ اإلنجاز للحل .كما ينبغي تطبيق آلية تبليغ تضمن
متابعة النتائج والتأكد من أن المشكلة قد تم حلها.
وبما أن بيئة تكنولوجيا المعلومات تتغير باستمرار في أي منظمة فإنه من الضروري متابعة ضوابط
أمن المعلومات المستخدمة بشكل دائم للتأكد من أنها ال تتعرض ألية مشكالت نتيجة التغييرات ،وهنا
44
يمكن استخدام بعض الضوابط البديلة ريثما يتم التأكد من حل المشكلة .على سبيل المثال عند تعرض
أحد جدران الحماية النارية لمشكلة أدت لتوقفه عن العمل يمكن اللجوء لعزل األنظمة المرتبطة به
من الوصول للخارج حتى يتم إصالح المشكلة لحماية المنظمة من المخاطر المحتملة .في الوقت
الذي تمت فيه حماية المنظمة في هذا المثال فإن اإلجراء المتخذ أثر بنفس الوقت على تنفيذ المنظمة
ألعمالها لذلك فمن الضروري منح الصالحيات المالئمة لمثل هذه الحاالت من قبل اإلدارة.
.10.8.5.1.2إدارة الموردين
تعتبر اإلدارة والمراقبة المستمرة للموردين الخارجيين للبرمجيات والتجهيزات والخدمات األخرى من
المسؤوليات الرئيسية ألمن المعلومات .ومن الشائع جدا حاليا أن يتم االستعانة بموردين خارجيين
أيضا لتنفيذ أو تشغيل وظائف مرتبطة بأمن المعلومات ،ويخلق استخدام جهات خارجية لتزويد
خدمات متعلقة بأمن المعلومات مخاطر يجب أن يتم إدراتها بالشكل المناسب .كما يجب مراعاة
جوانب أخرى مرتبطة بذلك مثل قدرة المورد المالية على االستمرار ،جودة الخدمة ،الكادر المؤهل،
االلتزام بسياسة أمن معلومات المنظمة وحق التدقيق لدى المورد.
.11.8.5.1.2تقييم إدارة البرنامج
من المهم أن يتم إعادة تقييم برنامج أمن المعلومات بشكل دوري وكلما دعت الحاجة باإلضافة
لمراجعة كفاءة البرنامج بالمواضيع المتعلقة بالتغييرات ضمن توجهات المنظمة ،أو البيئة أو القيود.
وينبغي مشاركة نتائج هذا التحليل مع لجنة توجيه أمن المعلومات وأصحاب المصلحة اآلخرين
للمراجعة وتطوير االستراتيجات الالزمة لتعديل البرنامج .ومن المستحسن أن يشمل التحليل أهداف
البرنامج ،متطلبات االلتزام ،إدارة البرنامج ،إدارة عمليات أمن المعلومات ،إدارة المعايير التقنية
ومستوى الموارد المالية والبشرية والتقنية المكرسة للبرنامج.
.12.8.5.1.2خطط-نفذ-افحص-تصرف
يقوم برنامج أمن المعلومات على كفاءة وفعالية إدارة الضوابط المصممة والمطبقة للتعامل مع
التهديدات والمخاطر ونقاط الضعف وتخفيفها .وهنا ينبغي تحقيق تناغم مستمر بين استراتيجية
البرنامج وأهداف المنظمة .ويعتبر تطبيق عناصر الحوكمة التالية أم ار أساسيا للحفاظ على كفاءة
وفعالية عالية للبرنامج :الرؤية واألهداف االستراتيجية ،مؤشرات تحقيق األهداف ( ،)KGIsمؤشرات
األداء ( ،)KPIsوالخطط التكتيكية والسنوية الضرورية لتحقيق األهداف االستراتيجية.
.13.8.5.1.2المتطلبات القانونية والتشريعية
تركز األقسام القانونية عادة في المنظمات على العقود واألمور ذات العالقة بالمستندات القانونية
والمالية ،وفي كثير من الحاالت ال يكون لديها إطالع على المتطلبات القانونية المتعلقة بأمن
45
المعلومات وعليه يجب أال يعتمد مدير أمن المعلومات على القسم القانوني في ذلك وينبغي عليه
القيام بمراجعة قانونية لتوضيح موقع المنظمة تجاه االلتزام بالمتطلبات القانونية .باإلضافة لذلك قد
يتم الطلب من مدير أمن المعلومات دعم المعايير القانونية المتعلقة بخصوصية البيانات والعمليات،
استخراج ومعالجة سجالت التدقيق ،سياسات االحتفاظ بالبيانات ،إجراءات التحقيق في الحوادث،
والتعاون مع السلطات القانونية المعنية .وينبغي االنتباه والتعامل مع القضايا القانونية بحذر شديد
ك حالة استجواب أو مراقبة أحد موظفي المنظمة أو اتخاذ اجراءات تأديبية بحق أحدهم نتيجة سلوك
غير مناسب.
.14.8.5.1.2العوامل الفيزيائية والبيئية
يمكن أن يتعرض أمن المعلومات للخطر أو التخريب من خالل الوصول الفيزيائي أو تخريب عناصر
فيزيائية ،يتم تحديد مستوى الحماية الضروري المحيط بالموارد المختلفة وفقا لدرجة أهميتها وحساسيتها
وكلفتها بالنسبة للمنظمة .حيث يوجد طيف واسع من ضوابط الحماية الفيزيائية التي تساعد مدير
أمن المعلومات في تحقيق األمن المادي مثل أنظمة إدارة الدخول ،األقفال اإللكترونية ،مستشعرات
الحركة ،الكاميرات ،األقفاص الفوالذية وأجهزة التتبع الراديوية وغيرها .كما يجب مراعاة العوامل
الجغرافية وتوزع الموارد عبرها خاصة فيما يتعلق بمواقع االستعادة من الكوارث التي تؤمن استم اررية
نشاطات المنظمة في حاالت الكوارث الكبرى كالزالزل والفيضانات .كل ذلك ينبغي أن يكون ضمن
سياسات وإجراءات واضحة ومعتمدة على مستوى المنظمة.
.15.8.5.1.2األخالقيات
تنفذ العديد من المنظمات تدريب أخالقي للعاملين ضمنها لتوضيح السلوك الذي تعتبره المنظمة
قانوني ومناسب ،وعادة ما يتم ذلك لألفراد الذين يتطلب عملهم االنخراط في نشاطات ومهام ذات
طبيعة خاصة وحساسة مثل مراقبة نشاطات المستخدمين ،فحص االختراق ،واالطالع على بيانات
شخصية أو حساسة .يجب على فريق أمن المعلومات أن يكونوا حساسين إلمكانية حصول تضارب
في المصالح أو النشاطات التي قد تضر بالمنظمة .كما ينبغي أن يتم إنشاء مدونة لقواعد السلوك
الخاصة بالمنظمة يوقعها كل موظف وتحفظ مع سجالته الوظيفية.
46
أمن المعلومات مالئم للمنظمة ككل .كما يجب أن يتم تطوير وتطبيق السياسات واإلجراءات والضوابط
مع احترام هذه االختالفات وتحاشي تناول العناصر التي قد تؤذي المنتمين لثقافات مختلفة واالستعانة
ببدائل مالئمة لتحقيق المستوى المطلوب من أمن المعلومات .وفي مثل هذه الحاالت يمكن التعاون
مع القسم القانوني وقسم الموارد البشرية للوصول ألفضل الحلول على مستوى المنظمة.
.17.8.5.1.2الخدمات اللوجستية
يجب أن يراعي مدير أمن المعلومات تأثير القضايا اللوجستية وخاصة الحجم الكبير من التقاطعات
مع الوحدات التشغيلية األخرى أو األفراد الذين يتطلب البرنامج مساهمتهم بنشاطاته .من هذه القضايا:
عادة ما يواجه إنشاء برنامج أمن معلومات جديد أو حتى تطبيق تعديالت على برنامج موجود مسبقا
العديد من العقبات غير المتوقعة والتي يمكن أن تتضمن:
ومن أبرز التحديات التي تواجه مدير أمن المعلومات أثناء تطبيق البرنامج:
.1.9.5.1.2دعم اإلدارة
إن ضعف دعم اإلدارة شائع عادة في المنظمات الصغيرة أو تلك التي ليس لديها صناعات تتأثر
بشكل مباشر بمخاطر أمن المعلومات .حيث تعتبر وظيفة أمن المعلومات في مثل تلك المنظمات
من الوظائف الهامشية التي تتطلب كلف بدون قيمة مستفادة منها.
47
في مثل هذه الظروف يجب أن يقوم مدير أمن المعلومات بضبط استخدام الموارد بالشكل األمثل
ومراجعة التهديدات الشائعة ألنظمة معالجة البيانات الخاصة بالمنظمة .باإلضافة لذلك ينبغي تقديم
اإلرشاد الالزم لإلدارة لتوضيح ما هو متوقع منها وكيف يتم التعامل مع أمن المعلومات لدى المنظمات
المشابهة .إن التدريب وزيادة الوعي المستمرين بأمن المعلومات في مثل هذه الحاالت سوف يؤدي
لظهور نتائج حتى ولو تأخر ذلك.
.2.9.5.1.2التمويل
ربما يعتبر التمويل غير المالئم الحتياجات أمن المعلومات من أكثر القضايا ازعاجا وتحديا أمام
مدير أمن المعلومات .وفي الوقت الذي قد يكون فيه ذلك امتدادا لضعف دعم اإلدارة فإن هناك
بعض العوامل التي يجب االنتباه لها ألنها قد تؤثر على التمويل:
• تحويل ميزانيات عناصر أخرى (مثل تطوير منتج ،تدقيق داخلي )..،لتطبيق العناصر الضرورية
في برنامج أمن المعلومات.
• تحسين كفاءة عناصر برنامج أمن المعلومات الموجودة أصال.
• العمل مع لجنة توجيه أمن المعلومات إلعادة ترتيب أولويات موارد أمن المعلومات وتوضيح
المخاطر المحتملة إلهمال ذلك لإلدارة.
ويجب االنتباه لمصاعب تبرير تمويل برنامج أمن المعلومات لإلدارة ،ففي حال نجاحه فإن اإلدارة قد
ال ترى أين تم صرف األموال ولماذا يتم صرف كل ذلك .وفي حال فشل تطبيق البرنامج فإن اإلدارة
ستكون متعجبة من صرف األموال على أنظمة ال تعمل .لذلك فمن الضروري أن يتم باستمرار إيجاد
الطرق المالئمة الستعراض أهمية أمن المعلومات وعمله وارتباطه الوثيق بأعمال المنظمة.
.3.9.5.1.2التوظيف
ربما تمتد تأثيرات ضعف التمويل لتبرز كتحدي في تأمين الموظفين بالمهارات الالزمة لمتطلبات
البرنامج .من العقبات التي تواجه الحصول على فريق عمل فعال:
48
• ضعف الفهم بالنشاطات التي سينفذها هؤالء الموظفين.
• الشك بالحاجة إلى موظفين جدد أو فوائدهم.
• عدم معرفة درجة االنتفاع من الفريق الموجود أصال واالعتقاد أنهم يعملون بأقل من طاقتهم
الممكنة.
• الرغبة باالستعانة بمصادر خارجية عوضا عن التوظيف.
ومن االستراتيجيات الممكن اتباعها في حال تعذر الحصول على كوادر جديدة لتمكين برنامج أمن
المعلومات:
• التعاون مع وحدات العمل األخرى لتحديد فيما إذا كان بإمكانها تحمل مسؤوليات إضافية خاصة
بأمن المعلومات وإسناد المهام المالئمة مع الحفاظ على اإلشراف عليها.
• دراسة إمكانية االستعانة بمصادر خارجية خاصة بالنشاطات ذات الكثافة التشغيلية العالية.
• العمل مع لجنة توجيه أمن المعلومات إلعادة ترتيب مهام موظفي أمن المعلومات وتزويد اإلدارة
باألعمال التي لن يتم تغطيتها مع الفريق الحالي المتاح وشرح المخاطر المترتبة على ذلك.
49
.2.2المبحث الثاني :الجدوى االقتصادية لمشروع
.1.2.2مقدمة
50
.1.2.2مقدمة
الجدوى االقتصادية هي عملية جمع المعلومات عن المشروع المقترح ومن ثم ترتيبها وتحليلها لمعرفة
إمكانية تنفيذه وتقليل المخاطر المرتبطة به وزيادة ربحيته .وبالتالي يجب معرفة مدى نجاح هذا
المشروع وربحيته أو خسارته مقارنة بمعطيات السوق المحلية واحتياجاتها خالل فترة محددة من
الزمن .ويعتبر اإلعداد الجيد للجدوى االقتصادية من أهم خطوات نجاح المشاريع ،فنجاح وفعالية أي
مشروع تعتمد بالمقام األول على التخطيط السليم ،كما يمثل التخطيط الدقيق الركيزة األساسية التي
يعتمد عليها العائد المادي المتوقع من المشروع .ومن هنا برزت الحاجة إلى ما يعرف بدراسة الجدوى
االقتصادية للمشروع.
