ثورة إستراتيجيات الحوكمة وتأمين البيانات



أدى عدد متزايد من المبادرات المستندة إلى البيانات ، إلى جانب زيادة الطلب على الأمن في الحوكمة وإدارة البيانات والامتثال ، إلى ظهور نهج أكثر شمولية في الإدارة المتكاملة للمخاطر .
الحوكمة وإدارة المخاطر و الإمتثال  (GRC) هي تقنية حديثة نسبياً تمكّن المؤسسات لإدارة الامتثال و أمن البيانات الخاصة بهم. يرتبط عادةً بأمان البيانات ، ولكن يمكن أن يشمل أيضًا اتفاقيات استرداد البيانات ومستوى الخدمة مع أطراف ثالثة.
يقول كولن تانكارد ، المدير الإداري لشركة “Digital Pathways”   "أن (GRC)  تركز على منع فقدان البيانات من خلال الهجوم أو الكوارث أو سرقة الهوية أو الاحتيال". "هذا مدفوع بالقوانين والمتطلبات التنظيمية ، خاصةً حول البيانات التي تحتفظ بها الشركة على العملاء والموظفين ، ومن لديه حق الوصول إلى هذه البيانات."
يشمل ال GRC   المتطلبات المختلفة المتوقعة من معالجة البيانات. كما يركز مركز على ثلاثة مجالات رئيسية:
1-    الحوكمة - نهج الإدارة الشامل للمؤسسة باستخدام أنظمة إدارة المعلومات وهياكل الرقابة الهرمية لضمان الالتزام.
2-    إدارة المخاطر - تحديد وتحليل والاستجابة للمخاطر المحتملة التي يمكن أن تعرقل المؤسسة في تحقيق أهدافها.
3-    الامتثال - ضمان توافق المؤسسة مع اللوائح والسياسات التنظيمية في تسليم البيانات باستخدام أدوات إدارة البيانات.
لذلك ، تتضمن الإستراتيجية الشاملة لل (GRC)  هذه الأهداف:
Ø     إدارة الهوية وضوابط وصول المستخدمين إلى موارد البيانات.
Ø     تدقيق قوي لجميع وصول البيانات من قبل كل من الإنسان والآلة.
عادةً ما يكون GRC في نفس نطاق فريق تقنية المعلومات ، وأحيانًا يكون هناك مسؤولًا عن الامتثال compliance officer ، لكنه نادرًا ما ينخرط مجالات الأعمال التجارية. وغالبا ما تطبق وجهة نظر الحوكمة للمخاطر ، وليس وجهة نظر الأعمال.
يقول تيم جاليجان ، المدير العام لعمليات أوروبا والشرق الأوسط وإفريقيا في SailPoint” "قيمة البيانات الأن أعلى من قيمة النفط ، ونحن ، كبشر ، نقوم بإنشاء أكثر من 2.5 إكسابايت من البيانات كل يوم". "لقد أحدثت "طفرة البيانات" هذه حقًا الحاجة الماسة لكل المؤسسات لكي تدير وتأمن بياناتها الخاصة". "كلما زاد حجم البيانات التي يتعين علينا إدارتها ، أصبح الأمر الأكثر صعوبة هو التحكم بشكل صحيح في من يمكنه الوصول إلى تلك البيانات ، وما الذي نفعله بها وكيف يتم تأمينها بالفعل. "
نظرًا لزيادة قدرات مشاركة البيانات داخل المؤسسات ، يتطور ال (GRC) الآن إلى إدارة المخاطر المتكاملة (IRM)   ، والتي توفر نهجًا أكثر شمولًا لإجراءات أمان بيانات المؤسسات. يقول دوغ ويك ، نائب رئيس المنتجات في “ALTR”  "الطبيعة الواسعة للبيانات الحساسة ، إلى جانب قضايا الأمن والخصوصية ذات الصلة التي تجلبها ، هي المحرك لإدارة المخاطر المتكاملة".
 إدارة المخاطر المتكاملة” IRM”  عبارة عن مجموعة من الإجراءات التي تمكن المؤسسة المدركة للمخاطر من استخدام التكنولوجيا والإستراتيجية لتسريع عملية صنع القرار والأداء ، من خلال التدخل البشري وكتب التشغيل الآلية - المستخدمة لتحديد السيناريوهات المحتملة ومن ثم إنشاء إجراءات لمنع تفاقم أي موقف ذو خطورة عالية.
يقول تانكارد: "يقدم إدارة المخاطر المتكاملة” IRM”    مراجعة مسبقة للمخاطر التي تنطوي عليها الشركة بأكملها قبل حدوث أي موقف ، ولكن مع دليل حول احتياجات العمل التي تعتمد عليها ، في كل موقف".

