بحث قانوني عن حوكمة تقنية المعلومات كمدخل لحماية امن المعلومات والخصوصية بالمؤسسات الاقتصادية

IT Governance as an Approach To
Information Security and Privacy
عادل حنفي حسين
خبير مصرفي ومستشار مالي واداري
مستشار حوكمة الشركات
[email protected]

محتويات الورقة

مقدمة

1.ماهية حوكمة تقنية المعلومات .
2.اهمية حوكمة تقنية المعلومات
3.مقومات الحوكمة الجيدة لتقنية المعلومات .
4.حماية امن المعلومات والخصوصية في اطار حوكمة تقنية المعلومات .
5.التوصيات.

مقدمة :-

لقد واجهت مؤسسات الاعمال فى كافة القطاعات والانشطة بتحديات كبيرة فرضت عليها ضرورة استخدام التقنيات الحديثة والتكنولوجيا المتقدمة , بحيث اصبح ذلك امرا ومعيارا هاما فى تطور هذه المؤسسات ودافعا للتعامل معها وللتنافسية فى مجالات اعمالها . وقد تطلب ذلك قيام تلك المؤسسات بانفاق اموال ضخمة على الاستثمار فى تقنيات المعلومات وانظمتها .

وعلى جانب اخر فلم تسلم تلك الاستثمارات الضخمة والتقنيات المعاصرة من وجود العديد من المخاطر والتهديدات والتحديات التى صاحبتها , حيث افرزت البيئة الجديدة من المتغيرات التى لم تكن موجودة من قبل وفى ظل استخدام الاساليب التقليدية بمؤسسات الاعمال خاصة التى تعتمد على النظم اليدوية .

ومن ثم برزت اشكال جديدة من المخاطر المصاحبة لاستخدام التكنولفوجيا والتقنيات الالكترونية والتى اتسم بها العصر واصبحت المؤسسات تتنافس فيما بينها على السبق فى استخدامها .

وتعد حوكمة تقنية المعلومات ( IT Governance ) احدى محاور حوكمة الشركات ذلك المفهوم الذي يحظى باهتمام بالغ على كافة المستويات الحكومية والتشريعية وجهات الاشراف والرقابة ومؤسسات الاعمال على حد سواء ، نظرا لما كشفت عنه الدراسات والبحوث من المنافع والمزايا التي تتحقق على المستوى الاقتصادي الكلي وكذلك على مستوى الوحدات الاقتصادية نتيجة تطبيق قواعد ومعايير ومبادئ الحوكمة الجيدة، وقد تمخضت المحاولات المتعمقة لارساء دعائم حوكمة الشركات ان ظهرت هناك اهمية ملحة لاحد عناصر ومحاور الحوكمة وهو ما اطلق عليه حوكمة تقنية المعلومات والذي يعد التطبيق الجيد لمبادئها وقواعدها ومنهجيتها مدخلا لحماية امن المعلومات والخصوصية بالمؤسسات الاقتصادية.

ماهية حوكمة تقنية المعلومات

قبل ان نتعرض لتعريف ماهية حوكمة تقنية المعلومات ، فانه يتعين ان نشير الى ان استخدام هذا المصطلح قد جاء مشتقا من استخدام مصطلح حوكمة الشركات او الحوكمة (governance)والذى برز اثر العديد من الفضائح المالية على المستوى العالمى سواء فى امريكا (انرون للطاقة،ورلدكوم)او فى اوروبا(رويال اهولد)وغيرها فضلا عن الازمات المالية فى دول شرق اسيا ، مما استدعى تحركا مهنيا وعلميا وتشريعيا لاعادة الثقة فى الاقتصاديات بالاسواق المالية والمؤسسات العاملة بها.