"هي منهجية التخاذ الق اررات االستثمارية تعتمد على مجموعة من األساليب واألدوات واالختبارات
واألسس العلمية التي تعمل على المعرفة الدقيقة الحتماالت نجاح أو فشل مشروع استثماري معين
واختبار مدى قدرة هذا المشروع على تحقيق أهداف محددة تتمحور حول الوصول إلى أعلى عائد
(دراسات الجدوى ومنفعة للمستثمر خاصة أو االقتصاد القومي أو كليهما على مدى عمر افتراضي".
االقتصادية التخاذ الق اررات االستثمارية ،د.عبد المطلب عبد الحميد)
كما يمكن تعريف دراسات الجدوى على أنها" :تلك المجموعة من الدراسات التي تسعى إلى تحديد
مدى صالحية مشروع استثماري ما ،أو مجموعة من المشاريع االستثمارية من عدة جوانب تسويقية،
فنية ،مالية ،تمويلية ،اقتصادية ،اجتماعية ،تمهيدا الختيار المشاريع التي تحقق أعلى منفعة صافية
(دراسات الجدوى التجارية واالقتصادية واالجتماعية مع مشروعات ،Botعبد القادر محمد عبد القادر عطية) ممكنة".
51
يمكننا القول أن دراسة جدوى للمشاريع هي تلك السلسلة المترابطة والمتكاملة من األساليب العلمية
التي تطبق على الفرص االستثمارية منذ بحثها كفكرة إلى حين الوصول إلى القرار النهائي بقبول أو
رفض أو إعادة تشكيل تلك الفرصة.
• التعامل مع المستقبل
حيث نحدد بدراسات الجدوى مدى إمكانية تنفيذ فكرة استثمارية وإقرارها اآلن ليمتد عمرها االفتراضي
لتغطية فترة طويلة مقبلة ،األمر الذي يؤكد بالضرورة أن كل نتائج مراحلها تمثل تقديرات محتملة
تحمل في طياتها احتماالت مطابقة للواقع أو انحراف عنه ،مما يلزمنا مراعاة الدﱢقة في هذه التقديرات
خاصة في ظل درجة من درجات ظروف عدم التأكد.
• ارتفاع التكلفة
حيث تتزايد التكلفة المالية التي يتحملها المستثمرون مقابل إعداد الدراسة وخاصة بالنسبة للمشاريع
الكبيرة التي تحتاج إلى دراسات أكثر تفصيال من طرف مجموعة من الخبراء والمختصين وعليه غالبا
ما تكون هناك دراسات استكشافية أو تمهيدية الغرض منها الحكم المبدئي على قبول أو رفض
المشروع محل الدراسة وبالتالي التقليل من التكاليف.
والذي نقصد به الفاصل الزمني بين نهاية إعداد الجدوى وموافقة الجهات المسؤولة عنها وبين فترة
بداية التنفيذ الفعلي للمشروع حيث أن طول هذه الفترة قد يعود بالسلب على المشروع نظ ار للتغيرات
السريعة التي قد تقع في الواقع العملي في هذه الفترة.
• ترابط المراحل
أي أن قرار استكمال أي مرحلة الحقة من عدمه يبنى على نتائج المرحلة التي سبقتها ،فنتائج كل
مرحلة هي مدخالت مباشرة للمرحلة التالية لها مما يجعلنا نؤكد على أهمية تتابع مراحلها.
• المرونة
والتي نقصد بها عدم االلتزام المطلق في إعطاء نفس األهمية لمختلف مراحل دراسة الجدوى ،هذا
يعني أنه قد نولي اهتماما متزايدا لدراسة معينة على أخرى.
52
.4.2.2أهمية دراسة جدوى المشاريع
تتعلق أهمية دراسة الجدوى بشكل رئيسي بما يلي (اقتصاديات المشروعات ،د.محمد الصاريف):
• تحديد مدى ربحية المشروع من خالل تقدير العوائد المتوقعة منه ومقارنتها بالتكاليف المتوقعة
ومن ثم حساب الربح الصافي في كل سنة من سنوات التشغيل وطيلة مدة التشغيل.
• المساعدة في اتخاذ الق اررات حول أفضل االستثمارات باستخدام الموارد المتاحة للمستثمر مما
يؤدي إلى ترشيد القرار االستثماري خاصة عندما تكون ميزانية االستثمار محدودة بسبب ضيق
مصادر التمويل وارتفاع تكاليفه.
• تحتاج بعض المشاريع إلى تكاليف ضخمة يكون جزء منها مغرقا أي يصعب استردادها ،كتكاليف
اآلالت والمعدات واألجهزة المتخصصة ،لذا فإن فشل المشروع نتيجة عدم القيام بدراسة الجدوى
أو النخفاض مستواها يعﱢرض مالك المشروع لخسائر ضخمة ويكلف المجتمع موارد اقتصادية
ضائعة.
• تفيد دراسات الجدوى ،وخاصة الجانب المتعلق بالدراسات السوقية في التعرف على فرصة
المشروع في بيع سلعة في األسواق سواء المحلية أو األجنبية.
• تسهيل الحصول على تمويل للمشروع والمساهمة في تخفيض تكاليف التمويل.
• المساهمة في تحديد الهيكل األمثل لتمويل المشروع ما بين اقتراض وإصدار أسهم أو أرباح
محتجزة أو غيرها من مصادر التمويل بناء على الوزن النسبي لكل منها في التكلفة اإلجمالية
لتمويل المشروع.
• المساعدة في تحديد الهيكل األمثل لتكاليف المشروع ما بين تكاليف ثابتة وتكاليف متغيرة بناء
على المساهمة النسبية لكل منهما في التكلفة الكلية وانعكاس ذلك على ربحية المشروع.
• تسهيل عملية تقييم أداء المشروع وذلك من خالل مقارنة مدى ما تحقق من أهداف المشروع
(أرباح ،مبيعات ،معدل نمو )....،بعد بدء التشغيل مع ما خطط له من هذه األهداف في دراسات
الجدوى.
• التقليل من مخاطر عدم التأكد من خالل تقييم التأثيرات المختلفة على أداء المشروع مثل تغيرات
أسعار السلعة المنتجة وأسعار مستلزمات اإلنتاج وتكاليف التمويل وتغيرات الطلب والتطورات
التقنية والتغيرات في ظروف اإلنتاج.
53
من البدائل المتاحة أي اتخاذ القرار االستثماري السليم ،وحتى يمكن إخضاع المشروع للدراسة والتقييم
فإن الشروط اآلتية يفترض أن تتوفر فيه (الجدوى االقتصادية للمشروعات ،د .طالل محمود كداوي):
• المعرفة التفصيلية بمتطلبات المشروع :تنفيذا أو تشغيال سواء كانت تلك المتطلبات متوفرة في
األسواق المحلية أو الخارجية ،وهذا يستلزم تحديد مقدار النقد األجنبي الالزم لتوفير تلك المتطلبات
في مرحلتي التنفيذ والتشغيل خالل عمر المشروع المتوقع باإلضافة إلى تكاليف المشروع بالعملة
المحلية.
• تحديد طبيعة وحجم السلع والخدمات التي سيقوم المشروع بإنتاجها :وكذلك تحديد مستويات
الطاقة اإلنتاجية للمشروع لغرض معرفة مدى قدرة المشروع على تلبية الطلب المحلي والخارجي
معا ،وعلى ضوء هذه المعلومات يصبح باإلمكان تقدير العوائد المتوقعة للمشروع عبر الفترات
الزمنية من عمره المتوقع.
• المعرفة الدقيقة والتفصيلية لمراحل تنفيذ المشروع وعمره اإلنتاجي :وتثبيت ذلك بوحدات زمنية
متعارف عليها كالسنة.
• قابلية مستلزمات المشروع (تكاليفه) للقياس والتقييم :ألن الدراسة ستكون مستحيلة في حالة
عدم القدرة على التعبير رقميا عن المتغيرات.
• القدرة على قياس وتقييم مخرجات المشروع بوحدات نقدية :وتعد المتطلبات آنفة الذكر شرطا
أساسيا يجب توفرها في أية فكرة حتى يمكن وضع تلك الفكرة موضع دراسة وتحليل.
يعد هذا إجماال من أكثر المجاالت التطبيقية انتشا ار وأهمية لما يحتاجه المشروع االستثماري الجديد
من دراسات وتقديرات وتوقعات تقوم على منهجية وأساليب دقيقة في ظل ظروف عدم التأكد المصاحبة
ألي مشروع جديد ،في هذه الحالة تختلف دراسات الجدوى من حيث الحجم والعمق والتكلفة
والمختصون والخبراء وهذا حسب نوعية المشروع (صغير ،متوسط ،كبير)
تكون دراسة الجدوى هنا أمام مشروع قائم بالفعل ولكن ألسباب عديدة يتم التوسع االستثماري فيه،
من خالل إقامة مصنع تابع له مثال أو إضافة خط إنتاجي جديد مما يؤدي إلى إنتاج جديد إضافي
54
للمنتجات القائمة أو قد يكون التوسع من خالل زيادة الطاقة اإلنتاجية باقتناء آالت إنتاج جديدة وفي
كل الحاالت يحتاج قرار التوسع إلى دراسة الجدوى التخاذ القرار االستثماري السليم.
وتتم تلك الدراسة عندما يتعلق القرار االستثماري بإحالل أو استبدال آلة جديدة محل آلة قديمة بعد
انتهاء العمر االفتراضي لآللة القديمة ،وتحتاج هذه المسألة إلى أداة لالختيار بين األنواع من اآلالت
وتقدير التدفقات النقدية الداخلة والخارجة المتوقعة ،والعائد من كل بديل واختيار البديل األفضل ،وهذا
القرار من الق اررات االستراتيجية التي يجب دراسة جدواها بعناية ودقة.
نظ ار للتقدم التكنولوجي الذي يشهده العالم في مختلف المجاالت فقد ازدادت رغبة المستثمر في إدارة
المشاريع بأساليب جديدة من أساليب التكنولوجيا الحديثة المستخدمة في العمليات اإلنتاجية ،مع األخذ
في االعتبار أن هناك دائما مفاضلة بين نوعين من التكنولوجيا إما تكنولوجيا كثيفة العمل أو تكنولوجيا
كثيفة رأس المال ،في كل األحوال يحتاج القرار االستثماري هنا إلى دراسة جدوى الختيار البديل
األفضل.
• تقدير حجم الطلب المتوقع على منتجات المشروع ومعدل نموه وتحديد الحجم الكلي للسوق
المرتقب والشريحة التسويقية بما يتضمنه ذلك من دراسة العوامل المحددة للطلب على منتجات
المشروع.
• تحديد هيكل ونوع السوق ودرجات المنافسة التي يمكن أن يتعرض لها المشروع وتحديد التقسيم
الجغرافي والقطاعي للسوق حسب نوعيات المستهلكين ودخولهم وأعمارهم.
• تحديد نمط األسعار واتجاهاتها في الماضي ،والحاضر والمستقبل وتخطيط اإلستراتيجية السعرية.
• تحديد الحمالت االعالنية والترويجية الخاصة بالسلع أو الخدمة محل الدراسة.
• التوصية بحجم اإلنتاج المالئم طوال عمر المشروع.
لمعرفة أهمية بحوث التسويق بالنسبة لدراسات الجدوى للمشاريع المقترحة ودورها في تنميتها فإنه
يتحتم علينا معرفة ثالثة أشياء مهمة (دور وأهمية الكفاءة التسويقية في تحسين أداء المؤسسة الصناعية ،أباي ولد الداي):
55
-1إمكانيات المشروع :بفضل الدراسة التسويقية يستطيع أصحاب المشروع تحديد مجال نشاطهم
وفقا لإلمكانيات التي يتوفر عليها المشروع وتجنب ما ال تستطيع اإلمكانيات أن تصل إليه حتى
لو كان نشاطا مربحا ،أي أن الدراسة التسويقية تعطي فكرة ولو مبدئية عن كيفية استغالل الموارد
المتاحة للمشروع استغالال أمثال.
-2البيئة التسويقية :إن عملية الربط بين المستهلك وإمكانيات المشروع إنما تحدث في الوسط الذي
يعمل فيه المشروع أي ما يسمى بالبيئة التسويقية تلك التي تضمن إلى جانب المنافسين ،السياسات
الحكومية ،وكذا التشريعات المتعلقة بالتميز والتعبئة والتغليف واإلعالن والمحافظة على البيئة
وغيرها ،كل هذه العناصر يتم معالجتها واالستفادة منها بفضل بحوث الدراسة التسويقية ،وال
ننسى هنا التقدم التقني الذي يعتبر عنص ار حساسا وهاما يؤثر على البيئة التسويقية ،باإلضافة
إلى هذه المتغيرات تكتسي الدراسة التسويقية أهمية كبيرة فيما يخص البيئة التسويقية عندما يتعلق
األمر بالتحديد بدور المتابعة المستمرة لعناصر المزيج التسويقي (المنتج ،السعر ،الترويج،
التوزيع) وهي عناصر تضعنا على الدوام في مواجهة عنصر المنافسة الخاصة.