إدارة المخاطر المتكاملة” IRM” أو الحوكمة وإدارة المخاطر و الإمتثال  (GRC)؟


 إدارة المخاطر المتكاملة” IRMأو الحوكمة وإدارة المخاطر و الإمتثال  (GRC) ليست مناسبة لجميع المؤسسات. الشركات التي لديها هيكل إداري كبير وعدد كبير من الإدارات والموظفين ، وخاصة تلك المنتشرة في العديد من المواقع وحتى الدول ، ستكسب أكبر ميزة. من المرجح أن تجد المؤسسات الأصغر التي تضم عددًا محدودًا من الموظفين والإدارات ، وخاصة تلك التي يوجد مقرها في مكتب واحد ، فوائد لا تذكر.
وجدت الأبحاث الأخيرة التي أجرتها Exasol أن أكثر من نصف المبادرات التي تعتمد على البيانات في الشركات كانت فاشلة. بشكل ملحوظ ، كان أكثر من ربع هذه الإخفاقات بسبب نقص المهارات - والوضع أسوأ في صناعات التجزئة والخدمات المالية. تتعلق أكثر أسباب الفشل في مثل هذه المبادرات بتوحيد البيانات وترحيل البيانات والامتثال للائحة العامة لحماية البيانات (GDPR)”  .
نظرًا لأن إدارة المخاطر المتكاملة” IRM” هو نهج أكثر تكاملاً من الحوكمة وإدارة المخاطر و الإمتثال  (GRC) ، فإن هذا يوفر للمديرين التنفيذيين فهمًا شاملاً للمخاطر والفرص التي تواجه مؤسستهم.
أحد الاختلافات الرئيسية بين إدارة المخاطر المتكاملة” IRM” و الحوكمة وإدارة المخاطر الإمتثال  (GRC)  هو أن GRC  يميل إلى العمل بمعزل عن غيره ، أو في جزيرة منعزلة ، بينما ال “IRM”  يتعامل مع زيادة مشاركة البيانات داخل المؤسسات .
يقول تانكارد: "لقد بدأ الناس في استخدام أشياء مثل الحوكمة والامتثال كوسائل للتحقق من وضعهم الأمني". "لكنهم لا يميلون إلى جلب الجوانب الأخرى من الموارد البشرية والقانونية."
على سبيل المثال ، على الرغم من أن التخزين السحابي  “Cloud Storage”هو مسؤولية تكنولوجيا المعلومات ، إلا أنه يمكن أن يؤثر على جميع جوانب عمليات المؤسسة. وبالمثل ، في حالة عدم توفر قاعدة بيانات موظفي المؤسسة (التي عادة ما تكون مسؤولية الموارد البشرية) ، يمكن أن تتفاقم هذه المشكلة بسرعة وبصورة كبيرة في جميع أنحاء المؤسسة.

مزيد من الأمن والرقابة التنظيمية


في نهاية المطاف ، تعزز IRM ثقافة الإدارة من أعلى لأسفل وتركز على الأمن وتركز على المخاطر داخل المؤسسة.
يتيح النهج الموحد الذي يسمح به IRM للمؤسسات الفرصة للحصول على مستوى أكثر تماسكًا في حوكمة المؤسسات.
وعلى عكس GRC ، فإن IRM تدمج نفسها بطبيعتها داخل هيكل المؤسسة ، على جميع المستويات ، وتمكين المديرين التنفيذيين بفهم أكبر لما يحدث ، بالإضافة إلى تمكين الاستجابة السريعة للتهديدات الناشئة. يقول Galligan من SailPoint: "إن خلق ثقافة المسؤولية الفردية والجماعية يساعد على تقليل الروابط الضعيفة ، وكذلك حماية أصول الشركة".
IRM توفر قدر أكبر من حوكمة المؤسسات أثناء ممارسة الأعمال ، فإن هذا يسمح للمؤسسات بالامتثال للوائح بشكل أفضل عن طريق تحديد كيفية استخدام البيانات. ثم يتم نشر البروتوكول الناتج في جميع أنحاء المؤسسة على المستوى التشغيلي.
يقول تانكارد إن المطالب التنظيمية للائحة العامة لحماية البيانات “GDPR” جعلت الرقابة الأمنية أكثر تعقيدًا. يقول: " إن اللائحة العامة لحماية البيانات  “GDPR” هو تشريع جيد ، لأنه أعاد الكثير من القوة للفرد حول من يستخدم بياناتنا ويوقف إساءة استخدامها". "ومع ذلك ، فقد جعل الأمر معقدًا للغاية من حيث الحوكمة بشأن من ينبغي - وينبغي ألا يُسمح له - بالاطلاع على البيانات التي تجمعها المؤسسات عن المستخدمين."
يتيح اتباع نهج متكامل استجابة سريعة لهذه المسائل التشريعية و القانونية من خلال تمكين الأفراد المطلوبين من الوصول إلى ما يحتاجون إليه ، عندما يحتاجون إليه.

