يجد صنّاع القرار في المستويات التنفيذية صعوبة في فهم كيفية قيام الأمن الإلكتروني بدعم أهداف مؤسساتهم، كما يعاني المهنيون العاملون في مجال الأمن الإلكتروني في فهم نتائج المؤسسات التي يعملون على تحقيقها.
ويؤثر هذا التباين بين الجانبين على الاستثمار في الأمن الإلكتروني ومستويات ثقة أصحاب العلاقة المعنيين.
ويفتقر الرؤساء التنفيذيون للمعلومات عادة إلى إطار عمل تنفيذي محدد للاستعداد لإدارة المخاطر وتحديد ماهية استثمارات الأمن الإلكتروني التي يجب عليهم إعطائها الأولوية. وفي هذا السياق، تساعد اتفاقيات مستوى الحماية (PLAs) في ردم هذه الهوة عبر تقييم كفاءة معايير الأمن الإلكتروني والتكاليف المرتبطة بها.
ونتيجة لذلك، يجب على الرؤساء التنفيذيين لشؤون المعلومات توظيف اتفاقيات مستوى الحماية بهدف توضيح الفوائد المؤسسية المحققة من استثمارات الأمن الإلكتروني، وتحديد مستويات استعداد المسؤولين التنفيذيين لإدارة المخاطر في مجال الأمن الإلكتروني.
وتعد اتفاقيات مستوى الحماية اتفاقيات بين المسؤولين التنفيذيين من جهة، والرؤساء التنفيذيين لشؤون المعلومات/الرؤساء التنفيذيين لشؤون أمن المعلومات من جهة أخرى، وتهدف لبلوغ مستوى حماية مطلوب لاستثمار مخطط في الأمن الإلكتروني.
كما تعد عاملاً محدداً وحاسماً في تحديد مدى الاستعداد لإدارة المخاطر. وغالباً ما تنشأ عن المقاييس المدفوعة بالنتائج (ODM) والتي تدعم تحديد مستوى حماية منشود/مستهدف وتكلفة مخططة لتحقيق مستوى الحماية المطلوب”.
وجاءت الخطوات على النحو التالي:
1- تحديد الاستثمارات في أدوات الرقابة
يجب تحديد الاستثمارات في أدوات الرقابة ذات الأولوية والمقاييس المدفوعة بالنتائج التي يجب أن تشتمل عليها اتفاقيات مستوى الحماية.
وتنصح جارتنر المؤسسات بداية بأن تقوم بوضع ثلاثة إلى خمسة مقاييس مدفوعة بالنتائج لبحثها مع مجلس الإدارة، ووضع النهج الخاص بالإدارة التنفيذية والحوكمة وفقاً لاتفاقيات مستوى الخدمة.
كما يجب بمرور الوقت تحديد هدف الوصول إلى ما يتراوح ما بين 20-30 من المقاييس المدفوعة بالنتائج متعلقة بالفئات التالية: التحديد والحماية والكشف والاستجابة والاستعادة. ويجب أن يكون هذا العدد عند مستوى معقول يمكن إدارته.
2- تحديد اتفاقيات مستوى الحماية المقترحة
يجب وضع قائمة معقولة ومناسبة لاتفاقيات مستوى الحماية المقترحة والتي تنص على مستويات حماية وتكلفة مخططة معقولة وقابلة للتحقيق.
وغالباً ما يتم تحديد التكلفة على أنها الاستثمار الضروري للوصول إلى مستوى الحماية المطلوب، وتعد أمراً مهماً في جميع المفاوضات في هذا السياق.
وتوجد نقطة بداية جيدة يمكن الانطلاق منها تتمثل في دراسة الخيارات العالية والمتوسطة والمنخفضة لكل مستوى حماية مستهدف وذلك عبر مقاييس مدفوعة بالنتائج.
ويجب أن تتوافق هذه الخيارات مع معيار الاستمرارية والملاءمة والمعقولية والفعالية (CARE) الذي ينص على ضرورة توفير مستويات الحماية بصورة مستمرة وأن تكون ملائمة ومعقولة وفعالة.