-3رغبات واحتياجات المستهلك :يعكس هذا العنصر األهمية البالغة لبحوث التسويق ،والتي تسعى
إلى دراسة رغبات واحتياجات المستهلكين حيث يتم طرح المنتج بحسب هذه الرغبات ،ما يؤكد
أهمية الدراسة هو فشل العديد من المؤسسات الصناعية والتجارية في طرح منتجاتها الجديدة في
األسواق وعدم قبولها من طرف المستهلكين ،نتيجة لعدم وجود بحوث تعكس هذه الرغبات.
• تتم على مراحل تفصل بينها مسافات زمنية ،األمر الذي يحتم على من يتصدى إلعدادها مراعاة
عنصر الزمن وتأثيره على نتائجها.
• تعطي هذه الدراسة وزن كبير لعنصر التكنولوجيا الحالي والمتوقع مستقبال.
• تعطي هذه الدراسة أهمية متزايدة للعنصر البشري القائم بإعدادها من حيث اإللمام العلمي والخبرة
العملية من الخبرات السابقة.
56
• تسمح هذه الدراسة بإمكانية االقتصار على إعداد بعض مراحلها الكلية في تلك الحاالت التي ال
تتطلب إعداد الدراسة الفنية بكامل جوانبها.
• تحدد هذه الدراسة طبيعة الدراسات البيئية والتسويقية التي تسبقها في اإلعداد.
• األهمية المطلقة لمراعاة عنصر الموضوعية عند إعدادها تفاديا النعكاسات مؤثرة وخطيرة مثل
عدم كفاية الطاقة اإلنتاجية أو وجود طاقات إنتاجية غير مستغلة ،باإلضافة إلى تضخم التكاليف
االستثمارية والتشغيلية وزيادة نسبة اإلنتاج التالف والمعيب والمرتجع من العمالء.
وهناك أربعة مصادر للتمويل هي :أموال الملكية (التي يتضمنها األسهم العادية واألسهم الممتازة
واألرباح المحتجزة) ،والقروض (السندات ،االئتمان المصرفي ،القروض القصيرة والمتوسطة والطويلة
األجل) ،واالئتمان التجاري (لشراء الخامات والبضائع واألصول الثابتة) ،وأخي ار التمويل باالستئجار
(دراسات الجدوى االقتصادية وتدقيق المشروعات ،سمير والذي ينقسم إلى االستئجار التمويلي واالستئجار التشغيلي
محمد عبد العزيز).
57
• في ظل العولمة والتحول آلليات السوق ،تزداد مشاكل التعامل مع المتغيرات الداخلية في االقتصاد
القومي والمتغيرات العالمية في االقتصاد العالمي ،مما يزيد من مخاطر عدم التأكد في تقدير
عدد من المتغيرات في دراسات الجدوى خالل العمر االفتراضي للمشروع ،مثل األسعار والطلب
وأسلوب اإلنتاج وغيرها ،وهو ما يتطلب المزيد من التعمق في البحث عن األدوات واألساليب
التي تتغلب على تلك المشكالت وهنا تكسب تحليالت الحساسية دو ار كبي ار في هذا المجال.
• مع ازدياد حجم المشاريع تزداد صعوبات تقدير بنود التدفقات النقدية الداخلة والخارجة وبالتحديد
األخيرة أي التكاليف ،باإلضافة إلى أن بعض المتغيرات قد تكون غير قابلة للقياس الكمي وتأثيرها
غير مباشر وهو ما يتطلب السعي دائما إلى إخضاع مثل تلك المتغيرات للقياس الكمي كلما
أمكن من خالل االستعانة بعلوم اإلحصاء واالقتصاد القياسي ،وبحوث العمليات وغيرها.
• عدم التوازن بين تكاليف دراسات الجدوى وتقييم المشاريع وحجم المشروع ورأس المال المخصص
لالستثمار في المشروع وهو ما يتطلب البحث دائما في إحداث هذا التوازن وتفضيل دراسات
الجدوى على المشروع كحالة منفصلة دائما فكل مشروع هو حالة البد أن تتالءم دراسات الجدوى
مع أوضاعه وحجمه.
• هناك أيضا بعض الصعوبات الفنية خاصة عندما تكون الخبرات الفنية التي تقوم بالمشروع
ضعيفة وهو ما يتطلب دائما االستعانة بالخبرات الفنية ذات المهارة العالية والمتخصصة في
النشاط الخاص بالمشروع والدراسات الفنية له.
• أخي ار هناك صعوبات ومشاكل نقص البيانات والمعلومات أو تضاربها أو عدم وضوحها مما قد
يؤثر على دقة تقدير بعض المتغيرات الداخلية في دراسات الجدوى وهو ما يمكن عالجه من
خالل العديد من األساليب التي تطبق في كل حالة على حدة.
58
.3.2المبحث الثالث :المنظمة موضوع البحث
.1.3.2مقدمة
59
.1.3.2مقدمة
هي منظمة إنسانية تتمتع باالستقالل المالي واإلداري ذات شخصية اعتبارية معترف بها من قبل
اللجنة الدولية للصليب األحمر بجنيف ،لها مركز رئيسي والعديد من الفروع الموزعة في المحافظات
السورية.
تعمل هذه المنظمة في القطاع الطبي لتقديم المساعدات الطبية األولية أو المتقدمة من خدمات تغذية
أو أطراف صناعية ،وفي المجاالت الخدمية واإلغاثة ،وضمن المجال المجتمعي واإلنساني لدعم
س بل العيش وتقديم الخدمات المالية للمستفيدين ليتم صرفها في المواضع التي يحتاجونها ،هذا
باإلضافة لتقديم المساعدات المتعلقة بمشاريع المياه وإعادة اإلعمار.
تسعى المنظمة لتقديم خدمات للفئات األشد احتياجا في كافة أرجاء الجمهورية العربية السورية .حيث
يتم أثناء عملية تقديم المساعدات والخدمات تسجيل بيانات تفصيلية عن المستفيدين وأخذ بياناتهم
الشخصية لتحليل مدى الحاجة والمجاالت األهم التي يحتاج المستفيد الدعم ضمنها .باإلضافة لذلك
تهتم المنظمة بالعاملين والمتطوعين لديها وتحتفظ لهم لديها بالسجالت والبيانات المطلوبة من الجوانب
القانونية وإدارة الموارد البشرية.
إن حماية البيانات المتعلقة بالمستفيدين والعاملين والمتطوعين هي من أهم النقاط التي تعمل كوادر
المنظمة المختصة في الحفاظ عليها كونها تعتبر من البيانات المهمة والحساسة ألنها تتضمن طيف
واسع من المعلومات الشخصية والطبية والمالية والقانونية وغيرها ،ومن الواجب تأمين الحماية
الفيزيائية والمنطقية لها لضمان سرية التعامل بها ونزاهتها وإتاحتها بالشكل األمثل عند الحاجة من
خالل قاعدة البيانات الضخمة الموجودة لدى المنظمة والتي يتم تخزين هذه البيانات ضمنها.
• اإلنسانية :تواصل جهودها على الصعيدين الدولي والوطني للوقاية والتخفيف من آالم اإلنسان
أينما كانت وحماية الحياة والصحة وضمان الكرامة اإلنسانية وتعزيز التفاهم والصداقة والتعاون
والسالم الدائم بين جميع شعوب العالم.
• عدم التحيز :ال تميز بين القوميات أو األجناس أو الطبقات أو األديان أو العقائد السياسية فهي
ال تهدف إال إلى إزالة معاناة اإلنسان وتعطي األولوية للحاالت التي تتطلب عمال عاجال.
60
• الحياد :لالحتفاظ بثقة الجميع ،تمتنع عن االشتراك في أية أعمال عدائية أو في مجادالت متعلقة
بالمسائل السياسية والدينية والعرقية واإليديولوجية.
• االستقالل :رغم أن الجمعيات الوطنية تعمل كأجهزة مساعدة للسلطات العامة فيما تضطلع به
من نشاطات إنسانية وتخضع للقوانين السارية في بالدها ،فإنه يجب عليها أن تحافظ دائما على
استقاللها حتى تستطيع أن تتصرف بموجب هذه المبادئ في جميع الحاالت.
• الخدمة التطوعية :تعمل لإلغاثة التطوعية وال تسعى لتحقيق أي ربح.
• الوحدة :يجب أن تكون خدماتها متاحة للجميع وشاملة لكافة أنحاء القطر.
• العالمية :حركات عالمية تتمتع كل الجمعيات بنفس الحقوق في ظلها وتلتزم بالتعاون فيما بينها.
وعليه فإن أهمية االستثمار في برنامج أمن المعلومات بالنسبة للمنظمة تتلخص بما يلي:
• تعزيز قدرة المنظمة على حماية أصولها المعلوماتية من حوادث أمن المعلومات بما في ذلك
سرية ونزاهة وإتاحة هذه األصول.
• تعزيز قدرة المنظمة في االستجابة لحوادث أمن المعلومات واحتوائها.
• تعزيز قدرة المنظمة على االستعادة من الكوارث لتأمين استم اررية تنفيذ أعمالها.
61
أما اآلن ،فمثل معظم الشركات ،استثمرت المنظمات غير الحكومية والمنظمات الدولية أمواال كبيرة
في تقنيات المعلومات واالتصاالت لتعزيز قدراتها في إدارة األزمات .على سبيل المثال ،يتم تحقيق
عملية صنع القرار بشكل أفضل وأسرع من خالل التقاط وتحليل البيانات الديموغرافية لتحديد الفئات
الضعيفة ،وقد أثبتت الدراسات االستقصائية عبر اإلنترنت أنها حاسمة لفرق المياه والصرف الصحي
والنظافة في تقديم خدمات الصحة للسكان ،كما أن القسائم أو البطاقات الرقمية (اإللكترونية) التي
تدعم القياسات الحيوية كان لها دور فعال في الحد من األخطاء واالحتيال في الدفع للمستفيدين.
هذه التغييرات تجعل المساعدات اإلنسانية أسرع وأكثر كفاءة ،يساعد اختيار هذه األدوات الرقمية في
إنقاذ األرواح ،ومع ذلك ،فقد جعل التحول الرقمي أيضا المنظمات الدولية والمنظمات غير الحكومية
أهدافا مغرية للهجمات اإللكترونية من قبل المجرمين واإلرهابيين .وتتراوح أسباب ذلك من األسباب
المالية البحتة (فاألشخاص الذين يمرون بأزمات يصبحون أهدافا سهلة للخداع والسرقة) إلى السياسية
وغيرها من األسباب.
على سبيل المثال ،ازدادت الهجمات اإللكترونية ضد حقوق اإلنسان وجماعات المناصرة بنسبة ٪26
خالل االحتجاجات المطالبة بالعدالة العرقية التي وقعت في أعقاب مقتل جورج فلويد في الواليات
المتحدة األمريكية ،وخالل شهري أيار وحزيران 2020حظرت شركة أمن مواقع الويب Cloudflare
عددا هائال من الطلبات عبر اإلنترنت لتنفيذ هجمات رفض الخدمة الموزعة ) (DDoSأو اقتحام
مواقع الويب والتطبيقات ،كانت المنظمات األكثر استهدافا هي مجموعات المناصرة ،والتي شهدت
زيادة بمقدار 1100ضعف ،وينتقل العديد من الهجمات من صفر إلى 20000طلب في الثانية
على موقع واحد مما يجعل من المستحيل الكشف عن هوية المهاجم في الفضاء اإللكتروني بالتأكيد،
وامتد تأثير ذلك على هذه المنظمات ليشمل تراجع أداء مواقع الويب ،ومشكالت في البنية التحتية،
وزيادة التعرض للهجمات اإللكترونية األخرى.
واجهت المنظمات األكبر حجما أيضا تهديدات مماثلة ،حيث تم اختراق األمم المتحدة من قبل
متسللين في أوائل عام ،2021وال تزال التهديدات القائمة على هذا الخرق مستمرة حتى اآلن .وقيل
حينها أن خرق البيانات كان قد نشأ من بيانات اعتماد أحد الموظفين التي تم بيعها على شبكة
اإلنترنت المظلمة ،واستخدم المهاجمون نقطة الدخول هذه للتوغل أكثر في شبكات األمم المتحدة،
وإجراء االستطالع والبدء في مزيد من الهجمات.
62
الشكل ( )10ازدياد الهجمات اإللكترونية ضد جماعات حقوق اإلنسان في أعقاب مقتل جورج فلويد
المصدرwww.cloudflare.com :
وحتى االتصاالت مع بعض أكثر الحكومات تمويال وحرصا في العالم ال يمكنها توفير الحماية من
مجرمي اإلنترنت .في أيار ،2021تسللت مجموعة قراصنة تدعى Nobeliumإلى أنظمة البريد
اإللكتروني لوكالة التنمية الدولية التابعة لو ازرة الخارجية األمريكية ( )USAIDوشرعت في إرسال
رسالة مصابة إلى 3000حساب تستهدف 150منظمة مختلفة في 24دولة أكثر من ربعها تشارك
في التنمية الدولية والعمل اإلنساني وحقوق اإلنسان حول العالم.
