عادة ما تقوم المؤسسات بنشر التكنولوجيا كوسيلة لمواجهة مخاطر أمنية، لكن ما يجب القيام به، هو دعم هذه الجهود بمبادرات استراتيجية تشمل حسن إدارة تكنولوجيا المعلومات وعملياتها والتدريب عليها والوعي بها. أصبحت تكنولوجيا المعلومات والمعروفة باسمها الشائع (IT) العمود الفقري لكل مؤسسة. تعتمد جميع المؤسسات الآن أكثر من أي وقت مضى بشكل رئيسي على تكنولوجيا المعلومات لحل مشكلات العمل الاستراتيجية ولتشجيع الابتكار ودعم سير الأعمال اليومية. أتت تحديثات وتطورات جديدة في مجال تكنولوجيا المعلومات، مما يعزز وجودها ويؤكد أهميتها، فمن الصعب تخيل أي مجال عمل لم يجن من ثمارها ويستفيد منها، بل ربما أصبح بقاؤه واستمراريته من دونها فكرة مستحيلة. ويعزى نجاح تكنولوجيا المعلومات ونموها المتسارع في سوق العمل، الذي من طبيعته التغير والتأقلم بشكل دائم، واعتمادها المتزايد على أجهزة الحاسب الآلي والإنترنت (مثل وسائل التواصل الاجتماعي وcloud computing) والشبكات اللاسلكية (كالبلوتوث والواي فاي وغيرها) والأجهزة الذكية (مثل الهواتف والأجهزة الإلكترونية الذكية Internet of things)، فهذه التكنولوجيا جاءت لتبقى وتنمو. ونتيجة تزايد الاعتماد على التكنولوجيا، على المؤسسات والمجتمعات عدم تجاهل المخاطر المصاحبة لها، هذه المخاطر تأتي في أشكال متعددة دائمة التطور، مُلقية بتحديات جديدة على المؤسسات لتحمي وتؤمن بياناتها، مثال على ذلك، ما حدث في أحدث الهجمات الاختراقية، التي تمت ضد مؤسسات وشركات محلية لها أهميتها ووزنها. فعلى كل المؤسسات أن تستوعب وتعي جيداً أننا نعيش في عصر أصبحت فيه حماية المعلومات ومنع اختراقها ضرورة حتمية وليس خياراً ترفيهياً، الاختراقات الإلكترونية لم تعد خطراً غريباً وغير اعتيادي تتم معالجته «إن حدث»، بل أصبح خطراً متربصاً ومواجهته «مسألة وقت». احتمالية تعرض بعض الشركات بسبب طبيعتها لهذا الخطر تزيد عن البعض الآخر، لكن لا يستطيع أحد أن يزعم أنه بمعزل ومنأى عن هذا الخطر وينكره. الإجراءات الأمنية التقليدية (perimeter defense، limiting system access، anti-virus IDS/IPS، system patching & encryption إلى آخره) التي اعتدنا عليها في المؤسسات بمنطقة الشرق الأوسط والخليج لم تعد كافية لمنع محاولات النفاذ والتمويه وسوء استعمال معلومات المستهلك أو الأنظمة التكنولوجية. تحتاج المؤسسات إلى تشكيل برنامج أمن معلوماتي أو إلكتروني لها، ولابد أن يكون مجلس الإدارة مسؤولاً مسؤولية مباشرة عن البرنامج ويكون أعضاؤه من ذوي القدرة والخبرة في هذا المجال. عادة ما تقوم المؤسسات بنشر التكنولوجيا كوسيلة لمواجهة مخاطر أمنية، لكن ما يجب القيام به هو دعم هذه الجهود بمبادرات استراتيجية تشمل حسن إدارة تكنولوجيا المعلومات وعملياتها والتدريب عليها والوعي بها. وعلى الرغم من أهمية تكنولوجيا المعلومات وأدواتها، فإن تطبيقها وحدها دون توعية لجميع الموظفين والمديرين أمر مكلف وغير مجدٍ بالمرة. وعلى المؤسسات أن تبني برامج تكنولوجيا المعلومات لتغطي النقاط التالية: • توجيه المستخدم (التدريب والوعي) من مستخدمي البرامج سواء موظفون أو عملاء. • التواصل مع مؤسسات المجابهة الذكية للتهديدات (Threat Intelligence) لمعرفة تطورات المخاطر وتحديد مصادرها. • التأكد من آلية العمل وحوكمتها بناء لأفضل المعايير الدولية (COBIT، ISO، NIST). * تقييم المخاطر وشهادة التحقيق السنوية (Penetration tests، Vulnerability Scan، PCI، Internal Audits). • تصميم الهيكل الأمني (Access Control، Cloud Security، Data Protection، Network Design، Secure Application Development). • تخطيط القدرات والأداء . • إدارة مقدمي الخدمات من الموردين والأطراف الثالثة. • عمليات التأمين و الدفاع (Vulnerability Management، Data Leakage Prevention، Business Continuity Planning، Incident Response، SIEM). جميع المؤسسات تقوم بتخزين ومعالجة كمية مهولة من البيانات الشخصية لعملائها بمعدل غير مسبوق، أضف إلى ذلك دور تكنولوجيا المعلومات، الذي لا يمكن الاستغناء عنه في مجال الأعمال، حيث أصبح الأمن المعلوماتي مكوناً رئيسياً للاقتصاد وعنصراً حيوياً لاستقرار سوق رأس المال وحماية بياناتنا الشخصية. وبناء على أهمية التكنولوجيا وتأثيرها القوي والواسع على أفراد المجتمع، «على السلطة التشريعية إصدار قانون لحماية الأمن المعلوماتي (أسوة مع نظام البنوك وهيئة أسواق المال) يتم من خلاله وضع قواعد جديدة وواضحة من شأنها تطبيق أنظمة آمنة لحماية البيانات في المؤسسات، على أن تتم صياغة أي مشروع قانون مقترح في مجال الأمن المعلوماتي بشكل يضمن تحقيق المستوى الأدنى من الضمانات الوقائية، ويطالب الشركات والمؤسسات بالامتثال للمعايير العالمية في حماية الأنظمة والبيانات من الهجمات الإلكترونية، من خلال تطبيق عقوبات وغرامات على المؤسسات الرافضة للامتثال. والتأكد من قيام أعضاء مجلس إدارات هذه المؤسسات من القيام بمسؤولياتهم. * محمد الرومي مدير في ممارسة تقنية المعلومات بـErnst & Young، US. لديه سبع سنوات من الخبرة في تقديم الخدمات المختلفة للمنظمات الرائدة في العالم والمؤسسات في مجالات تكنولوجيا المعلومات، ودعم التدقيق، وأمن المعلومات، وإدارة المعلومات والتحليلات والبيانات.