مقدمة
بعد التزايد المطرد للحوادث السيبرانية العالمية خلال السنوات الأخيرة. سلطت هذه الحوادث الضوء على أهمية الـ GRC والأمن السيبراني للمؤسسات لحماية بياناتها وأنظمتها من الهجمات السيبرانية. تساعد اجراءات الحوكمة والامتثال المؤسسات على تحديد المخاطر ووضع استراتيجيات للحد من آثارها ، بينما يوفر الأمن السيبراني حلولاً تقنية لحماية البيانات من الوصول غير المصرح به أو الهجمات الضارة.
حوادث سيبرانية كبرى
- SolarWinds Attack: في عام 2020 ، شن متسللون هجوماً متطوراً على شركة SolarWinds ، وهي شركة تقدم حلولاً لإدارة أنظمة تكنولوجيا المعلومات. استغل المتسللون نظام تحديث برامج الشركة لزرع شفرات ضارة في برنامج Orion ، وهو منتج يستخدمه آلاف العملاء من الوكالات الحكومية والشركات الخاصة حول العالم. من خلال هذه الشفرات ، تمكن المتسللون من الوصول إلى شبكات وبيانات هذه المؤسسات ، والقيام بعمليات تجسس وسرقة. يُعتقد أن هذا الهجوم هو أحد أكبر عمليات التجسس الإلكتروني في التاريخ ، وأنه نفذ بدعم من دولة أجنبية. سلط هذا الحادث الضوء على الحاجة إلى تدابير أمنية أفضل في أنظمة إدارة سلسلة التوريد للحماية من هجمات سلسلة التوريد.
- Equifax Data Breach: في عام 2017 ، تعرضت Equifax ، وهي شركة رائدة في تقديم خدمات التقييم الائتماني ، لخرق هائل للبيانات أثر على نحو 147 مليون شخص. استغل المتسللون ثغرة أمنية في موقع الشركة للاستيلاء على المعلومات الشخصية للضحايا ، بما في ذلك أرقام الضمان الاجتماعي وتواريخ الميلاد والعناوين وأرقام رخصة القيادة وأرقام بطاقات الائتمان. كان هذا الخرق واحداً من أكبر خروقات البيانات في التاريخ ، وأثار انتقادات حادة لشركة Equifax.
- The Target Data Breach: في عام 2013 ، تعرضت شركة Target ، وهي سلسلة متاجر بيع بالتجزئة كبرى في الولايات المتحدة ، لخرق هائل للبيانات أثر على أكثر من 70 مليون عميل. تمكن المتسللون من الوصول إلى نظام نقاط البيع الخاص بالشركة وسرقوا معلومات بطاقة الائتمان والخصم الخاصة بالعملاء ، بالإضافة إلى المعلومات الشخصية مثل الأسماء والعناوين وأرقام الهواتف وعناوين البريد الإلكتروني. كان هذا الخرق واحداً من أكبر خروقات البيانات في قطاع التجزئة ، وأدى إلى خسائر مالية وسمعية كبيرة لشركة Target. سلط هذا الحادث الضوء على الحاجة إلى تدابير أمنية أفضل في متاجر البيع بالتجزئة والشركات الأخرى التي تتعامل مع بيانات العملاء الحساسة.
- Marriott International Data Breach: في عام 2018 ، كشفت شركة Marriott International ، وهي شركة فنادق عالمية ، عن خرق هائل للبيانات أثر على نحو 500 مليون عميل. تمكن المتسللون من الوصول إلى قاعدة بيانات Starwood ، وهي شبكة فنادق تابعة لشركة Marriott ، وسرقوا المعلومات الشخصية للضحايا ، بما في ذلك أسماءهم وأرقام جوازات سفرهم وتفاصيل حجوزاتهم وبعضهم أرقام بطاقات ائتمانهم. كان هذا الخرق واحداً من أكبر خروقات البيانات في قطاع الضيافة ، وأثار انتقادات حادة لشركة Marriott بسبب إهمالها لأمن قاعدة بيانات Starwood التي اشترتها في عام 2016.
- WannaCry Ransomware Attack: في عام 2017 ، اجتاح هجوم برامج الفدية WannaCry العالم ، مستهدفاً أكثر من 200,000 جهاز كمبيوتر في أكثر من 150 دولة. استغل هذا البرنامج الضار ثغرة أمنية في نظام التشغيل Windows لتشفير الملفات الموجودة على أجهزة الضحايا وطالب بالدفع لفك تشفيرها. كان هذا الهجوم واحداً من أخطر هجمات برامج الفدية في التاريخ ، وأثار حالة من الذعر والفوضى.
