.png)
§ بقلم : ايهاب نجيب
§ خبير تكنولوجيا المعلومات
في المقال السابق بدأنا في استعراض التوازن بين التأمين و التطوير و تحقيق التوازن بينهما. وفي هذا المقال نستعرض بعض الخطوات الواجب اتباعها للوصول لنقطة التوازن المطلوبة بين التطوير والتأمين.
الخطوة الاولى: تغيير المناخ العام في المؤسسة بدءا من متخذي القرار الى العاملين في تكنولوجيا المعلومات وصولا الى الموظفين العاديين للتأكيد على انه لا غنى عن التطوير في أي مكان كما أنه لا غنى عن التأمين والحفاظ على السرية. فبدون التطوير ستعاني المؤسسة من الجمود وعدم القدرة على انجاز العمل بشكل أسرع يواكب الكم الهائل من المعلومات والبيانات المتسارعة وعدم الاستفادة منها كما ستعاني من عدم القدرة على خفض التكاليف أو توفير ادوات تكنولوجية حديثة ذات امكانيات عالية تمكن المؤسسة من تقديم خدمات أو منتجات عالية الجودة ترضي العملاء. كما أنه هذه الحالة من الجمود ستؤدى حتما الى تفوق المنافسين وتقدمهم وتترك المؤسسة تدريجيا في وضع لا يحسد عليه.
و في الحقيقة ان النقطة الاكثر خطورة في أغلاق الباب امام التطوير خصوصا في ظل التحول الرقمي و توفر التكنولوجيا بشكل غير مسبوق في أيدى كل الناس أن العديد من المستخدمين – بالذات الشباب منهم – سيلجأ لإيجاد بدائل بشكل منفصل و فردى لا تعتمد على المؤسسة ولا فرق نظم المعلومات والتأمين فيها مما يسمى بتكنولوجيا معلومات الظل Shadow IT وستكون النتيجة تعريض المؤسسة لاختراقات اخطر و الامثلة على ذلك كثيرة نراها جميعا في مؤسساتنا المختلفة حتى المؤسسات شديدة الحساسية منها. مثالا لذلك بعض تطبيقات المحمول والتي تستخدم في التواصل لأغراض العمل بشكل واسع بين العاملين دون الالتفات للتأمين و الاسئلة الواجب الاجابة عليها قبل الاستخدام - كأين يتم تداول معلوماتنا اثناء التواصل أو اثناء الحفظ و من يمكنه الاطلاع على تلك المعلومات و استخدامها و لأى مدى يتم حفظها و ....خلافه - كأننا نهدى قراصنة المعلومات هدية على طبق من ذهب لاستغلالها دون عناء يذكر. هذه البرامج تم تداولها من قبل المستخدمين في المؤسسات المختلفة في ظل غياب البديل المؤمن بشكل كاف من قبل فرق تكنولوجيا المعلومات والتأمين مما يتسبب كل يوم في تعريض معلومات كثيرة – قد يكون بعض منها على درجة من الحساسية – للخطر الشديد.
من ناحية أخرى بدون التأمين حدث ولا حرج عن الاختراقات الكارثية المحتمل حدوثها وما يستتبعها من الاضرار القومية والمالية والمعنوية وغيرها. كما أنها يمكن ان تلقى بالمسئولين عن المعلومات في المؤسسات المختلفة تحت طائلة القانون في ظل استحداث قوانين دولية و محلية - كقانون حماية المعلومات و قانون الجرائم الالكترونية و قانون الاتحاد الأوروبي لحماية المعلومات GDPR - والتي تلزم المتعاملين مع البيانات بضرورة تأمينها تأمينا مناسبا و الابلاغ الفوري عن أي اختراق.
وبالتالي المستهدف من تغيير المناخ هو بناء قناعة لدى الجميع بضرورة مراعاة الجانبين التطوير والتأمين وضرورة العمل على قدم وساق في الملفين على التوازي دون تغليب عنصر على الاخر. كما يلزم في الحقيقة لتغيير المناخ العام لتهيئة المجال لحركة التطوير والتأمين عملا موازيا على مستوى اللوائح الداخلية والسياسات والقوانين الاجرائية التي تلزم كافة المتعاملين مع المعلومات الالتزام بإجراءات ومحاذير تتماشى مع القوانين المحلية والدولية وتوضح الحقوق والواجبات للمسؤولين والمستخدمين.