تعاني المنظمات الدولية والمنظمات غير الحكومية من نقص كبير في التمويل عندما يتعلق األمر
بمعالجة التهديدات السيبرانية المتصاعدة ،وذلك على الرغم من استهدافها بشكل متزايد .من المؤكد
أن بعض هذه الهجمات مدفوعة بطبيعة عمل هذه المنظمات ،لكن العديد من المهاجمين اآلخرين
عبر اإلنترنت يرون أنها مجرد ثمار سهلة الوصول في محاولتهم للحصول على فدية أو الوصول
إلى األموال عن طريق االحتيال .ونقص التمويل جعل من الصعب على العديد من تلك المنظمات
توظيف خبراء ممارسين وتنفيذ برامج لخرائط طريق لألمن السيبراني التي تشتد الحاجة إليها يوما بعد
يوم وكل ذلك في ضوء تأثير وباء COVIDعلى االقتصاد العالمي الذي جعل جمع األموال أكثر
صعوبة بكثير من السابق.
كل ذلك جعل من التفكير في مخاطر أمن المعلومات أمر حيوي للمنظمات الدولية والمنظمات غير
الحكومية ،حتى ولو لم يكن الحصول على التمويل كافيا لتحقيق الدفاع الالزم عن األمن السيبراني،
63
فيمكن للقادة في هذه المنظمات أن يأخذوا بعض الدروس اإلستراتيجية التي تعلمها القطاع الخاص
عن طريق تنفيذ األنظمة المرنة عبر اإلنترنت والحفاظ عليها ،ويجب مراعاة النقاط التالية ،مع مراعاة
أن معظم هذه األفكار ال تتطلب زيادة إلى تكاليف المنظمة بل تتطلب فقط التخطيط والفهم لقضايا
المخاطر اإللكترونية على مستوى القيادة:
• تقييم المخاطر :يعد فهم التهديدات المختلفة للمخاطر أم ار أساسيا لتأمين أنظمة تكنولوجيا
المعلومات .عند تطوير أنظمة أو تطبيقات جديدة ،يجب إجراء تقييم للمخاطر لتحديد جميع
التهديدات والتأثيرات ومطابقتها مع اإلجراءات المضادة والمالكين وتواريخ االستحقاق.
• بناء القدرات :كحد أدنى ،يجب أن يكون هناك فريق محوري مخصص ألمن المعلومات داخل
المنظمة ،يكون مسؤول عن مراقبة التهديدات واالستجابة لها ،ويمكن إشراك خبراء متخصصين
خارجيين بسرعة حسب الحاجة.
• استمرارية األعمال واالستجابة للحوادث :يجب أن يكون لدى المنظمة خطة الستم اررية األعمال
عطل .يجب أن يعرف الموظفون أيضا ما يجب
يمكن استخدامها في حالة وقوع حادث أمني م ﱢ
فعله ومع من يتصلون عند وقوع حادث أمني ،يجب أن يكون لدى نقطة اتصال أمن المعلومات
أو فريق االستجابة للحوادث خطة موثقة للرد على كل خرق ،وهذا يشمل األطراف الخارجية التي
يتعين عليها االشتراك لتقديم مساعدة موثوقة.
• عمليات تدقيق أمنية مستقلة :يجب إجراء عمليات التدقيق األمني سنويا على األقل ويجب أن
يتم إجراؤها من قبل طرف خارجي ليس له أي عالقات أو مصالح راسخة في المنظمة.
• إدارة البيانات :تضمن سياسة حوكمة البيانات أن تكون بيانات المنظمة موثوقة ودقيقة ومتاحة
في الوقت المناسب لمن لديهم حاجة مشروعة إليها وسلطة الوصول إليها ،تضمن مثل هذه
السياسة أيضا أن البيانات آمنة ومحمية بناء على حساسيتها.
• موازنات أفضل :وذلك يتطلب تحوال في العقلية من جانب المانحين والقيادة التنظيمية .يجب على
المانحين أن ينظروا إلى األمن السيبراني على أنه أمر بالغ األهمية لعمليات المساعدة اإلنسانية،
يقدمون التمويل الالزم للمنظمات اإلنسانية
ويجب تقديم عروض تقديمية مفصلة للممولين الذين ﱢ
لالستعداد بسرعة ،وبناء فرق األمن ،وتطوير قدرات االستجابة لألمن السيبراني.
أخي ار ،مثل العديد من قضايا األمن السيبراني ،يعد التعاون بين المدافعين أم ار أساسيا حيث يمكن
للمنظمات اإلنسانية االستفادة من عالقات عمل أوثق مع بعضها ومع القطاع الخاص.
64
ويجب أن تضمن هذه المنظمات أن لدى مجالس إدارتها بعض الخبرة في مجال األمن السيبراني،
واعتمادا على سجل تعريف مخاطر المنظمة قد يتطلب ذلك جلب خبير في التكنولوجيا أو األمن
السيبراني ووضع المخاطر اإللكترونية كموضوع متكرر على جدول أعمال مجلس اإلدارة مما يسمح
للمنظمات بوضع األمن السيبراني من ضمن المخاطر واسعة االنتشار ،وفهم اآلثار القانونية لها،
وتعزيز حماية األصول القيمة ضد الهجمات اإللكترونية ،والتركيز على مخاطر سلسلة التوريد من
األمور التي يجب مراعاتها في هذا السياق.
يعتبر أمن المعلومات عملية مستمرة يجب دمجها ضمن مختلف القطاعات لتأمين ديمومة الحماية
خالل مراحل العمل المتعددة ،ويعتبر أول أساس قويم لحماية األصول ضمن المنظمة هو دعم اإلدارة
العليا وتبنيها لنشاطات أمن المعلومات ،وتكون الجهود بدون هذا األساس غير مكتملة وبال دعم
تنفيذي يؤدي لتشكيل وعي جمعي مؤسسي حول أهمية أمن المعلومات.
إن تعزيز ثقافة أمن المعلومات داخل نطاق العمل تقتضي أن يتم تأهيل الكوادر الالزمة إلدارة أمن
المعلومات بشكل فعال ،ومن مهام هذه اإلدارة إنجاح االستثمار في أمن المعلومات ،وأول الخطوات
إلنجاح تلك االستثمارات هو تحويل أمن المعلومات إلى جزء من العمل اليومي على مستوى المنظمة
ككل ،وأن يتحول إلى جزء من إجراءات وعمليات المنظمة ال أن ينفصل عنها بنشاطات مستقلة .إن
تحويل أمن المعلومات الى إجراء على مستوى المنظمة بدال من أن يكون إجراء يتم قبل أو بعد إتمام
العملية التشغيلية نفسها يحول الحماية من أمر مرحلي إلى أمر مستدام ويؤمن الحماية الفعالة للعمليات
المختلفة في كل قطاعات العمل .وبذلك يتحول أمن المعلومات من مكون جانبي في العمليات إلى
مكون أساسي يتطلب تدخل أفراد أمن المعلومات وتنفيذ إجراءات ،تحاليل ،حوكمة ،اختبارات وتقييم
لمستوى وحالة أمن المعلومات في هذه العمليات بشكل مستمر.
وبهذا الشكل يمكن تأمين عمليات القطاعات المختلفة بإشراف أمن المعلومات ومن خالل استثمارات
ناجحة حسب متطلبات القطاعات المختلفة بدال من أن تكون استثمارات خارجة عن نطاق العمل وال
65
تهتم فعليا بتأمين العمل ومتطلباته وإنما مشاريع تتطلب مجرد مخرجات ينبغي تحقيقها بغض النظر
عن تأمين عمليات المنظمة.
ومن المالحظ مؤخ ار ازدياد االعتماد على متعهدين خارجيين ( )outsourceingفي مختلف
القطاعات الحكومية أو الخاصة في مجاالت أمن المعلومات وتعامل تلك المشاريع وكأنها مشاريع ال
تختلف عن بقية المشاريع ضمن المنظمة ما قد يؤدي لفشل االستثمار المتعلق بها في كثير من
الحاالت وهذا مرتبط بعدة أسباب من أهمها أن أمن المعلومات يعنى بتأمين قطاعات العمل كلها
وليس مجرد بعض العمليات التشغيلية كما تمت اإلشارة إليه أعاله وأن متطلبات أمن المعلومات
تفرض االطالع على أكثر القطاعات أو المعلومات حساسية في مختلف أرجاء المنظمة وبالتالي قد
يكون هناك تضارب في المصالح في مراحل المشروع أثناء العمل مع متعهدي خدمات ال يمكن ومع
كل الضمانات إسناد مهام العمل األمنية لهم .كما أن االستثمار في مشاريع أنظمة حماية بمبالغ
طائلة وعدم تأهيل كفاءات المنظمة نفسها لتشغيلها يعني هدر األموال ودفعها إلى تقنيات وأجهزة قد
يتوقف العمل عليها مجرد قطع العالقة مع المتعهد.
عدة عوامل تجعل االستثمار في مشاريع أمن المعلومات أم ار ناجحا مع ضرورة فهم أن نجاح أمن
المعلومات ال يحقق نفس الرضى في نجاح المشاريع األخرى ،فالمقارنة هنا غير عادلة ،فال يمكن
المقارنة بين مشروع انتهى ونجح بتحقيق أهدافه وبين عملية مستمرة نتائجها غير ملموسة.
يجب قياس مدى نجاح االستثمار في أمن المعلومات بمدى دعم أمن المعلومات لألهداف الرئيسية
المعلنة للمنظمة ،فمثال إذا كان أحد أهدافها خدمة الزبائن بطريقة ما واالحتفاظ بمعلوماتهم لتوفير
هذه الخدمة ،فمهمة أمن المعلومات تأمين هذه المعلومات من التسريب ،الكشف ،الضياع أو التالعب
حسب حساسيتها وعند الفشل في تأمين تلك المعلومات فإن االستثمار المرتبط بذلك قد يواجه الفشل.
ويمكن القول أخي ار إن أي خرق في أمن معلومات منظمة قد ال يكون فشال في االستثمار بحد ذاته
ولكنه في الغالب يكون نتيجة لعدم وجود فهم كافي من قبل اإلدارة العليا وتقصير في إدارة أمن
المعلومات ككل.
66
العملي
الفصل الثالث :اإلطار َ
.1.3مقدمة
.2.3المنظمة اإلنسانية
.3.3الوضع الحالي
.4.3نتائج الدراسات
67
.1.3مقدمة
تم في الجزء النظري من هذا البحث عرض البعض من الدراسات التي تم تقديمها في نطاق مشابه،
حيث تم تغطية المباحث الثالثة التالية:
أما بالنسبة للجزء العملي هذا فسوف يتم عرض للدراسة الميدانية التي تم العمل عليها في المنظمة
متضمنة معلومات حول الدراسات التسويقية والتقنية والمالية المتعلقة بذلك باإلضافة للخطة الزمنية
المقترحة للتطبيق ،وأخي ار النتائج والتوصيات المنبثقة عن هذا البحث.
.2.3المنظمة اإلنسانية
تم تنفيذ هذا البحث من خالل دراسة حالة منظمة إنسانية تتمتع باالستقالل المالي واإلداري ذات
شخصية اعتبارية وتعمل في الجمهورية العربية السورية .تنشط هذه المنظمة في القطاع الطبي حيث
تقدم المساعدات الطبية األولية أو المتقدمة ،وفي المجاالت الخدمية واإلغاثة ،وضمن المجال
المجتمعي واإلنساني ،باإلضافة لتقديم المساعدات المتعلقة بمشاريع المياه وإعادة اإلعمار.
وكجزء من إدارة وتنظيم أعمالها تقوم المنظمة بتسجيل بيانات تفصيلية عن المستفيدين والعاملين
والمتطوعين لديها وتحتفظ لهم بالسجالت والبيانات المطلوبة من الجوانب القانونية وجوانب إدارة
الموارد البشرية .وتسعى المنظمة لتوفير الحماية الالزمة لهذه البيانات كونها تعتبر مهمة وحساسة
ألنها تتضمن طيف واسع من المعلومات الشخصية والطبية والمالية والقانونية وغيرها.
