كثيرا ما نواجه كمتخصصين اسئلة واستغاثة احيانا من مهتمي أمن المعلومات بالجهات المختلفة، يطلبون فيها كيفية اقناع المسؤولين بأمن المعلومات واهميته، وحاجة المنظمة له.
في هذه التدوينة سأركز على بعض النقاط التي يجب عليك كمختص ومهتم أمن المعلومات الحرص عليها والاشادة بها قبل واقناء اقناع مسؤول المنظمة بأمن المعلومات واهميتة والحاجة اليه.
– أولاً: النتيجة النهائية
يجب عليك اعداد عرض يلخص اهم الفوائد والنتائج المرجوة من امن المعلومات، فالمسؤولين ونتيجة قلة المعرفة في هذا المجال يفتقرون لهذه النقاط مهما كانت بديهية احيانا ( وهم معذورين في ذلك ) نتيجة المسؤليات المتعددة.
فسردك لعدد من فوائد تطبيق امن المعلومات والنتائج النهائية سبب وجيه لاقناعهم في ذلك. فمثلا :
١- تحقيق المتطلبات والامتثال للتوجيهات الوزارية مؤخرا ( في السعودية ) في مجال أمن المعلومات.
٢- تحقيق قيمة تنافسية مع المنظمات الاخرى، وذلك بتحقيق قيمة اضافية ( امن المعلومات )
٣- تخفيض التكاليف من خلال تقليل الصرف على حلول المشاكل في حال وقوعها من خلال الوقاية بالاجراءات وتطبيق امن المعلومات
٤- تحسين اداء الموظفين من خلال تطبيق سياسات واجراءات امن المعلومات وتحديد المسووليات المختلفة.
ضع في بالك دائما: المسؤولين يهتمون بالفوائد والنتائج المرجوة كأول عنصر في اي مجال وفي مجال أمن المعلومات خصوصاً.
– ثانياً: التوازي مع استراتيجية المنظمة
ان من اولى اوليات المسوولين هي استمرارية العمل ضمن الخطط الاستراتيجية المرسومة سواء من قبل الجهات العليا او من ضمن اعضاء مجلس الادارة، لذا عليك ان تربط امن المعلومات بالخطة الاستراتيجية وتربطها بها حينما تريد اقناع المسؤولين بأمن المعلومات.
– ثالثاً: تخفيض التكلفة
يحرص المسؤولين على خفض التكاليف على المنظمة ككل، واحدى الامور التي يسعى إليها تطبيق امن المعلومات هو خفض التكاليف من خلال الاستثمار في شيئين:
اما: الاستثمار في التوعية وتدريب العامل البشري الذي يعد حلقة ضعيفة في امن المعلومات.
او: الاستثمار في التقنية الحديثة ذات الجودة والتي تقلل من تكاليف اضافية على المنظمة.
فمن خلال سن سياسات واجراءات امن المعلومات، والمحاضرات التوعوية، والتدريب ذو الجودة، بالاضافة الى بعض التقنيات الحديثة من انظمة وتطبيقات من شأنها ان تقلل التكاليف على المدى المتوسط والبعيد.
لذا احرص على تضمين هذه النقطة وطرحها وامتلاك جميع جوانب المعرفة حولها لاجابة المسؤول بذلك.
– رابعاً: لا تنس معدلات قياس الأداء
كمسؤول يحتاج ان يعلم قبل البدء او الموافقة على اي مشروع، وخاصة ان كان في مجال امن المعلومات، العلم بماهية معدلات قياس الاداء بعد تطبيق هذا المشروع.
تقليل المخاطر، وعرض ماهية المخاطر الموجودة حاليا وكيفية تقليلها وكم هي نسبة المعالجة خلال فترة قريبة ومتوسطة امر ضروري جدا.
معدل وعي الموظفين وتغيير اداؤهم ايضا يشكل عنصر اساسي في المشروع، لاعطاء تصور واضح للمسؤول للموافقة على مشروع امن المعلومات ومعرفته بمعدل تغييير اداء الموظفين لديه وزيادة وعيهم.
اضف ايضا عناصر اخرى تخص منظمتك، مثل معدل استمرارية العمل، وزيادة الدخل، ومعدل التنافسية بالاعمال، الخ
– خامساً: المخاطر المحتملة
أياً كان هو مشروعك ونسبة الانفاق عليه، فللمخاطر مكان، فماهي يا ترى تلك المخاطر، على سبيل المثال لا الحصر رفض الموظفين للتغيير ( ادارة التغيير ) معدل التغيير في الاداء في الفترة الاولى، معدل نقصان الدخل ( ان وجد )، ومثلها كثير.
