لماذا لا يطبق مفهوم أمن المعلومات؟
لماذا لا يطبق مفهوم أمن المعلومات؟
يواجه أكثر المهتمين بأمن المعلومات في القطاعات المختلفة صعوبة بالغة عندما يحاولون إقناع مديريهم بضرورة الالتفات لأمن المعلومات وتبنيه قبل فوات الأوان.
السبب في ذلك هو طبيعة متطلبات أمن المعلومات وتقنياته، والتي سوف نتطرق لبعضها في هذا المقال:
أولاً: لا يمكن الاكتفاء بتطبيق تقنية أو اثنتين لحماية المعلومات وأنظمتها، فنظم مكافحة الفيروسات وحدها مثلاًً لا تكفي، فهناك جبهات عديدة لا بد من التصدي لها.
ثانياً: لا يمكن الاعتماد على التقنيات فقط، وإن طُبقت جميعها. فأمن المعلومات يعتمد على ثلاثة عوامل: التقنية والعمليات والناس. ويقصد بالعمليات كل الإجراءات الواجب اتباعها لتحصين المعلومات وأنظمتها، ويقصد بالناس الأشخاص الذين يطبقون أمن المعلومات وتقنياته أو مستخدمو الأنظمة. إذا لا بد من تكامل العوامل الثلاثة للحصول على مردود أفضل وأمان أكثر للمعلومة.
ثالثاً: لا يمكن تطبيق أمن المعلومات في قسم أو إدارة وترك باقي المنظمة. لأن أي إخفاق قد يضر بالكل. فمثلاً تخيل أن منزلاً محصناً بسور وكافة الأبواب محكمة الإغلاق إلا باباً ترك مفتوحا، هل الضعف أو الخطر هنا مقصور على الباب المفتوح والمنطقة المجاورة له، أم تعداه إلى المنزل بكامله؟
رابعاً: من الصعب الحصول على العوامل الداعمة لأمن المعلومات (التقنية والعمليات والناس)، بدون تطوير وتحديث، ويظل الوضع الأمني مستتباً. فأمن المعلومات متجدد بقدر تقدم تقنية المعلومات.
خامساً: من الخطأ الجزم أو القول إأن معلومات المنظمة وأنظمتها آمنة تماماً، حتى وإن طبقت جميع عوامل النجاح. فالوضع الأمني نسبي ومتغير، وكما قال البعض إن آمن وضع للحاسوب أن تقطع اتصاله بالإنترنت وتدفنه في حفرة عميقة. لكن هذا لا يُفهم منه أن من الأفضل ترك تطبيق مفهوم أمن المعلومات بما أنه لا يمكن الوصول لوضع أمني تام، لكن نسبة أمان تصل إلى 80 في المائة أفضل من أمان نسبته 10 في المائة. فمثلاً هل الشاحنة المصفحة لنقل النقود بين البنوك على ما فيها من تجهيزات أمنية عالية آمنه تماما؟ً بالطبع لا، لكنها أفضل بكثير من سيارتي وسيارتك في نقل النقود.
سادساً: نظراً للطلب العالمي والمتزايد على تطبيق أمن المعلومات، وقلة الخبراء والموارد البشرية المتخصصة في أمن المعلومات، فإن أحد المعوقات لتطبيق أمن المعلومات هو ندرة المتخصصين وارتفاع تكاليفهم.
سابعاً: من المفاهيم والممارسات المتبعة في كثير من المنظمات، تصدير Outsourcing بعض مهام المنظمة وإسنادها لجهات مختصة لإدارتها وتنفيذها، وتلجأ المنظمات لذلك لتقليل التكلفة وقلة خبرتها بتلك الأعمال والتركيز على أعمال الشركة الجوهرية. لكن عندما نتكلم عن تطبيق أمن المعلومات وإسناده للغير فهذا أمر نادراً ما تُقدِم عليه المنظمات، فبرجوع للدراسة التي أجراها كل من CSI وFBI يتضح أن أكثر من 63 في المائة من المنظمات لا تقوم بإسناد تطبيق أمن المعلومات للغير، وأن أقل من 1 في المائة من المنظمات تقوم بإسناد أكثر من 80 في المائة من تطبيقات أمن المعلومات. ويرجع ذلك إلى طبيعة أمن المعلومات التي تتطلب التطبيق الشامل على جميع قطاعات المنظمة، دون اقتصارها على قطاع أو إدارة معينة، وكذلك إلى حساسية هذا الأمر.
ثامناً: لا يمكن دائماً الحصول من أمن المعلومات على إيرادات ومنافع ملموسة يمكن حسابها بالريال كباقي التقنيات الأخرى. حيث تعتبر مردودات أمن المعلومات مردودات غير ملموسة intangible benefits)، وهو أمر طبيعي، فليس كل الاستثمارات ذات مردود ملموس، فمثلا التأمين ليس له مردود إلا إذا حصلت كارثة ما. لكن الأهم معرفته عن أمن المعلومات هو فائدته في تقليل المخاطر المتربصة بأنظمة المنظمة وأعمالها، وبالتالي يمكننا القول بأهمية أمن المعلومات في المحافظة على إيرادات الشركة من المخاطر والحد من زيادة المصروفات التي قد تنجم عن معالجة المخاطر عندما تحدث.
إذا، نخلص إلى أن أمن المعلومات تطبيق مختلف عن باقي تطبيقات وتقنيات المعلومات، ولا يمكن القياس بينهم مع علاقتهم ببعض، ولا بد من فهم هذا المفهوم والقيام بتطبيقه بطريقه سليمة ومدروسة حتى يؤتي أكله. ولعل أهم حافز في نجاح تطبيقه والتغلب على المعوقات المختلفة هو اقتناع ودعم الإدارة العليا في المنظمة لتطبيق أمن المعلومات، فهل إدارة منظمتك العليا مقتنعة وداعمة لذلك؟ إذا كانت الإجابة بـ"لا"، فيجب البدء بإقناع و"بيع" فكرة تطبيق أمن المعلومات أولا على الإدارة العليا. ولا أخفيك سراً أن اقتناع الإدارة العليا بأمن المعلومات ليس سهل المنال.