وفى هذا السياق فان هناك العديد من التعريفات التى تناولت حوكمة الشركات ومفهومها حيث جاءت بعض هذه المفاهيم لتاخذ جانب وركزت بعضها على جوانب اخرى .
ونورد فيما يلي مفهوم حوكمة الشركات طبقا لرؤية منظمة التعاون الاقتصادي والتنمية ( 2004 ) :-
” ان حوكمة الشركات تتضمن مجموعة من العلاقات بين ادارة الشركة ومجلس ادارتها ومساهميها وذوي المصلحة الاخرين وتقدم حوكمة الشركات ايضا الهيكل الذي من خلاله توضع اهداف الشركة وتحدد وسائل انجاز تلك الاهداف والرقابة على الاداء “

ويتضح من هذا التعريف انهتناول حوكمة الشركات من حيث مكوناتها وكذلك الاليات التي يفرضها وجود وتطبيق هذا المفهوم في سبيل ادارة الشركة وخاصة وضع الاهداف وتحقيقها والرقابة على الاداء.

وبناء عليه
فان حوكمة الشركات وفقا لتعريف منظمة التعاون الاقتصادي والتنمية معنية بالاتي:-
1. تحديد وتنظيم العلاقات وكيفية ممارستها بين ادارة الشركة ومجلس الادارة والمساهمين واصحاب المصالح الاخرين.
2. تحديد الاليات التي يتم من خلالها وضع وصياغة اهداف الشركة ووضع الخطط والسياسات والاستراتيجيات التي يتم عن طريقها تحقيق هذه الاهداف.
3. الرقابة على الاداء والنتائج الفعلية المحققة من خلال المتابعة والتقييم وتصحيح المسارات.
وتهتم حوكمة الشركات بصفة اساسية بتحقيق توازن بين اهداف اصحاب المصالح سواء كانو ملاكا او ادارة عليا او عملاء او موردين واجهرة حكومية وغيرهم فضلا عن تعيق دور الرقابة وتقييم الاداء والنتائج.

ماهية حوكمة تقنية المعلومات كاحد محاور حوكمة الشركات

تعريف حوكمة تقنية المعلومات ( المعهد الاسترالى لمعايير حوكمة الشركات ) :-
هو النظام الذى يتم من خلاله توجيه ورقابة الاستخدامات الحالية والمستقبلية لتقنية المعلومات ,وتقييم وتوجيه الخطط لاستخدام تقنيات المعلومات فى تدعيم المؤسسة , ومتابعة هذا الاستخدام لانجاز الخطط المقررة .

متابعة استخدام تقنيات المعلومات فى انجاز الخطط المقررة للمؤسسة
تقييم وتوجيه الخطط لاستخدامات تقنيات المعلومات فى تدعيم المؤسسة

كما تتناول حوكمة تقنية المعلومات الاستراتيجية والسياسات التى توضع بشان استخدامات تقنية المعلومات من خلال المؤسسة.

اهمية حوكمة تقنية المعلومات

1. الادارة الفعالة لرغبات واحتياجات العملاء في اطار الاستراتيجية العامة للمؤسسة.
2. توجيه الادارة العليا ومشاركتها نحو تحقيق مصالح المتعاملين مع المؤسسة.
3. اهمية تحقيق عائد اقتصادي على كافة الانشطة التي تقوم بها المؤسسة وتتحمل تكاليف مقابلها.
4. تحسين وتطوير التقنيات المستخدمة باستمرار لتفي بالمتطلبات المتغيرة بالبيئة المحيطة
5. التطور السريع والمعقد في تقنية المعلومات المستخدمة في جميع المجالات .
6. تعدد الادارات والقطاعات التي تستخدم تقنيات المعلومات داخل المؤسسة الواحدة وتنوع اهتماماتها واحتياجاتها .
7. توفير القيادة والتحفيز ورفع مستوى الاداء بالمؤسسة .
8. تعميق دور الرقابة على تقنية المعلومات ومخرجاتها.
9. ثورة الاتصالات وما احدثته في مجال الاعمال من تغيرات دراماتيكية للاستجابة السريعة للطلبات والحصول على الاحتياجات .
10. ظهور العديد من التشريعات المنظمة لاستخدام التقنيات الحديثة كالتوقيع الالكتروني والاتصالات وتداول المعلومات.
11. الاعتماد بشكل جوهري على تقنية المعلومات كشرط اساسي تفرضه الجهات الرقابية والاشرافية والتطبيقات الجيدة لحوكمة الشركات وزيادة القدرة التنافسية للمؤسسات.

