“القدر الأكبر من المسائلة حول حريق مستشفى جازان يقع على المسؤول الأول عن قطاع الصحة ولذا فالمسائلة تقع علي شخصيا قبل أي أحد.” .

معالي الوزير خالد الفالح – وزير الصحة سابقاً

تُبرِز التغريدة السابقة لمعالي الوزير عنصراً رئيسياً في حوكمة المؤسسات وهي “المسؤولية والمحاسبة”. بالرغم من شعور البعض بحداثة المصطلح، إلا أن كثير من ممارساتها كانت موجودة مسبقاً في مختلف الجهات ولكن التغيرات في نمط الأعمال وحداثتها استلزم زيادة الاهتمام بمفهوم الحوكمة وتأطيرها بشكل يتناسب مع الحقبة الحالية. من أبرز خصائص الحوكمة التي يجب ابرازها في سياق هذه المدونة، أن تأثيرها يأتي متأخراً أو على المدى الطويل، وإن كان سيئاً.

يمكن بيان المقصود بالحوكمة في سياق الأمن السيبراني بأنها المبادئ والقواعد الإدارية وأساليبها المُتبعة في جهة ما لضبط سلطات اتخاذ القرار وتحديد أصحاب المسؤولية والمحاسبة في تنفيذ المهام والواجبات ذات العلاقة بحماية الجهة من الهجمات الالكترونية أو سوء استخدام الأصول المعلوماتية، مع ضمان استمرارية العمليات التشغيلية في حال وقوع حوادث أو كوارث. وعليه تهدف حوكمة الأمن السيبراني إلى توجيه قرارات وتصرفات الأفراد ومراقبتها وإرشادها وتحسينها لرفع الكفاءة وتسهيل تنسيق الجهود بين الجهات ذات العلاقة، بما يتناسب مع توجهات أصحاب الشأن في الجهة وتطلعاتهم (عوامل داخلية)، وبما لا يخالف الاتفاقيات والقوانين التي تكون الجهة طرفاً فيها (عوامل خارجية).

إلى الإدارات العليا ومسؤولين الأمن السيبراني

تتأثر الثقافة السائدة للأمن السيبراني في دهاليز الجهة بأسلوب الحوكمة المتبع من إدارتها العليا، سواءً كان ذلك موثقاً في أنظمتها وسياساتها ولوائحها أو تُمارسها دون توثيق. يستلزم ذلك أن يكون أسلوب حوكمة الأمن السيبراني [وإدارته] يتناسق مع توجهات وثقافة الجهة، ومستوى نضجها الإداري والفني. عند تصميم برنامج الحوكمة الخاص بالأمن السيبراني فيجب أن تؤخذ ثلاث مستويات رئيسية في الحسبان: أولاً، مسؤولية تحديد الرؤية والأولويات الأمنية وغالباً ما تُسند هذه المهمة للجنة الإشرافية للأمن السيبراني. ثانياً، مسؤولية تحديد البرامج وآليات التنفيذ وتُسند لمدير الأمن السيبراني في الجهة وفريق عمله. ثالثاً، مسؤولية تنفيذ المبادرات والبرامج ومتابعتها وتُسند إلى مختلف الإدارات والأقسام في الجهة كلاً على حسب مهامه الوظيفية ودوره في تحقيق الرؤية العامة للأمن السيبراني.