بهذه الخمس نقاط، حينما تشملها كلها في عرض كامل للمسؤول، بطريقة سهلة ميسرة وليست متعمقة ومفصلة، تستطيع ان تكسب رضى المسوول وتقنعه بأهمية المجال الذي تريد بدء امن المعلومات فيه، لانك وببساطة طرحت النقاط التي هو نفسه حريص عليها.
اتمنى ان يكون ما طرحت موفقاً، شاركوني بعض ما لديكم من خلال تعليقاتكم او من خلال صفحتي في تويتر .
هنا رابط ويبينار جميل حول الموضوع
كل الود
أولا شكرا جزىلا لهذا التحليل الذي يشير إلى إشكالية لها أهمية كبيرة. بالفعل من الصحيح أن معظم القادة المدنيين في القطاع الخاص أو العام أو القاددة العسكريين أنفسهم يعتبرون أن الأمن والإجراءات الأمنية بشكل عام تزعج سير العمليات وتكلف جهود ونقود تنقصهم لأعراض أخرى. ونعرف من التاريخ العسكري مثلا إنه خسرت معارك عديدة بسبب عدم الاحتفاظ بالسرية. أما المعارك الاقتصادية فتبرهن يوميا أهمية المساألة.
لا بد أن الحرب خدعة كما قال النبي محمد (صلى الله عليه وسلم).
شخصيا أرى هنا بعض النواحي أو العوامل يجب أن نأخذها بعين الاعتبار إذا أردنا أن نجد حلول للإشكالية.
أولا يجب أن نفهم أن كثير من المسؤولين الأمنيين لديهم نهج الذي يجعل من الصعب إقناع القادة. إن الاقتناع لا ياأتي إلا من الفهم لأن الفهم يؤدي إلى الانضمام. إذا نقترح ببساطة إجراءات أمنية هي كما إذا جلبنا مشاكل إضافية و بطريقة ما نشارك في صنع القرار. بالنهاية هذا يسبب حرج من قبل القادة.
إذا أول شيء يجب فعله هو دمج الوظيفة الأمنية للهبئات التي تشارك في تحضير القرار لأن إذا كانت الوظيفة الأمنية وظيفة استشارية فإنه يتطلب معرفة تامة لبيئتها ولهموم وتطلعات أولئك الذين يؤلفها. وهذه نقطة مهمة لأنها الوسيطة الوحيدة لإقناع الغير.
ثانثا، يجب أن نقدم تقدير لمستوى التهديد يعتمد على أساس البيئة أو الموقف العام، الناقلات الداخلية والخارجية التي تؤثر على مستوي التهديد في سياق سيناريوهات. بناء على ذلك نستطيع أن نوصف أنوع التهديدات المحتملة.
هذا النهج يقنع القادة لأنه عقلاني ولأنه أداه لصنع القرار.
أرجو أن تفهموا لغتي العربية الضعيفة جدا وأشكركم لاهتمامكم
اهلا عزيزي روبير
ماشاء الله لغتك جيدة مع وجود اخطاء الا ان الأهم من ذلك هو وصول الهدف والمعنى
احسنت وهذا فعليا ما نحتاجه بالعالم العربي خصوصا، ام يكون هناك تحرك في هذاه النقاط التي ذكرتها ،،
اشكرك وكل مودتي وتقديري لشخصك الكريم على تواجدك
Salamo 3laykom
First of all, I thank you very much for your interesting blog and ideas which you share with us about IS security.
In order to respond to this issue how to convince top management I propose the implementation of ISO 27001.Its can help top management to understand clearly the objectives and needs behind a set up of a structural ISMS.
Thanks again.
Dear Bchiri Mohamed
Thank you for your kind words,
in this blog i mentioned how we can convince top management for information security in general, but it’s for ISO27001 in specific,
we can convince them by:
– tell them how much it’s necessary
– how does it fit with company’s strategy
– how much this project will decrease the cost
– how we will measuring the changes
and don’t hide the risks and challenges that you will face it .
check this video
http://www.iso27001standard.com/en/webinars/ISO-27001-BS-25999-2-management-responsibilities
if there is anything else please let me know at anytime ,,
tanks
مدونة شخصية وكل هذه المعلومات والعلم الكثير ماشاء الله عليك مهندس عبدالرحمن ستجده ولو بعد حين