.3.3الوضع الحالي
بهدف معرفة وضع المنظمة الحالي المتعلق بدرجة نضجها في التعامل مع قضايا أمن المعلومات
فقد تم إعداد استبيان خاص بذلك ثم عرضه ومناقشته مع المسؤول عن تقانة وأمن المعلومات في
المنظمة (الملحق )1وأخذ إجاباته على األبعاد األربعة الرئيسية التالية المرتبطة بتطبيق برنامج أمن
المعلومات في المنظمة:
68
• إدارة مخاطر أمن المعلومات
• موارد أمن المعلومات
• االمتثال وااللتزام
69
في حال عدم وجود لجنة توجيهية ألمن المعلومات ،كيف يتم يتم تحديد االحتياجات بشكل سنوي في الشهر 12
تنسيق احتياجات ونشاطات أمن المعلومات على مستوى التاسع ومناقشتها مع رئاسة المنظمة وقسم
المنظمة دون حدوث تعارض مع األهداف االستراتيجية التخطيط االستراتيجي وتضمينها ضمن
ميزانية السنة التالية بعد الموافقة عليها من والتشغيلية لها؟
الرئاسة
ما هي اللجان/الجهات التي تناقش وتعتمد مشاريع وخطط أمن يتم مناقشة المشاريع المخططة ضمن الميزانية 13
مع المانحين من قبل مدير تقانة المعلومات المعلومات في المنظمة؟
لتأمين التمويل الالزم لها .ال يتم التنفيذ حتى
يتم الحصول على موافقة على التمويل من
قبل أحد المانحين
هل يتم اعتماد وثائق مكتوبة رسمية لتحديد نطاق عمل ومسؤولية ال يوجد حاليا 14
وميثاق نشاطات أمن المعلومات (أي صيغة تفاهم مع اإلدارة
العليا حول هذه القضايا)؟
ما هو اإلجراء المعتمد لتطبيق التغييرات ضمن بيئة تكنولوجيا إبالغ إدارة المنظمة عبر البريد اإللكتروني في 15
حال وجود تأثير محتمل على األعمال بسبب المعلومات (إجراء إدارة التغيير)؟
التغيير المنفذ
ما هو اإلجراء المعتمد لالستجابة للحوادث المتعلقة بأمن يوجد خطة إلنشاء موقع استعادة من الكوارث 16
المعلومات؟
ما هو اإلجراء المعتمد لإلبالغ ورفع التقارير المتعلقة بأمن حسب الحاجة عن طريق البريد اإللكتروني أو 17
االجتماعات المعلومات ألصحاب المصلحة واإلدارة العليا ومجلس اإلدارة؟
ال يوجد هل يوجد خطة موثقة ومعتمدة لالستعادة من الكوارث؟ 18
ال يوجد هل يتم اختبار خطط االستعادة من الكوارث دوريا؟ 19
ما هو اإلجراء المعتمد لمنح صالحيات الوصول واستخدام بريد إلكتروني من قسم الموارد البشرية إلنشاء 20
الموارد التقنية للموظفين (إدارة الصالحيات والوصول للموارد الحساب وبريد آخر من إدارة الموظف لمنح
الصالحيات المطلوبة -ال يوجد نظام إدارة التقنية)؟
صالحيات
كيف يتم تقييم نجاح/فشل نشاطات ومشاريع أمن المعلومات من قبل فريق تقانة المعلومات 21
والعائد منها؟
هل يتم وضع خطط استراتيجية لتنفيذ نشاطات أو مشاريع متعلقة يتم وضع الخطط بشكل سنوي لتأمين تمويل 22
بأمن معلومات لعدة سنوات مقبلة بشكل مرتبط بخطط المنظمة من المانحين -ال يوجد خطط لعدة سنوات
ككل؟
كيف تحصل مثل هذه الخطط على الدعم الالزم من اإلدارة موافقة من اإلدارة -تأمين تمويل من المانحين 23
– تنفيذ واألطراف ذات العالقة لتحويلها إلى واقع؟
هل يوجد سياسة خاصة باالستخدام المقبول للموارد التقنية من قيد اإلعداد حاليا 24
قبل المستخدم النهائي؟
70
هل يوجد سياسة معتمدة تضمن تطبيق أفضل المعايير ال يوجد -يتم تطبيق المعايير وفق االجتهاد 25
الشخصي لكل موظف والممارسات واإلعدادات اآلمنة على األنظمة التقنية المختلفة؟
تحليل النتائج:
من الواضح وجود ضعف في حوكمة أمن المعلومات في المنظمة واعتمادها في األغلب على مبدأ
التنفيذ عند الحاجة أو عند الطلب بشكل عام مع وجود بعض االستثناءات .لذلك فمن المالحظ أن
درجة نضج الحوكمة منخفضة حيث أن النشاطات المتعلقة بحوكمة أمن المعلومات في المنظمة هي
عشوائية وغير منتظمة عموما.
وعليه فالنقاط األساسية التي يجب تداركها لتحسين واقع المنظمة من حيث حوكمة أمن المعلومات
هي:
• تشكيل سياسات وإجراءات ومعايير تغطي كافة الجوانب المهمة ألمن المعلومات ومراجعتها
واعتمادها بشكل دوري من قبل فريق متخصص
• تعهد كافة الوظفين بااللتزام بهذه السياسات بعد اطالعهم عليها وفهمهم لها
• إنشاء لجنة توجيهية على مستوى اإلدارة العليا وممثلين من قبل أصحاب المصلحة تهدف لإلشراف
ومتابعة نشاطات أمن المعلومات وتخطط لها
• إعداد ميثاق خاص بأمن المعلومات يحدد نطاق عمل ومسؤولية فريق أمن المعلومات واعتماده
من قبل اإلدارة
• التركيز على خطط االستعادة من الكوراث واستم اررية العمل
• وضع خطط استراتيجية لعدة سنوات متعلقة بمشاريع ونشاطات أمن المعلومات ضمن برنامج
متكامل
71
ما التأثير المتوقع من حصول حادثة تالعب /تعديل غير مشروع قد يؤدي التالعب إلى حدوث خسارة مالية 3
تأثير على سمعة المنظمة ببيانات حساسة؟
ما التأثير المتوقع من حصول حادثة خروج أنظمة تقنية عن توقف جزء كبير من نشاطات وأعمال المنظمة 4
اإلغاثية والمتعلقة بالدعم الطبي ،توقف الخدمة لفترة طويلة نسبيا؟
التعامالت المالية كصرف الشيكات
كيف يتم تحديد مستوى مخاطر أمن المعلومات المقبول من قبل عن طريق مهام وتقارير تدقيق خارجية 5
اإلدارة العليا ومجلس اإلدارة؟
كيف يتم مراجعة وتسجيل ومتابعة المخاطر المتعلقة بأمن ال يوجد 6
المعلومات؟
هل يوجد إجراء معتمد حول إدارة مخاطر أمن وتكنولوجيا ال يوجد 7
المعلومات؟
هل يوجد فريق متخصص بمتابعة مخاطر أمن وتكنولوجيا ال يوجد 8
المعلومات (العدد والهيكلية والدور الذي يلعبه في حال وجوده)؟
كيف تنظم العالقة مع الموردين الخارجيين الذين يقدمون خدمات عن طريق توقيع عقود رسمية واتفاقيات 9
متعلقة باألنظمة المعلوماتية (توريد أو دعم فني أو تشغيل أو مستوى خدمة Service Level
)Agreement (SLA إدارة أنظمة أو غيرها من الخدمات الخارجية)؟
كيف يتم تنظيم العالقة مع الموردين الذين تقوم المنظمة بتعهيد عن طريق االستعانة بجهة خارجية لمراجعة 10
وظائف تكنولوجيا المعلومات لهم أو استضافة بيانات أو أنظمة وتدقيق ضوابط أمن المعلومات
تقنية لديهم في حال وجودهم؟
كيف يتم اكتشاف وتصحيح الثغرات األمنية ضمن األنظمة ال يوجد طريقة متبعة حاليا 11
المعلوماتية؟
كيف يتم التعامل مع نتائج نشاطات التدقيق أو فحص االختراق يتم العمل على تصحيحها وإغالقها حسب 12
درجة خطورتها الذي تنفذه أطراف خارجية مستقلة؟
كيف يتم التعامل مع المخاطر التي تتجاوز المستوى المقبول أو يتم إعالم إدارة المنظمة عبر البريد اإللكتروني 13
تنتهك سياسات أمن المعلومات المعتمدة؟
تحليل النتائج:
يولي فريق المنظمة اهتماما مقبوال تجاه مخاطر أمن المعلومات رغم أن ذلك يجري بطريقة غير
منظمة بالقدر الكافي .ومن الواضح أن لحوادث أمن المعلومات (في حال وقوعها) تأثير بالغ الخطورة
على مصالح المنظمة وأعمالها ما قد يطال جوانب مالية وقانونية (قضائية) باإلضافة ألثرها المباشر
على سمعة المنظمة ومكانتها خاصة أمام المستفيدين والمانحين.
• تشكيل إجراء معتمد إلدارة مخاطر أمن المعلومات ومراجعته واعتماده بشكل دوري.
72
• إسناد مهام إدارة مخاطر أمن المعلومات إلى فريق متخصص بإدارة هذه األنواع من المخاطر
يقوم بالمتابعة والبحث واكتشاف أية مخاطر جديدة تتعرض لها المنظمة.
• االحتفاظ بسجل يحوي كافة مخاطر أمن المعلومات المكتشفة التي تهدد المنظمة ودرجة خطورة
كل منها ومراجعته وتحديثه باستمرار.
• التركيز على المخاطر ذات التأثير األعلى كالمخاطر المتعلقة بالعمل مع موردين خارجيين وإدارة
ثغرات أمن المعلومات ضمن األنظمة التقنية أو غيرها من المخاطر التي تعتبرها المنظمة ذات
تأثير كبير على أداء نشاطاتها.
• إبقاء إدارة المنظمة العليا واللجنة التوجيهية ألمن المعلومات على اطالع دائم على مخاطر أمن
المعلومات التي تهدد المنظمة والطرق المتبعة في التعامل معها.
73
Security information and event managementيوجد خطة للحصول على SIEM
systemقريبا SIEM
Vulnerability scanning and penetration testingيتم الحصول عليها كخدمة من قبل جهة
toolsخارجية
Data leak prevention DLPال
Identity and access management systemsال
) Endpoint Detection and Response (EDRال
Email Security Gatewayنعم
) Web Application Firewall (WAFتحت التطبيق حاليا
Proxy Serverتحت التطبيق حاليا
) Privileged Access Management (PAMال
) Network Access Control (NACال
Physical access controlsنعم -جهاز بصمة للدخول وكاميرات مراقبة
هل يوجد ميزانية سنوية معتمدة مستقلة ومخصصة لتنفيذ خطط نعم يوجد ميزانية سنوية معتمدة لكنها مشروطة 8
بموافقة المانحين على التمويل مشاريع ونشاطات متعلقة بأمن المعلومات؟
ما اآللية أو اإلجراء المتبع لتحديد ميزانية أمن المعلومات السنوية يتم إعداد الميزانية خالل آخر 3أشهر من كل 9
سنة ميالدية ويتم التنفيذ حسب توافر التمويل والموافقة عليها؟
من قبل الجهات المانحة
ما درجة صعوبة إقناع إدارة المنظمة بتمويل مشاريع ونشاطات إدارة داعمة تقتنع بضرورة الحصول على 10
التمويل الالزم لتنفيذ مشاريع أمن المعلومات أمن المعلومات؟
هل يتم تحديد التمويل الالزم وفق خطط استرتيجية متفق عليها بشكل منفرد بالتنسيق مع قسم التطوير 11
مع اإلدارة أو بشكل منفرد لكل نشاط أو مشروع حسب الحاجة االستراتيجي في المنظمة
أو استجابة لمتطلبات آنية؟
ما العوامل التي تؤثر على قبول أو رفض مشاريع أو نشاطات توافر التمويل الالزم ،العقوبات والحظر 12
أمن المعلومات من قبل اإلدارة العليا أو اللجنة المختصة؟ الرجاء المفروض على سوريا
ترتيبها وفق األهمية
تحليل النتائج:
تشير الهيكلية اإلدارية ومهام أمن المعلومات الموكلة لموظفي قسم تقنية المعلومات الذين ينفذون
مهام متعلقة بأمن المعلومات باإلضافة لمهامهم التشغيلية أن أدوار أمن المعلومات ال تزال ثانوية
وهامشية ضمن المنظمة وهي عرضة لتضارب كبير في المصالح ألنه عادة ما تكون لفريق أمن
المعلومات دور رقابي على نشاطات تقانة المعلومات ضمن أي منظمة.
ومن الجانب التقني تمتلك المنظمة بعض أنظمة أمن المعلومات المهمة إال أنها بحاجة لتوفير التمويل
الالزم لبعض األنظمة الضرورية األخرى ضمن خطة زمنية تراعي األهمية.
74
فيما يلي النقاط التي يجب التركيز عليها لتحسين وضع المنظمة فيما يتعلق بموارد أمن المعلومات:
• توظيف فريق مختص لمتابعة مشاريع ونشاطات أمن المعلومات وعادة ما يعتبر قسم أمن
المعلومات على أنه من الوظائف التنظيمية وقدرته على العمل بشكل فعال يتعارض مع كونه
تابعا لوظائف من المفترض أن يكون رقيبا عليها لذلك يوصى بأن يكون قسم أمن المعلومات
مستقل عن الوظائف التي تتعارض مع أداء نشاطه بفعالية.