مقومات حوكمة تقنية المعلومات الجيدة

1. الموائمة بين الاستراتيجية العامة للمؤسسة وخطط التشغيل اللازمة لتحقيق

اهداف الاستراتيجية وبين الخطة الاستراتيجية لتقنية المعلومات.

2. وضع خطة تشغيل لتقنية المعلومات .
3. وضع خطة مالية وتمويلية لتقنية المعلومات .
4. وضع اطار عام لتطبيق حوكمة تقنية المعلومات والرقابة عليها مأخوذا في الاعتبار ما تصدره جهات الرقابة والاشراف والتشريعات المنظمة للعمل بالمؤسسات واختيار البدائل العملية المطروحة مثل COBIT.
5. لابد من القيام بتشكيل اللجان المتخصصة في توجيه تقنية المعلومات ووضع الاستراتيجية الخاصة بها ، ويتعين ان يكون مستوى هذه اللجان من اعضاء مجلس الادارة .

حماية امن المعلومات والخصوصية في اطار حوكمة تقنية المعلومات .

يعني امن المعلومات حماية كل من المعلومات ونظم المعلومات من الاستخدام غير المرخص به والافشاء والتعديلات او التدمير من خلال :-
– المحافظة على السرية بتوفير مستوى مناسبا من سرية المعلومات.
– السلامة والدقة للتأمين ضد حدوث تغيرات غير سليمة في المعلومات او تدميرها وان تكون المعلومات يوثق فيها وليس هناك مجال للاختلاف او التنصل من المسئوليه عنها.
– الاتاحية بمعني قابلية المعلومات للتداول والنفاذ اليها طوال الوقت.

دور مجالس ادارات المؤسسات في اطار حوكمة تقنية المعلومات :-

1. توفير خطة استراتيجية طويلة المدى لحماية وتأمين المعلومات ونظم المعلومات بحيث تعكس هذه الخطة مدى ادراك وخطورة حماية المعلومات والنظم الخاصة بها دخل المؤسسة .
2. يقع على مجلس الادارة مسئولية مراجعة الانفاق الاستثماري في مجال امن وحماية المعلومات ومدى توافق ذلك مع الخطط الاستراتيجية للمؤسسة والاطار العام لادارة المخاطر بها.
3. الموافقة على ايجاد وتطوير البرامج المستخدمة في حماية وامنلمعلومات ونظمها بالمؤسسة.
4. الحصول بشكل مستمر ودوري على تقارير من الادارة عن كفاءة وفعالية البرامج المستخدمة لحماية امن ونظم المعلومات .