3- معاينة وإعداد العوامل ذات الصلة
بالإضافة إلى الرئيس التنفيذي لشؤون المعلومات، يجب أن يقوم مسؤول تنفيذي آخر غير مختص في مجال تكنولوجيا لمعلومات مثل الرئيس التنفيذي للشؤون المالية، أو الرئيس التنفيذي لشؤون المخاطر، أو الرئيس التنفيذي لشؤون الامتثال، بمعاينة وإعداد العوامل ذات الصلة لدعم اتخاذ القرار التنفيذي، وتزويد التنفيذيين فيها بخيارات مثل إمكانية الدفاع عن المؤسسة في حال وقوع حوادث الأمر الذي يشمل الإجابة عن أسئلة مثل: هل سيتفق عملاؤنا ومساهمونا والجهات التنظيمية وشركاؤنا معنا على كون مستويات الحماية هذه مناسبة؟ كما تشمل العوامل الأخرى كلاً من:
تقييم المخاطر: كيف يمكننا إعطاء الأولوية لاحتياجات المؤسسة لمستويات الحماية؟
التبعات الخاصة بالجانب التنظيمي: هل تطلب الجهات التنظيمية توافر مستويات حماية معينة؟
توصيات من خبراء: ما هي توصيات الخبراء الداخليين والخارجيين؟
كما يجب على كل مؤسسة أن تحدد العوامل ذات الصلة التي تؤثر على قراراتها.
4– تمكين اتخاذ القرارات التنفيذية
يتم بعد ذلك تحديد مجموعة من مستويات الحماية وتمويل للنفقات المخططة من قبل مسؤول تنفيذي رفيع المستوى غير مختص في مجال تكنولوجيا المعلومات.
وللوصول إلى اتفاق، لا بد من معاينة كل اتفاقية مستوى حماية بصورة منفصلة. وإن المقاربة الأفضل في هذا السياق هي:
يجب على جميع مستويات الإدارة التنفيذية فهم اتفاقيات مستوى الحماية والاستثمار المطلوب في الرقابة، وشرح المقاييس المدفوعة بالنتائج بأسلوب يمكن فهمه من قبل الجميع، ومشاركة التكاليف لكل مستوى مقترح.
عرض العوامل (الخطوة 3) التي تؤثر على الخيار النهائي لاتفاقية مستوى الحماية، والتي تشتمل على التبعات التقنية والتجارية.
يجب بحث الخيارات المتاحة ومناقشتها. وبالنسبة للاتفاقية و/أو الخطوات التالية فقد تكون هناك حاجة إلى جمع المزيد من المعلومات الإضافية.
5- مشاركة وتحديد التوقعات
يجب مشاركة اتفاقيات مستوى الخدمة النهائية مع جميع المسؤولين التنفيذيين المعنيين وذوي الصلة ومع أعضاء مجلس الإدارة أو من في مستواهم.
وعلى الرغم من تمتع بعض المؤسسات بحرية تحديد مستوى النشر والاتفاق الخاص بها، فإنه يمكن للنقاط التالية المساعدة في تحديد التوقعات خلال الحوادث، أو في مرحلة فرض تطبيق الاتفاقيات والتي قد تتطلب خضوع اتفاقيات مستوى الحماية إلى التدقيق:
بخصوص الأمن الإلكتروني، يمكن لاتفاقيات مستوى الخدمة أن تكون أداة مفيدة في إدارة الاستثمارات ضمن الإطار الأمني الأوسع.
إلا أنه وفي حال التدقيق، فإن مسؤولية جميع القرارات تقع على عاتق فريق الأمن الإلكتروني، كما قد تكون هناك بعض الجوانب المحدودة التي قد تفيد المسؤولين التنفيذيين في حال حاجتهم إلى الدفاع عن المؤسسة عند وقوع حوادث.
بالنسبة للرؤساء التنفيذيين لشؤون المعلومات، فإن اتفاقيات مستوى الحماية تساعد في تخطيط نشر التكنولوجيا، وتبرير تطبيق أدوات الرقابة ذات التكاليف التشغيلية المرتفعة مثل إصلاح نقاط الضعف.
يمكن للتنفيذيين الاستفادة من اتفاقيات مستوى الحماية إذ أنها توفر لهم فهماً أفضل لاستثمارات الأمن الإلكتروني ومستوى الحماية. كما توفر الاتفاقيات فرصة معالجة أي تعطّل في أعمال المؤسسة بسبب إدارة الأمن الإلكتروني.
بالإضافة إلى ذلك، تتيح للرئيس التنفيذي الدفاع عن المؤسسة في حال حدوث خرق أمني كبير.
مجلس الإدارة: تساعد اتفاقيات مستوى الحماية مجلس الإدارة على ضمان رقابة الأمن الإلكتروني للمؤسسة.
6- حوكمة اتفاقيات مستوى الحماية باستمرار
يجب حوكمة اتفاقيات مستوى الحماية بشكل مستمر، إذ يجب أن تكون الأولوية بعد إقرار اتفاقيات مستوى الحماية، قياس مدى التنفيذ والإبلاغ عن الجوانب التي لا تقوم المؤسسة فيها بتنفيذ الاتفاقيات. وعند تنفيذ جميع اتفاقيات مستوى الحماية ضمن الميزانية المحددة، يجب حينها اعتبار برنامج الحماية على أنه مستمر وملائم ومعقول وفعال.
ريتشارد أديسكوت
مدير تحليلات أول لدى جارتنر