• إنشاء أدوار وتوصيف وظيفي واضح لقسم أمن المعلومات
• إطالق مشاريع لتوريد وتركيب أنظمة أمن المعلومات التالية:
Multi factor authentication -
SIEM -
Vulnerability scanning and penetration testing tools -
Data leak prevention DLP -
Identity and access management systems -
Endpoint Detection and Response (EDR) -
Privileged Access Management (PAM) -
Network Access Control (NAC) -
• وضع خطة استراتيجية لعدة سنوات وأخذ موافقة إدارة المنظمة واللجنة التوجيهية للحصول على
الموارد الالزمة لبرنامج أمن المعلومات المقترح وتسهيل تمويلها.
.4.3.3االمتثال وااللتزام
النتــائج (جدول ( :)6نتائج استبيان أسئلة االمتثال وااللتزام):
75
وإجراءات ،إغالق الثغرات التي ظهرت عند
مسح األنظمة التقنية وتطبيق برنامج SIEM
هل يتم تنفيذ تدقيق على أنظمة المعلومات دوريا أم عند الطلب يتم التنفيذ بشكل دوري كجزء من التدقيق 6
المالي للمنظمة فقط؟
هل يتم تنفيذ تدقيق على أنظمة المعلومات من قبل جهة مستقلة من قبل جهة خارجية مستقلة 7
خارجية أو فريق داخلي ضمن المنظمة؟
هل يوجد فريق تدقيق تكنولوجيا معلومات داخلي متخصص ال يوجد فريق تدقيق تكنولوجيا معلومات 8
داخلي ضمن المنظمة؟
ما الدور الذي يلعبه فريق التدقيق الداخلي في التحقق من االلتزام ال يوجد فريق تدقيق تكنولوجيا معلومات 9
داخلي بالسياسات الخاصة بأمن المعلومات في المنظمة؟
كيف يتم إجراء مراجعات لحسابات المستخدمين على أنظمة بشكل دوري من قبل فريق تقانة المعلومات 10
تقانة المعلومات؟
هل يتم إجراء مراجعات لحسابات المستخدمين على أنظمة تقانة بشكل دوري من قبل فريق تقانة المعلومات 11
وكذلك عند الحاجة المعلومات بشكل دوري أم عند الحاجة فقط؟
تتم من قبل فريق تقانة المعلومات كيف يتم إجراء مراجعات إعدادات األنظمة التقنية؟ 12
هل يتم إجراء مراجعات إعدادات األنظمة التقنية بشكل دوري أم عند الحاجة فقط 13
عند الحاجة فقط؟
ال يوجد طرق محددة للتحقق من ذلك حاليا ما الطرق المتبعة للتحقق من االلتزام بالسياسات الموضوعة؟ 14
ما الجهود التي تبذل في سبيل نشر ثقافة أمن معلومات لدى ال يوجد جهود مركزة على ذلك حاليا 15
كل الموظفين على مستوى المنظمة؟
كيف يتم ضمان التزام الموظفين الجدد بسياسات أمن يتم حاليا وضع برنامج تدريب متعلق بأمن 16
المعلومات للموظفين الجدد المعلومات؟
هل يتم إبالغ الفريق المسؤول عن أمن المعلومات بحاالت عادة يتم اإلبالغ من قبل المستخدمين 17
النهائيين عند وجود أي شك خروقات مشتبهة من قبل المستخدمين النهائيين؟
ما عدد إبالغات المستخدمين النهائيين عن حاالت متعلقة بأمن حوالي 12 18
المعلومات خالل النصف األول من السنة الحالية؟
كيف يطلع الموظفون على سياسات أمن المعلومات في يتم التخطيط لذلك عند جهوزية السياسات 19
المنظمة؟
ما هي نشاطات التدريب الداخلية أو الخارجية المنفذة للموظفين تدريب لكل موظفين اإلدارة العامة خالل 20
حول أمن المعلومات؟ هل يشمل التدريب المتعلق بأمن النصف األول من السنة الحالية على معايير
المعلومات فئة معينة من الموظفين أم يغطي كافة موظفي أمن المعلومات ،ISO27001وتدريب
خاص متقدم لفريق تقنية المعلومات المنظمة؟
يتم حاليا البدء بتطبيقها من خالل السياسات هل يوجد أية معايير متبعة في سياسات أمن المعلومات (مثال 21
التي يجري وضعها )ISO 27001
76
هل يتم االحتفاظ بنسخ احتياطية من البيانات الحساسة في مكان ال يتم حاليا 22
آمن وخارج مركز المعلومات بشكل دوري؟
ما الطرق المتبعة لتقييم ومراجعة التقدم أو التطور في مشاريع تقييم شخصي من قبل فريق تقانة المعلومات 23
ونشاطات أمن المعلومات في المنظمة؟
هل يتم مشاركة اإلدارة العليا وأصحاب المصلحة بتطور مشاريع نعم يتم ذلك 24
ونشاطات أمن المعلومات دوريا؟
ما آلية التواصل المتبعة لمشاركة المعلومات المتعلقة بتطور عن طريق البريد اإللكتروني أو االجتماعات 25
مشاريع ونشاطات أمن المعلومات مع اإلدارة العليا وأصحاب عند الضرورة
المصلحة داخل المنظمة؟
تحليل النتائج:
يتبين من خالل اإلجابات على االستبيان وجود محدودية في االلتزام واالمتثال للسياسات واإلجراءات
والمعايير وذلك بسبب عدم وجود نسخ نهائية معتمدة ومطبقة من هذه السياسات من جهة وضعف
في الوعي العام لدى موظفي المنظمة تجاه مخاطر أمن المعلومات وكيفية التعامل معها.
لتحسين وضع االلتزام واالمتثال ضمن المنظمة من الضروري أن يتم تحقيق ما يلي:
• االنتهاء بالسرعة القصوى من إعداد السياسات واإلجراءات والمعايير واعتمادها (يفضل أن تكون
مبنية على معايير معتمدة عالميا وفق أفضل الممارسات) وشرح ما يلزم منها للموظفين حسب
احتياجات كل موقع وظيفي وتوقيع كل موظف على تعهد بالتزامه بهذه السياسات.
• وضع خطة دورية لتنفيذ عمليات تقييم أمن المعلومات من قبل جهة مستقلة بما في ذلك المراجعات
الداخلية المتنوعة (مثل مراجعة حسابات المستخدمين وإعدادات األنظمة ،)..فحوصات االختراق،
تدقيق أنظمة المعلومات وغيرها من النشاطات التي تعزز االمتثال وااللتزام بالسياسات والمعايير
المعتمدة.
• إنشاء برنامج توعية مستمر يسعى لنشر ثقافة أمن المعلومات على مستوى المنظمة ككل وفق
مبدأ (أمن المعلومات هو مسؤولية الجميع في المنظمة) ،ويمكن أن يتم ذلك بطرق متنوعة
كجلسات التدريب ورسائل التوعية وغيرها .يجب أن يتضمن هذا البرنامج جزء خاص بالموظفين
الجدد لرفع سوية الوعي تجاه أمن المعلومات لديهم بما يتماشى مع السياسات المعتمدة.
• إبقاء إدارة المنظمة واللجنة التوجيهية ألمن المعلومات على اطالع دائم بنشاطات ومشاريع أمن
المعلومات المتعلقة بتعزيز االلتزام واالمتثال.
77
.4.3نتائج الدراسات
بناء على ما تقدم توجب وضع الدراسات التالية لتطبيق برنامج أمن معلومات فعال ضمن المنظمة
ينقلها من الوضع الراهن إلى الوضع المستقبلي المنشود لمستوى أفضل من أمن المعلومات:
.1.4.3الدراسة التسويقية
تتعلق احتمالية رفض اقتراح االستثمار في أمن المعلومات في مرحلة اتخاذ القرار بأساليب وقدرات
المنظمة على تحديد ومناقشة هذا االقتراح ،ومستوى المعرفة حول أمن المعلومات لدى اإلدارة .لذلك
فمن المهم تسويق نشاطات ومشاريع أمن المعلومات بالشكل األمثل أمام متخذي القرار والمانحين
للحصول على دعمهم المستمر لهذه النشاطات.
من المهم زيادة الوعي لدى اإلدارة بأهمية تبني برنامج أمن المعلومات عن طريق التواصل المستمر
مع متخذي القرار وتزويدهم بكل ما هو جديد عالميا فيما يتعلق بتطورات ومخاطر أمن المعلومات.
فعلى سبيل المثال يمكن طرح بعض من االحصائيات المنشورة رسميا من قبل بعض المؤسسات
والجهات المختصة دوليا كاإلشارة إلى أن خسائر العالم من جرائم اإلنترنت المسجلة خالل عام
2021بلغت 6,9مليار دوالر أمريكي ،وأن الجرائم المالية اإللكترونية قفزت بنسبة %64في
،2021وأن متوسط الوقت الالزم لتحديد الخرق واحتوائه هو 287يوم ،وغيرها العديد من األمثلة
التي تدعم موقف اإلدارة في تبنيها لبرامج أمن المعلومات .ومن جانب آخر ،فقد بلغ متوسط كلفة
حوادث تسريب البيانات على المؤسسات في سنة ( 2021وفق تقرير Cost of a Data Breach
4,24 )Report 2021 - IBMمليون دوالر أمريكي ،كما أن متوسط كلفة حوادث فقدان بيانات
المؤسسات في سنة 2021عن طريق اإلصابة بفايروس الفدية فقط (وفق نفس التقرير) هو 4,62
مليون دوالر أمريكي .فإذا اتخذنا من هذه األرقام قيما مرجعية فسوف نالحظ أن وقوع حادثة واحدة
من هذا النوع سيكلف المنظمة ما يقارب ثالثة أضعاف الكلف التقديرية التي تم وضعها لتمويل
برنامج أمن المعلومات المقترح تطبيقه على مدى أربع سنوات.
لذلك فما ينبغي االهتمام بتنفيذه وتحويله إلى واقع في اإلطار التسويقي يتضمن:
78
العليا لنشاطات أمن المعلومات على مستوى المنظمة ككل وهذا سيساهم حتما بتسهيل مهام
الفريق المسؤول عن تطبيق وتنفيذ وفرض سياسات ونشاطات أمن المعلومات ضمن المنظمة.
تقوم المنظمة حاليا بإنشاء عدد من السياسات واإلجراءات بمساعدة جهة خارجية متعاقد معها
إلنجاز ذلك ومن ثم اعتمادها والبدء بتطبيقها ،حيث يتطلب ذلك جهود مستمرة لمراجعة وتعديل
واعتماد هذه السياسات دوريا وإضافة ما يلزم منها مستقبال للحصول على إطار حوكمة متكامل
ضمن المنظمة .لذلك فقد تم إضافة كلف تقديرية سنوية لتغطية مثل هذه الخدمات ضمن الدراسة
المالية.
• توقيع تعهد كافة الموظفين بااللتزام بهذه السياسات:
عادة ما يتم ذلك من خالل التنسيق مع قسم الموارد البشرية إلضافة هذا الضابط وتطبيقه على
كل الموظفين العاملين ضمن المنظمة وحتى على بعض الجهات الخارجية التي توفد موظفيها
للعمل ضمن بيئة المنظمة التقنية وفق عقود محددة .يساعد ذلك المنظمة في جانبين :األول هو
الجانب القانوني حيث يمكنها ذلك من محاسبة أي منتهكين لسياساتها المعتمدة من الموظفين
ومواجهة ذلك قضائيا عند اللزوم ،والثاني هو تحفيزي يساعد في تحريض الموظفين على االطالع
على سياسات المنظمة المعتمدة وفهمها وااللتزام بها ،ونشر الثقافة التي تسوﱢق إلى أن أمن
المعلومات هو مسؤولية كل العاملين ضمن المنظمة وليس جزء منهم فقط ،وهو ما يمكن اعتباره
جانب تسويقي لنشاطات برنامج أمن المعلومات على مستوى كافة الموظفين يدفعهم لرفع درجة
وعيهم األمني تجاه تلك النشاطات والمساهمة الفعالة فيها.
• إنشاء لجنة توجيهية ألمن المعلومات وإعداد ميثاق خاص بأمن المعلومات:
وجود ميثاق مكتوب ومتفق عليه مع إدارة المنظمة واللجنة التوجيهية لتحديد نطاق عمل ونشاطات
فريق أمن المعلومات ضمن المنظمة يساهم بشكل جدي في تنظيم تلك النشاطات ومنح الفريق
المختص الصالحيات الضرورية لفرض السياسات عند اللزوم .ويساعد ذلك أيضا في إظهار
اهتمام اإلدارة وتبنيها لتلك النشاطات وهو بحد ذاته ما يعتبر جانب تسويقي هام تجاه كافة
العاملين ضمن المنظمة باإلضافة إلى أنه يضمن التوافق االستراتيجي ما بين نشاطات أمن
المعلومات من جهة وأهداف المنظمة وخططها من جهة أخرى وذلك من خالل مناقشة كل ما
يتعلق بأمن المعلومات ضمن اجتماعات اللجنة التوجيهية وأخذ مالحظات كافة األطراف ذات
العالقة عليها بعين االعتبار.
