فهد بن سعيد الحارثي
تعتبر إدارة المخاطر جزءًا لا يتجزأ من أي استراتيجية على صعيد المؤسسات والمنظمات ، وما بعد الحرب العالمية الثانية زاد الأهتمام بهذا العلم خاصة مع بروز شركات التأمين والمخاطر المالية التي تواجها ، ثم تطور علم المخاطر في السنوات التالية ليكون أكثر شمولية من مجرد مخاطر مالية بل أيضا مخاطر المؤسسية ( ERM ) لتشمل المخاطر التشغيلية والعلميات والسمعة والقانونية والإستراتجية ومختلف جوانب عمل المنظمات مع التأكيد ان عملية تحديد المخاطر هي عملية مستمرة خلال مختلف المراحل بالمؤسسة او المشروع وليست عملية وقتية مرحلية فقط .
وفي عصرنا الحالي مع بروز العالم الافتراضي الرقمي والاتجاة نحو المدن الذكية واعتمادنا بشكل شبه كامل على البرامج والأنظمة في مختلف نواحي الحياة أصبحت التهديدات الامنية السيبرانية هي أكثر ما يؤرق مقدمي الخدمة بل وحتى الحكومات والمؤسسات الصناعية التي باتت تعتمد كليا على الأنظمة والتقنيات ويشكل توقف هذه الأنظمة خسائر كبيرة وما الاحداث العالمية الأخيرة وما رافقها من هجمات سيبرانية بين مختلف الاطراف إلا دليل عن تغير آليات الصراع من صراع تقليدي الى صراع رقمي و سيبراني بحت ،لذلك فان الأخذ بهذا النوع من المخاطر بالاعتبار لم يعد ترف للمؤسسات إنما حاجة ملحة لحماية البيانات والمعلومات والبرامج والشبكات من الهجمات السيبرانية والتصيد الإحتيالي ويحب التركيز انها لا تقتصر فقط بالحفاظ على أمن الانترنت إنما أيضا الحفاظ على الاصول والبنية التحتية والأنظمة والأجهزة المندرجة ضمن نطاق ومجال الامن السيبراني والمعلومات .
لقد سبق أن طرحنا مقال سابق حول الانترنت العميق ومخاطره والذي يتحدث عن طبقات الانترنت وكيف نملك كم هائل من المعلومات قد تكون مخفية ، حيث يمكنك الإطلاع على المقال من خلال الرابط الاتي : الأنترنت العميق : مفهمومة ومكوناته ومخاطرة Alertiqa وأيضا مقالة ( 6 ) أسئلة تساعدك على فهم اطار ادارة المخاطر الايزو 31000 (6) أسئلة تسهل عليك فهم إطار ادارة المخاطر Alertiqa
ويمكن تقييم المخاطر السيبرانية بعد تحديدها وفقا لاحتمالية وقوع الخطر والأثر الناتج عنه، لذلك يجب أن تعي المنظمة أولا قيمة المعلومات التي لديها وأصولها ثم الانتقال الى مرحلة تحليل المخاطر وتحديد الثغرات المحتملة ومدى قوة وفعالية ونجاعة الضوابط الرقابية على الأنظمة وسلوك المستخدمين ووعيهم وهذا يعتمد كليا على فهم سباق المنظمة وتعقيد عملياتها ، ثم الانتقال الى مرحلة تحديد اولويات المخاطر من خلال للتحليل النوعي عبر ( الإحتمالية والأثر ) وصولا إلى تحديد الإستراتيجية المناسبة للإستجابة للخطر ( تجنب ، نقل ، تخفيف ، قبول ) – مثال على ذلك – ” هجمات التصيد ” الإلكتروني المنتشرة مؤخرا والتي يمكن الحد والوقاية منها من خلال التوعية بحماية البيانات الشخصية وعدم الافصاح عنها او الضغط على روابط مجهولة المصدر وهذه إستراتجية تحفيف لاحتمالية وقوع الخطر عبر التوعية ، ومتى ما تعاملنا مع مختلف المخاطر التقنية وفقا للأتي :حسب الاولوية وأحتمالية وقوعها والأثر الناجم عنه وتحديد خطط الإستجابة الوقائية المناسبة تنفيذها مع تفعيل أنظمة المتابعة والتحكم و أن تكون عملية ادارة المخاطر دائمة ومستمرة وموثقة حينها فقط يمكن أن نطلق عل نظام ادارة المخاطر بانه فعال و متضمنا خطط لإستمرارية الاعمال تحدّث بشكل دوري ويتم التدريب عليها ومراجعتها بشكل مستمر والتأكد من الجاهزية العالية للتعامل مع مختلف التهديدات السيبرانية لذلك يجب التأكيد ان ادارة المخاطر ليست روتين وإلزام فقط بل هي حماية وخلق قيمة لللمؤسسة وحتى نصل الى هذه المرحلة فنحن نحتاج ان تكون ادارة المخاطر :
✔️ مدمجة في كافة عمليات المؤسسة
✔️ أن تكون جزء من منظومة إتخاذ القرار
✔️ تتصف بالاستمرارية
✔️ تأخذ آراء كافة اصحاب المصلحة
✔️ تتكيف مع المتغيرات
في بيئة الاعمال السائدة اليوم خاصة في مؤسسات القطاع العام اعتقد اننا أمام تحدي نحو بناء ثقافة توجهنا نحو ثقافة ادارة المخاطر خاصة اذا ما اخذنا سلبيات تخصص الأمن السيبراني مثل التطور المتسارع للتقنيات والاخطاء التي لا مجال لمعالجتها وتوفر الكفاءة المناسبة فان في اجتماعات مجالس الإدارة والإدارة العليا يجب ان تكون المخاطر أحد اجندتها الأساسية وكما قيل ” إذا وجدت اجتماع للادارة لا يوجد ضمن أجندتة الجودة و المخاطر فتأكد انه لا يضيف أي قيمة للمؤسسة .
يمكنك متابعتي عبلا لينكد إن www.linkedin.com/in/fahad-al-harthy
1 Comment