هذه التدوينة تختلف عن التدوينة السابقة تماماً.
التدوينة السابقة تتعلق بالمشاكل الحالية، بينما هذه التدوينة تتحدث عن المشاكل التي تصاحب بناء اقسام امن المعلومات، وبناء ثقافة امن المعلومات داخل الجهات المختلفة.
سأتناول بعض المشاكل التي عاينتها و وقفت على بعضها، بالاضافة الى بعض المشاكل التي نسمعها من قطاعات مختلفة أخرى.
المشكلة ١:
الميزانيات
مشكلة ميزتنية امن المعلومات مشكلة في اكثر الجهات سواء الحكومية او الخاصة، في المملكة او خارجها، يعاني منها مدراء الاقسام والموظفين على حد سواء.
قلة الميزانيات ومحدوديتها تفقد قسم امن المعلومات هويته، وتبعده عن صلاحياته باتخائ الاجارات المناسبة سواء بشراء برامج معينة او تطبيقات خاصة او في التدريب والتوعية.
من المستحيل ان تطبق نظرية بعض المسؤولين بأن يتم انشاء قسم امن المعلومات ويتم الامن المعلومات بتكلفة ( صفر $ )
المشكلة ٢:
الاعتقاد والايمان بأن شراء برامج معينة في امن المعلومات هي خسارة
هذا الاعتقاد منتشر كثيرا، حيث يعتقد بعض متخذي القرار في الجهات المختلفة ان سراء بعض التطبيقات او البرامج الخاصة بامن المعلومات هي خسارة وضياع للمال. و وجهة نظرهم بالتحديد هي ان هذه البرامج قد تكون احيانا للقسم نفسه فقط دون بقية اقسام الجهة، وهذا مما يزيد من مشكلة تطبيق امن المعلومات في بداياته.
المشكلة ٣:
عدم وضوح الرؤية
كثير من الجهات التي هي بدايات امن المعلومات، تفتقد للرؤية الصحيحة، فهم يريدون كل شي لكل شيء!!!
هذا بالتحديد يوضح لنا اهمية تقييم المخاطر وبناء خطة استراتيجية واضة لامن المعلومات، تحوي جميع التوجهات والمشاريع ومسارات التدريب للموظفين.
وهذا ايضا يستدعيني للحديث عن ان بعض الاحيان بسبب عدم وضوح الرؤية وجشع المسوقين، يقوم المسوقون بتسويق منتجات امن المعلومات بشكل او بآخر ونتيجة لـ(شطارة) المسوّق يتم شراء برامج وانظمة حماية اكبر من المستوى المطلوب بمراحل. بالاضفة الى ان ما سيحرج الجهة هي عدم مقدرة الموظفين ( احيانا ) على التعامل مع هذه الانظمة الضخمة.
اتذكر احدى الجهات الصغيرة جدا، اشترت نظام F5 للحماية بمبلغ كبير جدا، ولم يستطيعوا التعامل معه لاحقا لعدم تناسب ضخامة امكانياته مع ماهو متوفر لديهم. ( وهو الآن بلا فائدة لديهم ) !!!!!!
ودائما ما اوضح للجهات، (( انفاقكم في البداية على تقييم المخاطر وبناء الخطة الاستراتيجية للقسم، هو نجاح في بناء القسم وتوفير للمال ))
المشكلة ٤:
الطاقات البشرية
للأسف في اكثر الجهات حينما يأتيهم تعميم او توجيه بفتح واشاء قسم امن المعلومات ( كم حصل من عدة سنوات ) يقومون بتسليم القسم لاحد مسؤولي قسم تقنية المعلومات كنوع من الترقية مثلا !!!
بينما الصحيح ان تبذل الجهة بعض من الوقت لتعيين او استقطاب شخص مؤهل لهذا المجال والقسم.
هذه المشكلة سببت الكثير من العقبات الاخرى والمشاكل لبعض الجهات، وهذه المشكلة هي احيانا نتيجة عذر ( الوقت ) الغير مبرر طبعاً. او بحجة انه لا يوجد شاغر وظيفي داخل الجهة يستدعينا لاستقطاب شخص آخر مؤهل.
المشكلة ٥:
الامن المادي
للاسف بعض الجهات، مترسخ لديها ان امن المعلومات هو امن مادي، امن الخوادم، واجهزة الحاسب فقط !! ويتجاهلون امن المعلومات او ينفقون عليه الشي البسيط مقابل الامن المادي .
شاركوني مالديكم من مشاكل تعتقدون انها اكبر مشاكل تطبيق امن المعلومات للجهات التي بدأت بتبني امن المعلومات لديها، وذلك من خلال تعليقكم على التدوينة.
مودتي لكم
صحيح وانا اتفق معاك بهالخصوص
بالنسبه لفكره الامن المادي للاجهزه فقط والمعلومات هذه فكره منتشره وعلى نطاق واسع
قسم امن المعلومات مسئول حتى عن خطط السلامه وحمايه البشر اللي هم اهم بكثير من الجهاز
لي تعقيب على كلامك ،
في شركات تتبع سيسات كبيره وضخمه وتتخذ اجراءت بسيطه لحمايه معلومات المنشئه وتوعيه الناس بهالخصوص
لكن للاسف بالمقابل في شرركات كبيره ولها سمعتها ماتتخذ ابسط السياسسات لامن المعلومات
انا على ثقه تامه بجهل الناس والمنشئات لهذا الموضوع ومدى اهميته
ولايعني تطبيق الشركه ستاندر عالمي ومطابقتها لكل المعاير انها نجحت في مجال الامن
لان العلم يتطور بالثانيه وحنا لازم بالمقابل نساعد ونحاول تكون لنا بصمه
اشكرك من اعماق قلبي تقبل تحياتي