79
• وضع خطط استراتيجية لعدة سنوات:
باإلضافة للجانب التنظيمي لوضع خطط استراتيجية طويلة األمد تغطي كل فترة تطبيق البرنامج،
فإن ذلك من جهة ثانية يساعد في تسويق نشاطات ومشاريع أمن المعلومات أمام الجهات المانحة
صاحبة القرار بالتمويل ويعطي اإلنطباع الثابت بأن المنظمة تسير باتجاه واضح ضمن الخطط
المرافقة لبرنامج أمن المعلومات مما يسهل الحصول على موافقات التمويل على عدة سنوات
متالحقة.
• وضع هيكلية وتوصيف وظيفي واضح لوظائف أمن المعلومات:
باإلضافة لدعمه الجانب اإلداري والتنظيمي ،يساهم ذلك في إسناد المسؤوليات بشكل واضح
لعناصر الفريق المكلف بمتابعة نشاطات أمن المعلومات وفق الدور المسند لكل منهم ومحاسبتهم
الحقا وفق مصفوفة تقييم أداء متفق عليها معهم بشكل مسبق مما يمنح هؤالء رؤية واضحة
للمهام الموكلة إليهم وطرق تقييم نتائجها.
• توعية ،تدريب وتأهيل:
حتى اآلن يعتبر العامل البشري الحلقة األضعف ضمن سلسلة ضوابط أمن المعلومات لذلك فإن
وضع خطط تدريب مستمر على مستويين األول يشمل كافة موظفي المنظمة بهدف نشر الثقافة
الجديدة ورفع الوعي األمني لديهم والثاني للموظفين التقنيين المختصين بهدف رفع مهاراتهم
وتمكينهم من مواكبة كل جديد في مجال عملهم .لقد تم إضافة ميزانية سنوية مخصصة للتدريب
ضمن الخطة المالية.
.2.4.3الدراسة التقنية
تتضمن الدراسة التقنية لبرنامج أمن المعلومات المقترح للمنظمة ما يلي:
• موارد بشرية تقنية -توظيف خمسة مهندسي أمن معلومات:
سوف يعمل مهندسو أمن المعلومات على تغطية األدوار األساسية التالية ضمن نشاطات برنامج
أمن المعلومات في المنظمة (يمكن أن يسند للفريق أدوار أخرى ضرورية حسب الحاجة أثناء
التقدم في تطبيق البرنامج):
.1متابعة المهام المتعلقة بحوكمة وإدارة مخاطر أمن المعلومات بما في ذلك المراجعة واالعتماد
الدوري للسياسات واإلجراءات والمعايير والتحديث المستمر لسجل المخاطر المتعلقة بأمن
المعلومات.
.2تشغيل وضبط وتحديث أنظمة أمن المعلومات التقنية المستخدمة ضمن المنظمة والمساهمة
في تطبيق األنظمة الجديدة المقترحة ضمن البرنامج وتشغيلها.
80
.3تعزيز ثقافة أمن المعلومات على مستوى المنظمة ككل من خالل برامج توعية مخططة
ومدروسة ومستمرة مع التركيز على الموظفين الجدد.
.4المراقبة المستمرة لمعطيات األنظمة والشبكات المعلوماتية ضمن المنظمة وتحليلها الكتشاف
أية نشاطات مشبوهة واتخاذ اإلجراءات الالزمة لتفادي أية حوادث أمنية مرتبطة بها قبل
حدوثها.
.5المشاركة مع الفرق التقنية المختصة باالستجابة لحوادث أمن المعلومات واستعادة الوضع
الطبيعي.
.6تجهيز ورفع تقارير دورية لإلدارات ذات الصلة في المنظمة حول مخاطر أمن المعلومات
التي تتعرض لها المنظمة ومستوياتها الحالية وطرق وخطط التعامل معها.
.7تعزيز االمتثال وااللتزام بسياسات أمن المعلومات وأفضل الممارسات المعتمدة من خالل
تنفيذ المراجعات الدورية المستمرة على أنظمة وعناصر وإعدادات بيئة العمل الفعلية والتأكد
من تطبيقها بشكل صحيح وآمن.
يمكن أن يتم توظيف مهندسي أمن المعلومات المختصين بشكل تدريجي مع التقدم بتطبيق برنامج
أمن المعلومات وازدياد متطلباته ،ومن المقترح أن يتم البدء بتوظيف مهندسين اثنين في كل من
السنة األولى والثانية من بدء تطبيق البرنامج ومهندس واحد إضافي في السنة الثالثة.
سيكون التركيز ضمن السنة األولى على األدوار من 1إلى 3المشار لها أعاله وفي السنة الثانية
سيتم إضافة بقية األدوار من 4إلى 7تدريجيا مما يتطلب الزيادة المذكورة في الموارد البشرية
لتلبية متطلبات البرنامج المتصاعدة.
Multi factor authenticationهي طريقة مصادقة إلكترونية يتم فيها السماح للمستخدم بالوصول
إلى الموارد التقنية فقط بعد تقديمه دليلين أو أكثر من آليات المصادقة
من طبيعة مختلفة مما يعزز ضبط الوصول للموارد من قبل المصرح
لهم فقط.
SIEMبرنامج يقوم بتجميع المعلومات األمنية وسجالت األحداث من
مصادر مختلفة ومتنوعة ضمن البيئة التقنية وتنظيمها وتحليلها
81
واستنتاج تنبيهات األمان في الوقت الفعلي غالبا مما يساعد في
اكتشاف التهديدات والحوادث األمنية ومعالجتها.
Vulnerability scanning toolsماسح الثغرات األمنية هو نظام تقني مصمم لمراجعة أنظمة التشغيل
أو الشبكات أو التطبيقات بحثا عن نقاط ضعف معروفة ضمن هذه
العناصر التقنية وتصحيحها تفاديا الستغاللها من قبل المخترقين.
Data leak prevention DLPيكتشف هذا البرنامج عمليات نقل البيانات الحساسة بالنسبة للمنظمة
ويمنع محاوالت تسريبها للخارج من خالل مراقبة واكتشاف وحظر أية
عملية مشبوهة أثناء االستخدام والنسخ والتخزين للبيانات.
Identity and accessتسهل أنظمة إدارة الهوية والوصول ( )IAMإدارة الهويات اإللكترونية
management systemsأو الرقمية .وتمكن مشرفي تكنولوجيا المعلومات من التحكم في
وصول المستخدمين إلى المعلومات الحساسة داخل المنظمة.
Endpoint Detection andهو نظام يقوم بجمع وتحليل المعلومات المتعلقة بالتهديدات األمنية
) Response (EDRمن أجهزة الحواسب والطرفيات األخرى ،بهدف العثور على أية
خروقات أمنية فور حدوثها وتسهيل االستجابة السريعة للتهديدات
المكتشفة أو المحتملة.
Privileged Accessهو نظام ألمن المعلومات تحمي الحسابات ذات صالحيات الوصول
) Management (PAMالخاصة أو ذات القدرات التي تتجاوز المستخدمين العاديين وتحد من
قدرتها على التخريب أو االستخدام الخاطئ مثل حسابات مدراء
األنظمة.
Network Access Controlيحظر هذا النظام الوصول من األجهزة الطرفية التي ال تتوافق مع
) (NACسياسات أمن المنظمة ويضمن بذلك عدم تمكن البرمجيات الخبيثة
من الدخول إلى الشبكة من جهاز ال ينتمي لشبكة المؤسسة.
ونظ ار للتكاليف المرتفعة المرافقة للحصول على مثل هذه األنظمة التقنية وتفاديا للممانعة التي قد
تنشأ لعدم توف ر التمويل الالزم فقد تم توزيع توريدها على أربع سنوات ميالدية تبدأ منذ إطالق
برنامج أمن المعلومات المخطط (كما هو موضح تفصيال في فقرة الدراسة المالية الالحقة) ،مما
يساهم في تخفيض الميزانية السنوية المطلوبة لتنفيذ البرنامج ويعزز فرص الحصول على التمويل
الالزم.
82
• موارد بشرية تقنية إضافية -عقود أمن معلومات خارجية:
يتضمن ذلك االستعانة بالخبرات والخدمات الالزمة لتنفيذ مهام برنامج أمن المعلومات المخططة
من خالل اتفاقيات أو عقود مع مزودي خدمات خارجيين وشركات متخصصة بخدمات أمن
المعلومات لتقديم ما يلي بشكل دوري أو عند الطلب:
-الدعم الفني والتقني الضروري لعمل أنظمة أمن المعلومات التقنية
-فحوصات االختراق لألنظمة التقنية
-تدقيق أنظمة المعلومات وتقييم المخاطر
-االستجابة لحوادث أمن المعلومات التي قد تحتاج لتدخل من قبل أشخاص ذوي خبرات غير
متوفرة ضمن فريق عمل المنظمة
-االستشارات المتعلقة بمواضيع أمن المعلومات
83
.3.4.3الدراسة المالية
جدول ( :)7الدراسة المالية وفق خطة زمنية مقترحة لتطبيق البرنامج ضمن 4سنوات ميالدية
84
قياس العائد االستثماري:
من الصعوبة بمكان قياس العائد االستثماري ضمن المنظمات اإلنسانية غير الربحية على عكس
الحال في المنظمات التجارية الربحية .ويمكن في مثل حالة المنظمة اإلنسانية موضوع بحثنا هذا
تقسيم العائد إلى قسمين أساسيين:
• الداخلي :يتضمن حساب عائد تطبيق برنامج أمن المعلومات على المستوى الداخلي للموظفين
ضمن المنظمة وقياس األداء اإلداري حيث أنه من الممكن قياس األبعاد التالية التي يؤدي
ضبطها إلى زيادة مؤكدة في اإلنتاجية مما سينعكس إيجابا على العائد االجتماعي على االستثمار
المقدم للمستفيدين:
-درجة التزام العاملين بمعايير برنامج أمن المعلومات المطبقة
-درجة تحسين جودة الخدمات المقدمة من خالل ضمان استم اررية األعمال وفق األطر
المطبقة (تقليل عدد حوادث أمن المعلومات)
-تخفيف الوقت الضائع الناتج عن انقطاعات الخدمات نتيجة حوادث أمن المعلومات
كما يوجد عدد من الفوائد التي ال يمكن قياسها منها ما يأخذ شكل :ارتفاع في الروح المعنوية
وفي مستوى الثقة بالنفس لدى األفراد ،وزيادة في مستوى رضاهم عن العمل ،وفرص ترقيتهم
الوظيفية نتيجة التحسن العام في ثقافة ومستوى أمن المعلومات ضمن المنظمة.
• الخارجي :إن وجود برنامج أمن معلومات محقق ضمن المنظمة ومؤكد من قبل جهات مستقلة
معتمدة دوليا سوف يزيد بكل تأكيد الثقة التي تمنحها الجهات الممولة للمنظمة نتيجة الضمانات
المقدمة من قبل المنظمة في الحفاظ على أمن بيانات عمالئها وشركائها وعلى جودة تلك البيانات
ونزاهتها .إن ذلك سينعكس بدون شك على ق اررات التمويل الخارجي وسيساهم بشكل من األشكال
في زيادة التمويل وتوسيع رقعة الممولين الراغبين بتقديم خدماتهم ضمن مستوى مخاطر مقبول
لهم تجاه بيانات التمويل وتفاصيله.
إن قياس العائد من هذا االستثمار في تطبيق برنامج أمن معلومات ضمن منظمة يمثل مشكلة وقضية
حرجة لسنوات عديدة كونه يساهم في الفائدة المالية التي تعود على المنظمة في فترة ال يمكن حصرها
ألن مثل تلك البرامج تتميز باستم ارريتها وعدم تحديدها بنطاق زمني لالستثمار ،باإلضافة لصعوبة
ترجمة وتحويل نتائج االستثمار في برنامج أمن المعلومات إلى أرقام مالية وبشكل خاص ضمن
المنظمات اإلنسانية غير الربحية ،فالعوائد هنا ال يمكن قياسها ماديا أو ترجمة آثارها إلى أرقام مالية.
85
وبالرغم من وجود نماذج عديدة لقياس العائد من االستثمار في تطبيق برامج ضبط المخاطر المتعلقة
بأمن المعلومات ،وتعدد المناهج التي تهتم بتقييمها وتحديد تأثير ومنافع تلك البرامج على المنظمات
وعلى أصولها ،إال أنه ال يوجد نموذج محدد متفق عليه ،هذا ما جعل البحث مستم ار إليجاد إطار
عام يلم بكل النماذج ويحصر أثر تطبيق برنامج أمن المعلومات إلى درجة كبيرة لتعم الفائدة على
المنظمات وعلى األفراد والجهات المتعاملة معها.
