عادة ما يتم التعامل مع امن المعلومات على هيئة مشاريع امتدادا للتعامل مع تقنية المعلومات. هذا الاساس الذي يقوم بتوفير الدعم المليوني لمشاريع امن معلومات تبدأ بتاريخ وتنتهي بتاريخ هي طريقة خاطئة لإدارة امن المعلومات لحماية الأصول.
امن المعلومات عملية مستمرة يجب حقنها في مختلف القطاعات لإدامة الحماية خلال مختلف مراحل العمل. ان اول اساس قويم لحماية الاصول هو اعتماد الادارة العليا وتبينها لامن المعلومات، بدون هذا الاساس تكون الجهود غير مكتملة وبلا دعم تنفيذي يقضي بتشكيل وعي جمعي مؤسسي بأهمية امن المعلومات.
ثقافة امن المعلومات داخل نطاق العمل تقضي بتأهيل الكوادر اللازمة لإدارة امن العلومات بشكل فعال، هذه الادارة مهمتها انجاح الاستثمار في امن المعلومات وحماية الأصول، اول الخطوات لانجاح الاستثمارات هو تحويل امن العلومات الى جزء يومي من العمل، يجب ان يتحول الى اجراء او Process داخل عمليات الشركة او المؤسسة، ان يكون جزء من العمليات لا ان يحدث بعدها او قبلها فحسب. تحويل امن المعلومات الى اجراء مؤسسي بدلا من ان يكون اجراء يتم قبل او بعد اتمام العملية نفسها يحول الحماية من امر مرحلي الى امر مستدام يؤمن بشكل فعال الحماية للعمليات المختلفة في كل قطاعات العمل.
عندما يكون امن المعلومات اجراء، يتحول امن المعلومات من مكون جانبي في العمليات للشركة/المؤسسة الى مكون اساسي يتطلب تدخل افراد امن المعلومات الى عمل اجراءات، تحاليل،حوكمة، اختبارات وتقييم لمستوى وحالة امن المعلومات في هذه العمليات.
بهذا الشكل العام يمكن تأمين عمليات القطاعات المختلفة بإشراف امن المعلومات ومن خلال استثمارات ناجحة حسب متطلبات القطاعات المختلفة بدلا من ان تكون استثمارات خارجة عن نطاق العمل ولا تنتمي فعليا لتأمين العمل ومتطلباته وانما مشاريع وكأنها مجرد مخرجات مطلوب تحقيقها بغض النظر عن عمليات المؤسسة او الشركة هل تحقق تأمينها ام لا!
وان الملاحظ في مختلف القطاعات الحكومية و الخاصة ان امن المعلومات يتم إسناده الى متعهدين خارجيين outsource كأنه جزء من تقنية المعلومات او مشروع لا يختلف عن بقية المشاريع وهذا برأيي خاطئ لعدة اسباب:
1- امن المعلومات يعنى بتأمين قطاعات العمل كلها وليس مجرد عمليات تشغيلية او operation
2- ان متطلبات امن المعلومات تفرض الاطلاع على اكثر القطاعات او المعلومات حساسية في مختلف القطاعات فلا يجب اسنادها الى متعهدي خدمات لا يمكن ومع كل الضمانات اسناد مهام العمل الأمنية لهم.
3-ان كفاءات الافراد لدى متعهدي الخدمات متغيره ومختلفه ولا تكون بالشكل المطلوب عادة.
4- ان الاستثمار في ابناء الوطن وتأهيلهم بالشكل اللازم يعود بالنفع على البلد بكامله سواء الان او في المستقبل. الاستثمار في الكفاءات وتوطينها خير من اسنادها للخارج.
5-تأهيل وتوطين امن المعلومات يقوم برفع المستوى الامني العام للمملكة من خلال توفير عدد وافر من الافراد لدعم العمليات في مختلف مؤسسات وقطاعات السعودية.
6-ان الاستثمار في مشاريع بعشرات الملايين وعدم تأهيل الكفاءات يعني ترحيل الاموال ودفعها الى تقنيات واجهزة وتركها تعمل بلا افراد ذوي تدريب وتأهيل يعني بتشغيل هذه الأجهزة.
7-ان افضل تدريب وتأهيل هو االتدريب المحايد عن الشركات المزودة للأجهزة مثل GIAC, Ec council, Mile2 ISACA
عدة عوامل تجعل الاستثمار في مشاريع امن المعلومات امراً ناجحاً مع فهم ان نجاح امن المعلومات لا يحقق نفس الرضى في نجاح المشاريع فلا مقارنة بين مشروع انتهى ونجح بتحقيق اهدافه وبين عملية مستمرة نتائجها غير ملموسة، اهمية معرفة اسباب فشل الاستثمارات قد تكون اهم من الاستمثارات المدفوعه كلها، ففي كل مرحلة تنضج القطاعات والمؤسسات لترتقي مع كل مشكلة/اختراق/فشل الى مرحلة اعلى فتعمل بشكل فعال اكثر من قبل.
يقاس مدى نجاح الاستثمار في امن المعلومات بمدى دعم امن المعلومات للأهداف الرئيسية المعلنة للمؤسسة، فإن كان لها هدف خدمة الجماهير بطريقة ما والمؤسسة تحتفظ بمعلوماتهم، فمهمة امن المعلومات تأمين هذه المعلومات من التسريب، الكشف او التلاعب حسب حساسيتها. عند الفشل في تأمين المعلومات يصبح الاستثمار قد فشل.
يبقى اخيراً ان نقول ان اختراق وزارة الخارجية، ارامكوا، جامعة الطائف..وغيرها من المعلن وغير المعلن... قد لا يكون فشلا في الاستثمار ولكنه في الغالب، كبقية القطاعات، نتيجة لعدم وجود فهم كافي من الادارة العليا وسوء ادارة في عملية امن المعلومات ككل.