انشاء وحدة متخصصة لحماية وامن نظم المعلومات :-

بعيدا عن اقتصاديات اقامة او انشاء وحدة متخصصة لحماية وامن نظم المعلومات حيث انه في ضوء ضخامة حجم الاستثمارات في تقنية المعلومات ، فانه لا محالة من ضرورة تبني مؤسسات الاعمال وكذلك المؤسسات الحكومية توجها نحو تخصيص او ايجاد قسم او ادارة متخصصة تكون مسئولة عن حماية وامن نظم المعلومات.
وبغض النظر عن تبعية هذا القسم او الادارة في الهيكل الاداري للمؤسسة ، الا انه يمكن ان يكون من مهامه الاساسية ما يلي :-
– اجراء تقييم دوري للمخاطر المرتبطة بامن المعلومات ونظم المعلومات المستخدمة كالدخول غير المرخص به والافشاء والتدمير والتعديلات وغيرها من مخاطر.
– وضع الادلة والاجراءات والسياسات التي تتبع في تقييم المخاطر وزيادة العائد من الاستثمارات في تقنية المعلومات وتخفيض المخاطر المرتبطة بامن المعلومات الى المستويات المقبولة.
– التاكد من توافر اجراءات آمنة للمعلومات في كل مرحلة من مراحل نظم المعلومات بالمؤسسة بشكل عام.
– التأكد من توفر متطلبات امن وحماية المعلومات طبقا لما تقرره الادارة العليا ومجالس الادارة والتشريعات والجهات الاشرافية وكذلك الترتيبات التعاقدية.
– تقديم المساندة والدعم حيث تأمين المعلومات للشبكات والمرافق ونظم المعلومات والمجموعات المختلفة من مستخدميها .
– تدريب العاملين وكذلك موردي الخدمات للمؤسسة وكل من يستخدم نظم المعلومات وتنمية معارفهم فيما يتعلق بامن المعلومات . واعلامهم بالمخاطر المرتبطة بانشطتهم ويتعلق بامن المعلومات، وكذلك مسئولياتهم طبقا لما تحدده سياسات واجراءات العمل الموضوعة بالمؤسسة لتقليل المخاطر الى ادني حد ممكن.
– الفحص والاختبارات الدورية لمدى فعالية سياسات امن المعلومات واجراءاتها والممارسات العملية لها بواقع مرة على الاقل سنويا.
– ايجاد الية لمتابعة ما تم اتخاذه من اجراءات لمعالجة اية ثغرات في سياسات واجراءات امن المعلومات وممارساتها العملية.
– ابلاغ الجهات المسئولة بالمؤسسة او جهات الاشراف والرقابة او الجهات المحددة قانونا عن الاحداث الطارئة التي تؤثر على امن ونظم المعلومات لديها ووضع النظم والاجراءات التي تكفل الاكتشاف المبكر لهذه الاحداث والتعامل معها لتخفيض مستوى المخاطر قبل وقوع الضرر .

اليات عملية فى حوكمة تقنية وامن المعلومات

يعد اصدار cobit احد الاليات الشهيرة عالميا فى تطبيقات مفاهيم وقواعد حوكمة تقنية المعلومات ،وهو احد اصدارات معهد حوكمة تقنية المعلومات

COBIT

Control objectives for information and related technology.
الاهداف الرقابية للمعلومات والتقنيات المرتبطة بها
{ الاسس التى تقوم عليها }
ان هناك قناعة بانه يجب ان يكون هناك التزام كامل نحو ادارة المخاطر المرتبطة باستخدام تقنيات المعلومات الحديثة والتى تمثل تحديا يواجه مؤسسات الاعمال حاليا .

ان استخدام تقنيات المعلومات اصبح امرا لا مفر منه فى ادارة الاعمال وتشغيلها

المؤسسات الناجحة على يقين بان تقنيات المعلومات تعود بالفوائد العظيمة عليها مما ينعكس على حقوق مساهميها والقيمة السوقية لها

COBIT:-

تمثل اطار عمل لحوكمة تقنية المعلومات ووسيلة يتم من خلالها تدعيم المديرين الذين يكون من ضمن مهامهم معالجة الفجوة بين كل من :-
1. المتطلبات الرقابية .
2. الاجراءات التقنية والفنية .
3. مخاطر الاعمال .

التوصيـــــــــات :-

1. ضرورة تبني مؤسسات الاعمال والمؤسسات الحكومية على حد سواء لمفاهيم حوكمة تقنية المعلومات باعتبارها اطار عام يمكن من خلاله تحقيق حماية وامن المعلومات.
2. اهمية ايجاد قسم او ادارة او شعبة في الهيكل التنظيمي للمؤسسات تكون مهمته حماية امن المعلومات تدعيما لمفهوم حوكمة تقنية المعلومات وبما يعكس اهتمام مجالس ادارة تلك المؤسسات وحجم الاستثمارات في تقنية المعلومات.

ورقة بحثية متميزة حول حوكمة تقنية المعلومات