وعليه فمن الممكن ،بعد البدء بتطبيق برنامج أمن المعلومات المقترح وبنهاية كل سنة من سنوات
التطبيق ،أن يتم تنفيذ استبيان دوري يتم من خالله مراجعة النشاطات المتعلقة بالبرنامج وقياس مدى
التقد م في األداء وانعكاساته الداخلية والخارجية على زيادة معدالت االستثمار ودرجة التوافق مع
أعمال المنظمة التشغيلية وأهدافها االستراتيجية.
86
النتائج والتوصيات
.1.4النتائج
.2.4التوصيات
87
.1.4النتائج
تمخضت عن هذا البحث النتائج التالية:
.1وجود ضعف واضح في حوكمة أمن المعلومات في المنظمة ودرجة منخفضة من النضج حيث
أن النشاطات المتعلقة بحوكمة أمن المعلومات في أغلبها عشوائية وغير منتظمة.
.2يوجد لدى المنظمة اهتماما مقبوال تجاه مخاطر أمن المعلومات رغم أن ذلك يجري بطريقة غير
منظمة بالقدر الكافي.
.3لحوادث أمن المعلومات (في حال وقوعها) أثر بالغ الخطورة على مصالح المنظمة وأعمالها ما
قد يطال جوانب مالية وقانونية (قضائية) باإلضافة ألثرها المباشر على سمعة المنظمة ومكانتها
خاصة أمام المستفيدين والمانحين.
.4أدوار وظائف أمن المعلومات ال تزال ثانوية وهامشية ضمن المنظمة وهي عرضة لتضارب كبير
في المصالح كونها تتم من خالل موظفي قسم تقانة المعلومات حاليا.
.5تمتلك المنظمة بعض أنظمة أمن المعلومات التقنية المهمة إال أنها بحاجة لتوفير التمويل الالزم
لبعض األنظمة الضرورية األخرى ضمن خطة زمنية وفق أهميتها.
.6لدى المنظمة محدودية في االلتزام واالمتثال للسياسات واإلجراءات والمعايير وذلك كنتيجة حتمية
لضعف الحوكمة والوعي العام لدى موظفي المنظمة بمخاطر أمن المعلومات وكيفية التعامل
معها.
.7يوجد لدى إدارة المنظمة بشكل عام ولدى إدارة قسم تقانة المعلومات خاصة رغبة حقيقية بتطوير
واقع أمن المعلومات في المنظمة واالنتقال به من الوضع الراهن إلى حالة مستقبلية توفر درجة
متقدمة من النضج األمني بهدف تخفيض مستوى الخطر المتعلق بأمن المعلومات لمستويات
مقبولة بالنسبة لإلدارة.
.8يحتاج أصحاب القرار لدى المنظمة إلى مزيد من التوجيه والتوضيح والمعرفة المتعلقة بنشاطات
ومخاطر أمن المعلومات ليتمكنوا من توفير الدعم الضروري وترتيب أولويات االستثمار في أمن
المعلومات بدءا باألكثر تأثي ار على مصالح المنظمة وأعمالها.
88
.2.4التوصيات
.1يوصي البحث بضرورة بناء برنامج استراتيجي متكامل ألمن المعلومات في المنظمة بأسرع وقت
ومناقشته واعتماده من قبل إدارة المنظمة ووضع الخطط المالئمة لتمويله وتنفيذه.
.2يوصي البحث بتأمين الموارد الضرورية لتنفيذ برنامج أمن المعلومات سواء كانت تقنية أو بشرية
أو مالية.
.3يحث البحث على تحسين وضع المنظمة المتعلق بحوكمة أمن المعلومات وإدارة المخاطر المتعلقة
بأمن المعلومات.
.4يحث البحث على المراجعة الدورية لنشاطات برنامج أمن المعلومات وإجراء التعديالت المالئمة
عليه بما يضمن دعمه الدائم ألعمال المنظمة التشغيلية وأهدافها االستراتيجية.
.5نوه البحث على ضرورة تطوير ثقافة المنظمة تجاه االهتمام بنشاطات أمن المعلومات وزيادة
الوعي األمني لدى كافة العاملين فيها.
.6يوصي البحث بتنفيذ دراسات أو استبيانات مستقبلية دورية تتناول استنتاجات حول العائد
االستثماري من تطبيق برنامج أمن المعلومات في المنظمة أثناء وبعد تطبيقه.
89
مراجع البحث
المراجع األجنبية
CISM Review Manual - 14th Edition by ISACA •
CISA Review Manual 2015 by ISACA •
CRISC Review Manual - 16th Edition by ISACA •
COBIT Process Assessment Model: Using COBIT 5 by ISACA •
ISACA, (2012), "COBIT 5 for Information Security” •
Kissel.R, Editor, May 2013, "Glossary of key information security Terms", •
National Institnte of Standard and technology
ISO/IEC 27002:2013, "Information Technology_ Security Techniques_ •
Code of Practice for Information Security Management", Geneva: ISO,
.2013
NIST Special Publication 800-100, (2006), "Information Security •
Handbook: A Guide for Managers”
"Whitman, M.E &Mattord, H.J; (2011), "Principles of Information Security •
European Union (2018) General Data Protection Regulation (GDPR), •
Available at: https://gdpr.eu/tag/gdpr
90
IT Governance (2020) The Cyber Essentials Scheme, Available at: •
https://www.itgovernance.eu/en-ie/cyber-essentials-ie
المراجع العربية
• دراسات الجدوى التجارية واالقتصادية واالجتماعية مع مشروعات ،Botعبد القادر محمد عبد
القادر عطية ،الدار الجامعية ،اإلسكندرية2014 ،
• دراسات الجدوى االقتصادية التخاذ الق اررات االستثمارية ،د.عبد المطلب عبد الحميد ،الدار
الجامعية ،اإلسكندرية ،مصر2006 ،
• إعداد دراسات الجدوى وتقييم المشروعات ،د .نبيل شاكر ،مكتبة عين شمس ،القاهرة1998 ،
• اقتصاديات المشروعات ،د .محمد الصاريف ،مؤسسة حورس الدولية للنشر والتوزيع ،اإلسكندرية،
القاهرة ،الطبعة األولى2005 ،
• الجدوى االقتصادية للمشروعات ،د .طالل محمود كداوي ،الحامد للنشر والتوزيع ،الطبعة األولى،
عمان ،األردن2002 ،
• دراسات الجدوى االقتصادية وتقييم المشروعات االستثمارية ،شقيري نوري موسى ،أسامة عزمي
سالم ،دار الميسر للنشر والتوزيع والطباعة ،الطبعة األولى ،عمان ،األدن2009،
• دور وأهمية الكفاءة التسويقية في تحسين أداء المؤسسة الصناعية ،أباي ولد الداي ،مذكرة لنيل
شهادة الماجستير ،جامعة الجزائر2001 ،
• دراسات الجدوى االقتصادية ،د .بهاء الدين أمين ،دار زهران للنشر والتوزيع ،الطبعة األولى،
عمان2013 ،
• دراسات الجدوى االقتصادية وتدقيق المشروعات ،سمير محمد عبد العزيز ،مؤسسة دار الجامعة،
اإلسكندرية.1994 ،
• مخاطر أمن نظم المعلومات المحاسبية المحوسبة :دراسة ميدانية على القطاع الصناعي األردني،
حامد ،عاصم نائل رشيد والحمود ،تركي راجي موسى ،رسالة ماجستير ،كلية االقتصاد والعلوم
اإلدارية -جامعة اليرموك – األردن2009 ،
• الدور التأثيري لحوكمة أمن المعلومات في الحد من مخاطر نظم المعلومات المحاسبية
اإللكترونية :دراسة ميدانية ،خليل ،علي محمود مصطفى وابراهيم ،مني مغربي محمد ،كلية
التجارة -جامعة بنها2016 ،
91
• نظم المعلومات اإلدارية مدخل معاصر من منظور إداري ،النجار ،فايز جمعة ،دار حامد للنشر،
الطبعة األولى ،األردن 2013 ،
• مخاطر التدقيق اإللكتروني وأثرها على جودة المعلومات المحاسبية ،أمين ،هونر محمد ،أطروحة
ماجستير جامعة الجنان ،طرابلس ،لبنان2014 ،
التقارير
The Global Risks Report 2021 and 2022 17th Edition •
)(https://www.weforum.org/reports/global-risks-report-2022
• )Cost of a Data Breach Report 2021 (IBM security
ENISA (2020) Risk Management and Risk Assessment for SMEs, •
Available at: https://www.enisa.europa.eu
92
المالحق
إدارة المخاطر
ما التأثير المتوقع من حصول حادثة تسريب/سرقة بيانات حساسة لخارج المنظمة (قانوني .سمعة .مالي)... .؟ 27
ما التأثير المتوقع من حصول حادثة ضياع/فقدان بيانات حساسة (قانوني .سمعة .مالي)... .؟ 28
ما التأثير المتوقع من حصول حادثة تالعب/تعديل غير مشروع ببيانات حساسة (قانوني .سمعة .مالي)... .؟ 29
ما التأثير المتوقع من حصول حادثة خروج أنظمة تقنية عن الخدمة لفترة طويلة نسبيا (قانوني .سمعة .مالي)... .؟ 30
كيف يتم تحديد مستوى مخاطر أمن المعلومات المقبول من قبل اإلدارة العليا ومجلس اإلدارة؟ 31
كيف يتم مراجعة وتسجيل ومتابعة المخاطر المتعلقة بأمن المعلومات؟ 32
هل يوجد إجراء معتمد حول إدارة مخاطر أمن وتكنولوجيا المعلومات؟ 33
هل يوجد فريق متخصص بمتابعة مخاطر أمن وتكنولوجيا المعلومات (العدد والهيكلية والدور الذي يلعبه في حال وجوده)؟ 34
93
كيف تنظم العالقة مع الموردين الخارجيين الذين يقدمون خدمات متعلقة باألنظمة المعلوماتية (توريد أو دعم فني أو تشغيل أو إدارة أنظمة أو غيرها من 35
الخدمات الخارجية)؟
كيف يتم تنظيم العالقة مع الموردين الذين تقوم المنظمة بتعهيد وظائف تكنولوجيا المعلومات لهم ( )outsourcingفي حال وجودهم؟ 36
كيف يتم تنظيم العالقة مع الموردين الخارجيين الذين تقوم المنظمة باستضافة بيانات أوأنظمة تقنية لديهم ( )cloud computingفي حال وجودهم؟ 37
كيف يتم اكتشاف وتصحيح الثغرات األمنية ضمن األنظمة المعلوماتية؟ 38
كيف يتم التعامل مع نتائج نشاطات التدقيق أو فحص االختراق الذي تنفذه أطراف خارجية مستقلة؟ 39
كيف يتم التعامل مع المخاطر التي تتجاوز المستوى المقبول أو تنتهك سياسات أمن المعلومات المعتمدة؟ 40
94
كيف يتم إجراء مراجعات إعدادات األنظمة التقنية؟ 64
هل يتم إجراء مراجعات إعدادات األنظمة التقنية بشكل دوري أم عند الحاجة فقط؟ 65
ما الطرق المتبعة للتحقق من االلتزام بالسياسات الموضوعة؟ 66
ما الجهود التي تبذل في سبيل نشر ثقافة أمن معلومات لدى كل الموظفين على مستوى المنظمة؟ 67
كيف يتم ضمان التزام الموظفين الجدد بسياسات أمن المعلومات؟ 68
هل يتم إبالغ الفريق المسؤول عن أمن المعلومات بحاالت خروقات مشتبهة من قبل المستخدمين النهائيين؟ 69
ما عدد إبالغات المستخدمين النهائيين عن حاالت متعلقة بأمن المعلومات خالل النصف األول من السنة الحالية؟ 70
كيف يطلع الموظفون على سياسات أمن المعلومات في المنظمة؟ 71
ما هي نشاطات التدريب الداخلية أو الخارجية المنفذة للموظفين حول أمن المعلومات؟ 72
هل يشمل التدريب المتعلق بأمن المعلومات فئة معينة من الموظفين أم يغطي كافة موظفي المنظمة؟ 73
هل يوجد أية معايير متبعة في سياسات أمن المعلومات (مثال )27001 ISO 74
هل يتم االحتفاظ بنسخ احتياطية من البيانات الحساسة في مكان آمن وخارج مركز المعلومات بشكل دوري؟ 75
ما الطرق المتبعة لتقييم ومراجعة التقدم أو التطور في مشاريع ونشاطات أمن المعلومات في المنظمة؟ 76
هل يتم مشاركة اإلدارة العليا وأصحاب المصلحة بتطور مشاريع ونشاطات أمن المعلومات دوريا؟ 77
ما آلية التواصل المتبعة لمشاركة المعلومات المتعلقة بتطور مشاريع ونشاطات أمن المعلومات مع اإلدارة العليا وأصحاب المصلحة داخل المنظمة؟ 78
95
هيكلية فريق تقانة المعلومات في المنظمة:2 ملحق
Department
Unit
Section
Software Infra
Branches Tech Support
Dev. Structure
96
ملحق :3تفاصيل الدراسة المالية المقترحة على 4سنوات*
جدول ( :)9تفاصيل الدراسة المالية المقترحة
97