وجود أنظمة أو لوائح تنظيمية حديثة في الأمن السيبراني (مثل الضوابط الأساسية للأمن السيبراني الصادرة عن هيئة الأمن السيبراني أو قرينتها الصادرة عن مؤسسة النقد) فرصة لم تكن متاحة فيما مضى، ويجب استغلالها بشكل جيد، هذا إن كانت هناك رغبة جادة بتحقيق الأهداف الأمنية بأمثل صورة، ولن يتم ذلك إلا بمراعاتك وإيمانك بمبدأين. أولهما: إجراءات الأمن السيبراني –بطبيعتها- تشمل جميع أنشطة ومهام الجهة وليست محصورة بمهام ومسؤوليات إدارتك وفريقك فقط. نعم، المسؤولية العامة قد تقتصر على إدارة أو أشخاص معينين، وهذا ما تدعوا اليه مفاهيم الحوكمة، لكن من المسلمات في مفاهيم الأمن السيبراني أنها ثقافة على الجميع الالتزام والمشاركة فيها. على سبيل المثال، من المجالات الإدارية التي تضمنتها الضوابط الأساسية والتي يصعب توثيق إجراءاتها أو تطعيمها بالضوابط الأمنية، أو تطبيقها بشكل مباشر من فريق الأمن السيبراني هي الضوابط ذات العلاقة بإدارة الموارد البشرية وإدارة المشتريات وإدارة المشاريع وإدارة التدقيق والمتابعة، فجميع السياسات والإجراءات والممارسات الأمنية ذات العلاقة بهذه الإدارات يجب توثيقها ودمجها من خلال الإدارات نفسها، مع دعم واستشارة فريق الأمن السيبراني. على ذلك يجب أن يُدرك المسؤولين (ويشمل ذلك وكلاء الوزارة أو نواب الرؤساء في الجهات الحكومية) ومختصين الأمن السيبراني أن تطبيق الضوابط الأساسية ليس بمشروع، بل هو برنامج مستمر يتطلب المراقبة والتحسين المستمر، ويختلف عن مشاريع شهادات الآيزو السابقة، وأن الامتثال للضوابط ليست رفاهية إعلامية بل الزامية بموجب أمر سامي كريم، والمجال هنا أوسع، ولم يعد يختص بإدارة محددة، بل شامل لجميع أعمال الجهة. ثانياً: وجود ضوابط إجبارية تقودها جهة مسؤولة عن تنظيم القطاع هي بوصلة تساعدك على توجيه المبادرات الأمنية، وقد تستخدمها لمأرب أخرى خاصةً لتمكين موقفك في الصراعات السياسية الداخلية.

جدير بالذكر والتنبيه: أحد التوصيات السائدة لضبط حوكمة الأمن السيبراني وتعزيز المسؤوليات داخل الجهة هو فصل وظيفة تقنية المعلومات عن وظيفة الأمن السيبراني، وهذا الفصل ليس للترف الإداري، وإنما هو توجه عام لتعزيز ممارسات الحوكمة والشفافية والمحاسبة داخل الجهات والمؤسسات العامة. الهدف للفصل بين الوظيفتين بينه الإطار التنظيمي للأمن السيبراني الصادر عن مؤسسة النقد حيث طالب بأن تتبع إدارة الأمن السيبراني مساراً إدارياً يختلف عن إدارة تقنية المعلومات وأن تكون أحد مهام الوظائف الضبطية (Control Function) في الجهة. الشرط الثاني هو ما تميز به الإطار التنظيمي لمؤسسة النقد مقارنة بضوابط هيئة الأمن السيبراني، وذلك لتصريحه الضمني بأن الأمن السيبراني هو برنامج شامل لأعمال الجهة، يؤثر ويتأثر بمختلف المبادرات والمشاريع حتى وإن لم تكن ذات علاقة بتقنية المعلومات، ويساويه بذلك بمسؤوليات الوظائف الضبطية الأخرى مثل إدارة المخاطر أو الإدارة القانونية في الجهة. إذا افترضنا بأن إدارة الأمن السيبراني تتبع أحد وظائف التخطيط (Planning Function) أو وظائف الإدارية (Directing Function) ففي هذه الحالة –نظرياً- يُمكن دمج متطلبات الأمن السيبراني في أحد أو عدة مراحل مختلفة من مراحل عمل الجهة دون وجود نقطة مراقبة تتحقق من المتطلبات بالشكل المطلوب قبل إطلاق أو إنهاء المشاريع. عملياً، يمكن ردم هذه الفجوة عبر الاسناد الرسمي والصريح للمسؤولية الضبطية لمتطلبات الأمن السيبراني (كمسؤولية وليس وظيفة كاملة) لأحد هذه الوظائف الغير ضبطية، ولإنجاح هذه الطريقة فيجب توفير دعم كبير من متخذي القرار في الجهة مع وجود مراجعة وتقييم دوري لكفاءة هذا الإسناد وفعاليته.