كل هذه الحوادث التي"هزت العالم حرفيا" سواء الرقمي أو غير الرقمي ذكرت العالم بأهمية وضع سياسات مختلفة وعصرية و مرنة تمكن من التصدي لمثل تلك الأزمات وبل و أيضا من الاستعداد لها قبل وقوعها.
ما هو الـ GRC ؟
الـ GRC هي اختصار لمصطلح بالانجليزية يعني "Governance, Risk, and Compliance" أي الحوكمة والمخاطر والامتثال و هي طريقة منظمة لمواءمة تكنولوجيا المعلومات مع أهداف العمل أثناء إدارة المخاطر وتلبية جميع اللوائح الصناعية والحكومية. يتضمن أدوات وعمليات لتوحيد حوكمة المنظمة وإدارة المخاطر مع ابتكاراتها التكنولوجية واعتمادها. تستخدم الشركات (GRC) لتحقيق الأهداف التنظيمية بشكل موثوق ، وإزالة عدم اليقين ، وتلبية متطلبات الامتثال.
مصطلح الـ GRC ظهر لأول مرة في عام 2003 ، ولكن تم ذكره في ورقة بحثية مُحكمة من قبل أحد مؤسسيها في عام 2007.
الـ GRC هي استراتيجية وهيكلية تساعد المنظمة على مواءمة تكنولوجيا المعلومات مع أهداف الأعمال والامتثال للمتطلبات التنظيمية. كما تشير الـ GRC إلى مجموعة متكاملة من القدرات البرمجية لتنفيذ وإدارة برنامج الـ GRC على مستوى المؤسسة.
الـ GRC تتألف من ثلاثة عناصر رئيسية هي:
الحوكمة: هي مجموعة القواعد والسياسات والعمليات التي تضمن أن أنشطة المؤسسة متوافقة مع الأهداف التجارية. تشمل الحوكمة الأخلاق وإدارة الموارد والمساءلة وضوابط الإدارة. كما تضمن الحوكمة أن الإدارة العليا يمكنها توجيه والتأثير على ما يحدث في جميع مستويات المؤسسة وأن وحدات الأعمال متوافقة مع احتياجات العملاء والأهداف الشاملة للشركة.
إدارة المخاطر: هي عملية تحديد وتقييم والتحكم في المخاطر المالية أو القانونية أو الاستراتيجية أو الأمنية التي تهدد المؤسسة. لتقليل المخاطر ، تحتاج المؤسسة إلى تطبيق الموارد لتقليل ومراقبة والتحكم في تأثير الأحداث السلبية مع تعظيم الأحداث الإيجابية.
الامتثال: يغطي مجال القانون والتنظيم. يمكن للحكومات أو الهيئات التنظيمية أو حتى أطراف ثالثة أن تضع مجموعات من قواعد السلوك التي يجب أن تتبعها المؤسسة لتشغيلها. يضمن الامتثال أن المؤسسة تلتزم باللوائح وتتبع الممارسات المحاسبية الصحيحة.
أين تكمن أهمية GRC ؟
يعد تنفيذ إستراتيجية (GRC) أمرًا ضروريًا لمؤسستك نظرًا لزيادة المخاطر الإلكترونية التي تهدد بيانات المستخدمين وخصوصيتهم. من خلال نهج GRC المتكامل ، يمكن للشركات استخدام تدابير أمان البيانات لحماية بيانات العملاء والمعلومات الخاصة ، كما يساعد المؤسسات على الامتثال للوائح خصوصية البيانات مثل اللائحة العامة لحماية البيانات (GDPR).وبالتالي يمكنك من الحفاظ على ثقة العملاء وحماية عملك من العقوبات.
ما هي الأدوات الشائعة التي يتم استخدامها في تطبيق الـ GRC ؟
أدوات GRC هي تطبيقات برمجية يمكن للشركات استخدامها لإدارة السياسات وتقييم المخاطر والتحكم في وصول المستخدم وتبسيط الامتثال. على سبيل المثال:
برنامج الـ GRC
يساعد برنامج GRC في إدارة أطر عمل GRC باستخدام أنظمة الكمبيوتر. تستخدم الشركات برنامج GRC لأداء هذه المهام:
- الإشراف على السياسات وإدارة المخاطر وضمان الامتثال
- البقاء على اطلاع دائم بالتغييرات التنظيمية المختلفة التي تؤثر على الأعمال
- تشجيع وحدات الأعمال المتعددة للعمل معًا على نظام أساسي واحد
- تبسيط وزيادة دقة التدقيق الداخلي
إدارة المستخدمين
يمكنك منح العديد من أصحاب المصلحة الحق في الوصول إلى موارد الشركة باستخدام برنامج إدارة المستخدم. يدعم هذا البرنامج التفويض الدقيق ، بحيث يمكنك التحكم بدقة في من يمكنه الوصول إلى المعلومات. تضمن إدارة المستخدم أن يتمكن الجميع من الوصول بأمان إلى الموارد التي يحتاجون إليها لإنجاز عملهم.
