كيف تقنع مديرك بأمن المعلومات؟
كيف تقنع مديرك بأمن المعلومات؟
"أجد صعوبة بالغة في إقناع الجهات المختلفة، وخاصة الحكومية، بأهمية أمن المعلومات وتسويق خدماتها وتقنياتها"، هذا ما قاله لي وبحرارة مدير شركة سعودية متخصصة في تقديم حلول وتقنيات أمن المعلومات.
أشارك هذا المدير همومه، وكذلك يشاركه كثير من مديري الشركات المشابهة، بل يشاركه أكثر المهتمين بأمن المعلومات في القطاعات المختلفة عندما يحاولون إقناع مديريهم بضرورة الالتفات لأمن المعلومات وتبنيه قبل فوات الأوان. السبب في ذلك هو طبيعة متطلبات أمن المعلومات وتقنياته، خاصة أن فوائده غير ملموسة ولا يمكن تقديرها بالريالات.
قبل أن تحاول إقناع مديرك، لا بد من الاستعانة بالله أولا ثم العمل على الإلمام بالموضوع واقتناعك بأهميته، واجعل نصب عينيك مصلحة المنظمة بعيداً عن المصالح الشخصية التي قد تتأثر جراء تطبيق أمن المعلومات.
في هذا المقال حاولت حصر بعض النقاط التي قد تساعدك في هذه المهمة الصعبة وهي كالتالي:
أولا: الخوف والمسؤولية مدخل سهل ومؤثر وله نتائج إيجابية. يمكن إطلاع المدير على حوادث سابقة لهجوم فيروس ما وأثره السلبي على المنظمات، أو قصة تسلل أحد المخترقين المحترفين لبنك ما، ولعل الأكثر وقعاً وواقعية ذكر حوادث داخلية وخاصة بالمنظمة أو المنظمات المنافسة وذكر ما ترتب عليها من خسائر. يمكن أيضا تخويفه في حالة إخفاقه في تطبيق أمن المعلومات، فإنه يعرض نفسه للمساءلة والمحاسبة، وقد يضع وظيفته في مهب الريح، لأن أي إخفاق في تطبيق أمن المعلومات قد ينتج عنه تشويه سمعة المنظمة أو توقف إنتاج المنظمة، وبالتالي توقف الإيرادات، وقد ينجم عنه فقدان معلومات مهمة أو تسربها للغير أو زيادة في المصروفات لإصلاح ما تم إتلافه أو أو أو .... والمدير في غنى عن هذه المشاكل والهموم، والأسلم له المبادرة بتطبيق أمن المعلومات. وقد يكون التأثير أقوى إن كان هناك قوانين تلزم بالمحافظة على أمن المعلومات، ومن هنا أدعو المسؤولين في الجهات المختصة بضرورة الالتفات إلى دراسة واقع أمن المعلومات والعمل على سن قوانين تلزم المنظمات بتطبيق الحد الأدنى لأمن المعلومات على الأقل.
ثانياً: تُعد تكاليف تطبيق أمن المعلومات عالية بعض الشيء، ولكن لا بد من عدم إغفال الآثار الوخيمة لإهمال تطبيق أمن المعلومات. كم يُكلف تطهير حواسيب المنظمة من الفيروسات التي إصابتها والتي تصيبها بشكل دوري؟ هل لدى المنظمة الموارد البشرية لتطهير الحواسيب من الفيروسات؟ كم من أعمال المنظمة توقفت؟ كم من الإيرادات توقفت؟ كم تكررت الإصابة في الشهر، بل قل في اليوم؟ أتوقع بعد هذا الطرح سوف يوافق المدير على اقتناء نظام مكافح فيروسات فقط لحل المشكلة، ولكن لن يسمح باقتناء أنظمة أخرى. هل تعرف لماذا؟ لأنك أقنعته بلغة الأرقام وبسطت فكرة الحاجة إلى مثل هذا النظام، إذاًً عندما تريد إقناعه بتطبيق تقنية أخرى أو إجراء أمني آخر فعليك اتباع النهج نفسه، وذلك بذكر المضاعفات الجانبية لتجاهل تطبيق تلك التقنية أو الإجراء الأمني.
ثالثاً: لا بد من توضيح أن مفهوم أمن المعلومات لا يختلف كثيراً عن مفهوم الـتأمين من حيث المصروفات، حيث إن كليهما يمكن أن يُعدّا مصروفات بدون فوائد مادية ملموسة، ولكن فائدتاهما في تقليل المخاطر التي قد تكلف المنظمة أكثر من قيمة التأمين أو الاستثمار في أمن المعلومات. وتجدر الإشارة إلى أن أمن المعلومات يختلف عن الـتأمين في أنه استثمار يمكن رؤية أدائه ونتائجه وفوائده غير المباشرة.
رابعاً: حاول دائماً تدعيم طلبك بالأرقام (أرباح وخسائر)، واربط أهدافك بأهداف المنظمة، وليكن في علمك أن أعمال المنظمة ونشاطها هي القائد للتقنيات التي يمكن تطبيقها وليس العكس، وأن أي استثمار لا يعود بالمنفعة سواء المباشرة أو غير المباشرة على المنظمة، فلن يحظى باهتمام وموافقة.
خامساً: كن واقعيا في طلبك، فلا تقم بطلب حماية معلومات أو أنظمة قيمتها ألف ريال بتقنيات وإجراءات قيمتها 100 ألف ريال. لذا حاول الموازنة، ولتكن دراسة المخاطر هي أول خطوة في تطبيق مفهوم أمن المعلومات لكي تتمكن في معرفة المخاطر المختلفة وتكلفة تقليلها وقيمة ما يراد تأمينه.
سادساً: لا بد من التوعية، ولتبدأ بالإدارات العليا فهي متخذة القرارات. حاول تقديم محاضرة توعوية لمديريك أو استعن بخبراء ومختصين (فقد يُسمع من الغريب أكثر من القريب، خاصة إن كان متخصصاً في أمن المعلومات) أو اغتنم فرصة الندوات والمحاضرات وورش العمل التي تقام بين الفينة والأخرى لدعوة مديريك إليها.
<p><a href="mailto:[email protected]">ksaksu@gmail.com</a></p>