امن المعلومات عملية مستمرة يجب حقنها في مختلف القطاعات لإدامة الحماية خلال مختلف مراحل العمل. ان اول اساس قويم لحماية الاصول هو اعتماد الادارة العليا وتبينها لامن المعلومات، بدون هذا الاساس تكون الجهود غير مكتملة وبلا دعم تنفيذي يقضي بتشكيل وعي جمعي مؤسسي بأهمية امن المعلومات.
ثقافة امن المعلومات داخل نطاق العمل تقضي بتأهيل الكوادر اللازمة لإدارة امن العلومات بشكل فعال، هذه الادارة مهمتها انجاح الاستثمار في امن المعلومات وحماية الأصول، اول الخطوات لانجاح الاستثمارات هو تحويل امن العلومات الى جزء يومي من العمل، يجب ان يتحول الى اجراء او Process داخل عمليات الشركة او المؤسسة، ان يكون جزء من العمليات لا ان يحدث بعدها او قبلها فحسب. تحويل امن المعلومات الى اجراء مؤسسي بدلا من ان يكون اجراء يتم قبل او بعد اتمام العملية نفسها يحول الحماية من امر مرحلي الى امر مستدام يؤمن بشكل فعال الحماية للعمليات المختلفة في كل قطاعات العمل.
عندما يكون امن المعلومات اجراء، يتحول امن المعلومات من مكون جانبي في العمليات للشركة/المؤسسة الى مكون اساسي يتطلب تدخل افراد امن المعلومات الى عمل اجراءات، تحاليل،حوكمة، اختبارات وتقييم لمستوى وحالة امن المعلومات في هذه العمليات.
بهذا الشكل العام يمكن تأمين عمليات القطاعات المختلفة بإشراف امن المعلومات ومن خلال استثمارات ناجحة حسب متطلبات القطاعات المختلفة بدلا من ان تكون استثمارات خارجة عن نطاق العمل ولا تنتمي فعليا لتأمين العمل ومتطلباته وانما مشاريع وكأنها مجرد مخرجات مطلوب تحقيقها بغض النظر عن عمليات المؤسسة او الشركة هل تحقق تأمينها ام لا!
وان الملاحظ في مختلف القطاعات الحكومية و الخاصة ان امن المعلومات يتم إسناده الى متعهدين خارجيين outsource كأنه جزء من تقنية المعلومات او مشروع لا يختلف عن بقية المشاريع وهذا برأيي خاطئ لعدة اسباب:
1- امن المعلومات يعنى بتأمين قطاعات العمل كلها وليس مجرد عمليات تشغيلية او operation
2- ان متطلبات امن المعلومات تفرض الاطلاع على اكثر القطاعات او المعلومات حساسية في مختلف القطاعات فلا يجب اسنادها الى متعهدي خدمات لا يمكن ومع كل الضمانات اسناد مهام العمل الأمنية لهم.
3-ان كفاءات الافراد لدى متعهدي الخدمات متغيره ومختلفه ولا تكون بالشكل المطلوب عادة.
4- ان الاستثمار في ابناء الوطن وتأهيلهم بالشكل اللازم يعود بالنفع على البلد بكامله سواء الان او في المستقبل. الاستثمار في الكفاءات وتوطينها خير من اسنادها للخارج.
5-تأهيل وتوطين امن المعلومات يقوم برفع المستوى الامني العام للمملكة من خلال توفير عدد وافر من الافراد لدعم العمليات في مختلف مؤسسات وقطاعات السعودية.
6-ان الاستثمار في مشاريع بعشرات الملايين وعدم تأهيل الكفاءات يعني ترحيل الاموال ودفعها الى تقنيات واجهزة وتركها تعمل بلا افراد ذوي تدريب وتأهيل يعني بتشغيل هذه الأجهزة.
7-ان افضل تدريب وتأهيل هو االتدريب المحايد عن الشركات المزودة للأجهزة مثل GIAC, Ec council, Mile2 ISACA
عدة عوامل تجعل الاستثمار في مشاريع امن المعلومات امراً ناجحاً مع فهم ان نجاح امن المعلومات لا يحقق نفس الرضى في نجاح المشاريع فلا مقارنة بين مشروع انتهى ونجح بتحقيق اهدافه وبين عملية مستمرة نتائجها غير ملموسة، اهمية معرفة اسباب فشل الاستثمارات قد تكون اهم من الاستمثارات المدفوعه كلها، ففي كل مرحلة تنضج القطاعات والمؤسسات لترتقي مع كل مشكلة/اختراق/فشل الى مرحلة اعلى فتعمل بشكل فعال اكثر من قبل.
يقاس مدى نجاح الاستثمار في امن المعلومات بمدى دعم امن المعلومات للأهداف الرئيسية المعلنة للمؤسسة، فإن كان لها هدف خدمة الجماهير بطريقة ما والمؤسسة تحتفظ بمعلوماتهم، فمهمة امن المعلومات تأمين هذه المعلومات من التسريب، الكشف او التلاعب حسب حساسيتها. عند الفشل في تأمين المعلومات يصبح الاستثمار قد فشل.
يبقى اخيراً ان نقول ان اختراق وزارة الخارجية، ارامكوا، جامعة الطائف..وغيرها من المعلن وغير المعلن... قد لا يكون فشلا في الاستثمار ولكنه في الغالب، كبقية القطاعات، نتيجة لعدم وجود فهم كافي من الادارة العليا وسوء ادارة في عملية امن المعلومات ككل.