نظام إدارة أمن المعلومات والأحداث SIEM
يمكنك نظام إدارة معلومات الأمان والأحداث (SIEM) من اكتشاف تهديدات الأمن السيبراني المحتملة. تستخدم فرق تكنولوجيا المعلومات برنامج SIEM لسد الثغرات الأمنية والامتثال للوائح الخصوصية.
التدقيق
يمكنك استخدام أدوات التدقيق لتقييم نتائج أنشطة GRC المتكاملة في شركتك. من خلال إجراء عمليات التدقيق الداخلي ، يمكنك مقارنة الأداء الفعلي بأهداف GRC. يمكنك بعد ذلك تحديد ما إذا كان إطار عمل GRC فعالًا وإجراء التحسينات اللازمة.
الـ GRC في وطننا العربي
يزداد وعي دولنا العربية بأهمية الحوكمة والمخاطر والامتثال (GRC) والأمن السيبراني. حيث بدأت المنظمات في إدراك الحاجة إلى تدابير قوية لمعايير الحوكمة والامتثال للشركات التي تتعامل بشكل أو بآخر مع البيانات.
في المملكة العربية السعودية
اتبعت الحكومة نهجًا استباقيًا ، حيث قدمت عددًا من المبادرات لضمان امتثال المنظمات للمعايير الدولية. وتشمل هذه الاستراتيجية الوطنية للأمن السيبراني (NCSS) ، والتي تحدد إطارًا شاملاً لحماية البنية التحتية الحيوية من التهديدات السيبرانية. يتضمن NCSS أيضًا تدابير لتعزيز الشراكات بين القطاعين العام والخاص من أجل تعزيز الوضع الأمني السيبراني العام في البلاد.
اتخذت المملكة العربية السعودية (KSA) عدة خطوات لتعزيز الحوكمة والمخاطر والامتثال (GRC) والأمن السيبراني. وتشمل هذه:
1. إنشاء هيئة وطنية للأمن السيبراني (NCSA): تم إنشاء NCSA في عام 2018 لحماية البنية التحتية الحيوية للبلد من التهديدات الإلكترونية. تعد NCSA مسؤولة عن تطوير وتنفيذ السياسات والمعايير واللوائح المتعلقة بالأمن السيبراني.
2. تطوير استراتيجية وطنية للأمن السيبراني: في عام 2019 ، أصدرت المملكة العربية السعودية استراتيجيتها الوطنية للأمن السيبراني والتي تحدد رؤية الدولة لبيئة رقمية آمنة. تتضمن الإستراتيجية مبادرات مثل تعزيز قدرات الدفاع الإلكتروني للدولة ، وتعزيز الشراكات بين القطاعين العام والخاص في مجال الأمن السيبراني ، وتطوير إطار قانوني فعال للأمن السيبراني.
3. تعزيز قدرات GRC: نفذت المملكة العربية السعودية العديد من الإجراءات لتعزيز قدرات GRC ، بما في ذلك إنشاء مركز وطني لإدارة المخاطر (NRMC) ، وإنشاء إطار وطني لتقييم المخاطر ، وإدخال لوائح جديدة بشأن حماية البيانات والخصوصية.
4. تعزيز تعليم الأمن السيبراني: استثمرت المملكة العربية السعودية بشكل كبير في توعية المواطنين بالأمن السيبراني من خلال مبادرات مثل إطلاق منصة على الإنترنت للتدريب على التوعية بالأمن السيبراني وتنظيم ورش عمل حول مواضيع مثل هجمات التصيد الاحتيالي والوقاية من البرمجيات الخبيثة.
في مصر في السنوات الأخيرة ، اتخذت مصر عدة خطوات لتحسين الأمن السيبراني ووضع GRC (الحوكمة والمخاطر والامتثال).
أنشأت الحكومة المصرية المركز الوطني للإستعداد لطوارئ الحاسبات والشبكات (EGCERT) لتنسيق جهود الأمن السيبراني في جميع أنحاء البلاد. هذا المجلس مسؤول عن تطوير وتنفيذ استراتيجيات وسياسات ولوائح الأمن السيبراني الوطنية.