ثانيا: بناء الهيكل الإداري الذي يعكس تلك الرؤية. فلا بد من وجود فرق تبحث في ملف التطوير وتعمل على دفعه للأمام تعي جيدا طبيعة العمل داخل المؤسسة وتدرس كيفية استخدام تكنولوجيا المعلومات للنهوض بمستوى استخدام تكنولوجيا المعلومات. كما يجب أن يكون هناك فرق للتأمين على درجة عالية من الخبرة لتأمين كافة جوانب نظم المعلومات على كافة المستويات بدءا من مستوى التأمين الفيزيائي الذي يشمل الابواب وكاميرات المراقبة وخلافه مرورا الى تأمين الاجهزة التي يتم العاملين استخدامها للوصول للمعلومات والتطبيقات – سواء كانت اجهزة مملوكه للعمل أو اجهزة شخصية – الى تأمين قواعد البيانات وخوادم التطبيقات وغيرها سواء كانت موجودة على الحوسبة السحابية او داخل مركز الحاسب الآلي للمؤسسة.
كما يجب عند بناء الهيكل الإداري الفصل التام بين فرق التطوير والتأمين واعطاء كلا من الفريقين صلاحيات منفصلة ومتوازنة. لأنه في حالة تغليب فريق التطوير على التأمين ستكون النتيجة السير في اتجاه التطوير وسيكون التأمين هامشيا وخصوصا عند تجاوز الميزانية او الوقت المحدد للمشروع. وإذا حدث العكس وأعطينا فريق التأمين اليد العليا سيعطل فريق التأمين كافة المشاريع بدعوى التأمين، وكما هو متعارف أنه لا يوجد شيء في العالم مؤمن بنسبة مائه بالمائة فستكون النتيجة دائما رفض التطوير. وانما الوضع الامثل هو التوازن بين الفريقين مع وجود شخص أو لجنة أو مدير عام للطرفين يقوم بالفصل في حالة الاختلاف حسب الحالة.
ثالثا: نشر المعرفة اللازمة والتدريب لكيفية التعامل مع المعلومات ودرجات حساسيتها المختلفة والقوانين المنظمة لها والاجراءات الواجب اتباعها عند التعامل مع تلك المعلومات لضمان عدم الوقوع تحت طائلة القانون أو التسبب في اختراقات او تسريبات غير متعمدة أو اعطاء الفرصة للقرصنة المعلوماتية. كما يجب أن يتم التدريب على أحدث التطورات التقنية ومميزاتها ومحاذيرها وكيفية التعامل معها في بيئة العمل استعمالا امنا.
ثالثا: رسم خطة استراتيجية لنظم المعلومات وكيفية العمل على التطوير بالتوازي مع التأمين. يجب ان تركز الخطة بعد دراسة مستفيضة مستعينة بخبراء متخصصين على كيفية التطوير والنهوض بالعمل داخل المؤسسة وتغيير شكله ومستلزماته وتغيير الطريقة التقليدية التي يتم بها ليكون تغييرا حقيقيا يوفر الوقت والجهد والمال ويحقق تقدما في فعالية الموظفين و تغييرا حقيقيا في شكل المنتج أو الخدمة النهائية. قد يتطلب هذا التغيير تعديلا في طريقة اداء العمل أو خطواته للتيسير. كما يجب أن تركز الخطة على التأمين لتغطى كل اجزاء الحلول التكنولوجية واستخدام الاجهزة. يلي بناء الخطة الخطوة الرابعة: تنفيذ الخطة باستخدام التكنولوجيات والحلول المتاحة. وهنا يتم اختصار تطبيق الخطة السابق ذكرها كن طريق تقسيمها لحلول تكنولوجية مختلفة تشمل ما سبق تحديده من مساحات للتطوير والتحديث والتأمين.
خامسا: المتابعة والتقييم والتحديث فهي عملية متجددة يتم تكرارها بشكل دوري حسب طبيعة العمل ومستهدفاته على المدى المتوسط والطويل ودرجة اعتماده على التكنولوجيا والتحديات التي تواجه متخذي القرار.
في الواقع كانت هذه المقالة محاولة بسيطة للفت الانظار للعديد من النقاط كوجوب التوازن بين التأمين والتطوير وماهي النتائج المترتبة عن تغليب ملف منهم لصالح الاخر. وكما نرى انها تبدأ كما هو الحال دائما بتغيير المناخ وأحسب أن هذا هو ما تحتاج اليه صناعة تكنولوجيا المعلومات في مصر الان. وتكون الخطوة الأخيرة في التنفيذ بعد نشر الوعي وبناء الهياكل والتخطيط والا سيكون التنفيذ دون طائل أو جدوى. أعلم أن الاجابة للأسئلة ليست بسيطة ولكنه عالم معقد يزداد تعقيدا كل يوم والاجابات فيه يجب ان تكون مبنية على التوازن ومراعاة العديد من العناصر في نفس الوقت. وكما نعلم جميعا ان الناجحون في عالمنا المعاصر هم من يستطيعون الحفاظ على التوازن اللازم في قراراتهم الاستراتيجية وكذلك في قراراتهم اليومية...
إيهاب نجيب
أخصائي نظم المعلومات