إلى المسؤولين من خارج إدارة الأمن السيبراني

حماية الجهة التي تعمل فيها من الهجمات الالكترونية أصبحت واجبة، واستدراكها مهمة معقدة، وتتطلب التعاون والتنسيق بين مختلف القطاعات من داخل الجهة وخارجها، وزملائك في الأمن السيبراني يحتاجوا خبراتك وتخصصك لتوفير أنسب برنامج أمني وأشملها. من الأمثلة التي تبين تأثير العوامل الخارجية على أسلوب حوكمة الأمن السيبراني المتبع في الجهة هي بنود أو سياسة عدم الامتثال، حيث توضح بنود هذه السياسة العقوبات الرسمية عند عدم التزام الأفراد المسؤولين. تجد عند قراءة هذه البنود في سياسات بعض الأجهزة العامة أنها تستوجب فصل الموظف تأديبياً عند مخالفته سياسات أو متطلبات الأمن السيبراني. صياغة البند بهذا الشكل لا يتوافق مع نظام الخدمة المدنية ولائحته التنفيذية للموارد البشرية، فبدلاً من الفصل فيمكن احالته إلى اللجنة التأديبية واتخاذ الإجراءات اللازمة. استفراد إدارة الأمن السيبراني عند كتابة السياسات والإجراءات الأمنية، أو عدم تعاون إدارة الموارد البشرية بشكل يُناسب أهمية الموضوع، قد ينتج عنه سياسات لا يُمكن تطبيقها، فتبقى حبر على ورق.

يمكن القياس على هذا المثال بقية البنود في سياسات وإجراءات الأمن السيبراني في الجهة، فمثلاً: صلاحية الموافقة على استراتيجية الأمن السيبراني وسياساتها والموافقة على الميزانية وتوفيرها، وتأثرها بقرار تأسيس وتنظيم عمل الجهة التي تعمل فيها، بالإضافة إلى إجراءات وقرارات تنظيم الميزانية العامة. كذلك، صلاحية المراجعة والتدقيق الداخلي وكيفية تنفيذهما، وتأثرها ب “اللائحة الموحدة لوحدات المراجعة الداخلية في الأجهزة الحكومية”، أيضاً، التعاقد مع الموردين وصياغة العقود وشروطها، وتأثرها ب “نظام المنافسات والمشتريات الحكومية”. بالإضافة إلى كيفية التواصل مع الجهات الخارجية في شؤون الأمن السيبراني ومشاركة المعلومات مع الجمهور، وتأثرها ب “لائحة الاطلاع على الوثائق والمحفوظات وتداولها”، وغيرها من سياسات وإجراءات أمنية تتأثر بالأنظمة واللوائح سواءً الداخلية منها أو الخارجية.

إلى التقنيين

إن كنت تدير جدار الحماية ولا تتبع قواعد محددة لتعديل الإعدادات أو كنت تستجيب لطلب من هب ودب، فانت بحاجة لنظام حوكمة واضح. إن كنت مبرمج وسئمت من الطلبات *الغير منطقية* في نهاية المشروع والتي تتطلب منك كتابة او اعادة كتابة عشرات او مئات الاسطر، فانت بحاجة لنظام حوكمة واضح.