تم تشكيل المركز الوطني للاستعداد لطوارئ الحاسبات والشبكات (EG-CERT) بالجهاز القومي لتنظيم الاتصالات في أبريل 2009 ويتم العمل على مدار الساعة طوال أيام الأسبوع. يقدم المركز الدعم اللازم لحماية البنية التحتية القومية للمعلومات الهامة خاصة في قطاع تكنولوجيا المعلومات والاتصالات والقطاع المالي. يضم فريق العمل حاليا متخصصين على أعلى مستوى يقومون على مدار الساعة بمراقبة الأمن السيبراني والاستجابة للحوادث وتحليل معامل الطب الشرعي الرقمي وتحليل البرمجيات الخبيثة والهندسة العكسية ويتمثل الهدف الرئيسي للمركز في تعزيز أمن البنية التحتية المصرية للاتصالات والمعلومات من خلال اتخاذ إجراءات استباقية، وجمع وتحليل المعلومات الخاصة بالحوادث الأمنية، والتنسيق والوساطة بين الأطراف المعنية في حل تلك الحوادث الأمنية والتعاون الدولي مع غيرها من فرق الاستجابة لطوارئ الحاسبات والشبكات في الدول الأخرى.
والجدير بالذكر أن جهود فريق الاستجابة لطوارئ الحاسب الآلي قد ساهم في رفع تصنيف مصر وتبؤها مكانة عالية حيث تحتل المرتبة السابعة والعشرين من بين 193 دولة وفقا لما ذُكر في تقرير أصدره الاتحاد الدولي للاتصالات العالمي للأمن السيبراني وُنشر في ديسمبر 2014. بالإضافة إلى ذلك ، قام المركز الوطني للخدمة المدنية بتنفيذ عدد من المبادرات لتحسين GRC في مصر. وتشمل هذه إنشاء مركز وطني للأمن السيبراني (NCSC) ، والذي يقدم المساعدة الفنية للمنظمات في تطوير أطر عمل GRC للأمن الخاص بها ؛ اعتماد المعايير الدولية مثل ISO 27001 ؛ وتنفيذ منصة على الإنترنت للإبلاغ عن الحوادث الإلكترونية وتبادل أفضل الممارسات بين أصحاب المصلحة.
لتعزيز وضع GRC ، اعتمدت مصر أيضًا عددًا من القوانين واللوائح المتعلقة بحماية البيانات والخصوصية. وتشمل هذه قانون حماية البيانات رقم 151/2019 ، الذي يحدد قواعد معالجة البيانات الشخصية ؛ قانون المعاملات الإلكترونية رقم 10/2020 الذي ينظم المعاملات الرقمية ؛ وقانون الجرائم الإلكترونية رقم 175/2018 ، الذي يجرم أنواعًا معينة من الأنشطة الخبيثة عبر الإنترنت.
في الأردن ، اتخذت الأردن عددًا من الخطوات في مجال GRC (الحوكمة والمخاطر والامتثال) والأمن السيبراني.
1. وضع الأردن استراتيجية وطنية للأمن السيبراني لحماية المواطنين والشركات والحكومة من التهديدات السيبرانية. تتضمن هذه الإستراتيجية إنشاء مركز وطني للأمن السيبراني لتنسيق الجهود بين الجهات الحكومية ومؤسسات القطاع الخاص.
2. نفذت الحكومة أيضًا قانون الأمن السيبراني الأردني الذي يلزم جميع المنظمات العاملة في الأردن بتنفيذ تدابير لحماية أنظمتها من التهديدات الإلكترونية. كما يلزم هذا القانون المنظمات بإبلاغ السلطات عن أي حوادث أمنية.
3. أنشأت الحكومة أيضًا فريقًا وطنيًا للاستجابة للطوارئ الحاسوبية (CERT) يكون مسؤولاً عن الاستجابة لحوادث الأمن السيبراني وتقديم المساعدة الفنية للمنظمات المتضررة من مثل هذه الحوادث.
4. نفذت الحكومة أيضًا عددًا من المبادرات الهادفة إلى زيادة الوعي بالأمن السيبراني بين المواطنين والشركات والجهات الحكومية. تشمل هذه المبادرات ورش عمل وندوات ومؤتمرات حول موضوعات الأمن السيبراني بالإضافة إلى الحملات العامة التي تهدف إلى تثقيف الناس حول تدابير الأمان عبر الإنترنت التي يجب عليهم اتخاذها عند استخدام الإنترنت أو الانخراط في أنشطة عبر الإنترنت.
5. أخيرًا ، تعمل الحكومة مع شركاء دوليين مثل الناتو والإنتربول لتعزيز قدرتها على الاستجابة للتهديدات السيبرانية وتحسين وضعها الأمني السيبراني العام.