قد لا يرى بعض التقنيين أهمية لمخرجات الحوكمة من أنظمة وسياسات وإجراءات ولوائح، وأنها ضرب من الممارسات الإدارية التي لا تعمل بكفاءة –مثل مراقبة وتحليل الأحداث أو إدارة الأنظمة وتطوير التطبيقات- على محاربة المخترقين أو الهجمات التي يتعاملون معها يومياً. في كل الأحوال، قد أتفق مع هذا الرأي فقط في حال ضمان أن جميع العاملين في هذه الجهة هم أبطال خارقين في مجالاتهم والتي تتطلب أن يكونوا عارفين بجميع الممارسات الأمنية التي تنطبق على تخصصهم، فالمبرمج يعرف كيفية كتابة أكواد خالية من الثغرات، ومدير المشروع يعرف كيف يوثق ويتحقق من المتطلبات الأمنية في جميع المراحل، والمدير التنفيذي يعرف ماهي المخاطر الأمنية في كل لحظة تتغير فيها بيئة العمل، وغيرها. بالإضافة إلى ذلك، هذه أربعة رسائل خفيفة:

أولاً: الحوكمة موجودة وإن لم تكن موثقة، وتوثيقها هو الفيصل في تحديد المسؤول المُقصِّر في أداء عمله. مجملاً، إن كنت تؤدي مهامك بشكل صحيح، فلن يضرك توثيق المسؤوليات، وكيفية أدائك لمهامك، بل هو توثيق لإنجازاتك ونضوج خبراتك.

ثانياً: الحوكمة لا يقل شأنها إذا كان كاتب السياسات والإجراءات جاهل. فإن كُتِبت السياسات والإجراءات عبر النسخ واللصق، وتم اعتمادها دون الرجوع إليك، فهناك أشخاص وضعوا في غير محلهم، ولا يُستبعد أن يكون أحدهم في رأس الهرم. إن كنت لا ترغب بأن يملي عليك آخرين كيفية أداءك لعملك، فبادر بتوثيقها بطريقة تعكس خبرتك ومستواك التقني، وشاركها مع بقية أفراد الفريق وعلى رأسهم فريق الأمن السيبراني، فلا تبق لهم حجة عليك، وإن كانوا يروا فيها شيء من الخطأ، فليقدموا برهانهم أو ليوفروا البديل الأفضل.

ثالثاً: الحوكمة لن تمنعك من إتمام مهامك، فوجود الحوكمة أو عدمها لا يبرر الأنظمة التي عفا عليها الزمن وشرب، أو التطبيقات المثقلة بالأكواد المتهالكة، أو غيرها من الجرائم التقنية التي لا يبرر ارتكابها عدم المعرفة بالقانون. إن كنت مدير للأنظمة أو الشبكات أو مبرمج للتطبيقات أو مدير للمشاريع فجهلك أو تجاهلك لتعلم الممارسات التي من شأنها حماية الجهة التي تعمل لديها يعكس مستوى خبرتك في مجالك.

رابعاً: إن لم تكن معجباً بمصطلحات مثل حوكمة أو سياسات أو لوائح أو مخاطر فأطلق عليها ما شئت من مسميات (بطاطس، باذنجان، سيارة، فلسفة، الخ)، فاختلاف المسميات لا يفسد للود قضية، وتقبُلك لهذه المصطلحات من عدمه لا يقلل من أهميتها في العمل المؤسسي.

أخيراً، بالرغم من استيعابي لما كتبته أعلاه وإيماني به، إلا أن هناك خاطرة لا تبرح رأسي وهي أن متطلبات العمل المؤسسي سبب رئيسي في تحقيق النبوءة التي تقول بأن المخترقين متقدمين دائما بخطوة عن فريق الحماية، فكلاهما يلعبان في نفس الملعب، لكن القواعد تختلف. لعلها حربٌ بسوس بين قوتين فكريتين –في دماغي- متضادتان في التوجه ومتقاربتان في العتاد، انتصر مؤخراً أحد الطرفين وخَلَفَت هذه المدونة، لكن … للحرب بقية.