القضاء على الجزر المنعزلة وتحسين الكفاءة


عادةً ما يكون لدى GRC إدارات تعمل بمعزل عن بعضها البعض ، وهو ليس مجرد استخدام غير فعال للوقت والموارد ، ولكن يمكن أن يؤدي أيضًا إلى تكرار العمل ، حيث تؤدي عدة إدارات نفس المهمة. هذا الازدواجية في الجهود يمكن أن تحدث إرتباكا ، فضلا عن زرع عدم الثقة بين الإدارات.
يقول تانكارد: "عندما كان الأمر مجرد خطر عام والامتثال ، وجدنا أن الكثير من الأشياء تتكرر". "لم يكن هناك تفكير مشترك ، والتي كانت مشكلة حقيقية. لقد واجهنا مواقف قد تكون لدينا فيها دائرة تأتي إلينا ونريد أن نضع حل مراقبة لأنهم لا يثقون حقًا بما تقوله تقنية المعلومات. "
وبالمقارنة ، فإن الفائدة الأساسية لـ IRM هي أنه يمكن للمؤسسات الآن الحصول على فهم  كلي وأعمق بكثير لمخاطرها وتداعيات هذه النخاطر. يوفر هذا الوعي المتكامل فرصة لا مثيل لها لزيادة الكفاءة داخل الهياكل المؤسسية ، وتحسين القدرة على التكيف مع الأحداث ، وزيادة الوعي بالمخاطر التي تواجهها وكيف يمكن تخفيفها.
من خلال هذا ، IRM يحسن بطبيعته كفاءة التشغيل لعمليات الشركة. بدلاً من مشاركة المعلومات عبر أنظمة متعددة ، حيث يحدث تأخر ، يتم مشاركة كل شيء بالتساوي في جميع أنحاء المؤسسة ، مما يسمح للإدارات بالوصول الفوري والملائم إلى المعلومات ، بمجرد توفرها.
كما تسمح هذه المنهجية للمؤسسات بتسليط الضوء على التكرار في إجراءات التشغيل الخاصة بها ، وبالتالي زيادة تبسيط سير العمل وتحسين الإنتاجية.

إيجاد الفرص مع المخاطر المحسوبة

بفضل الرقابة المتزايدة التي تقدمها IRM ، ستتمكن المؤسسات من تحديد فرص أعمال جديدة ضمن عملياتها الحالية.
قد تتجنب الشركات المخاطرة ، خاصة في هذه الأوقات المضطربة ، ولكن يمكن أن يبرز IRM الفرص التي تتوازن بشكل إيجابي مع المخاطر المحسوبة. توفر النظرة الشاملة لعمليات الأعمال نظرة ثاقبة حول مجموعة من الاحتمالات ، المخاطر والفرص ، التي ربما لم يتم النظر فيها من قبل.
بالنظر إلى الطبيعة التنافسية الشديدة للسوق ، وكذلك المعدل المذهل للتغير في التطور التكنولوجي ، يجب أن تظل المؤسسات قادرة على المنافسة للبقاء في الأسواق. طريقة واحدة للقيام بذلك هي عن طريق تحديد الفرص وفهم المخاطر المرتبطة بها.
ولكن بالنسبة لجميع مزايا IRM ، تظل هناك تحديات متأصلة في تنفيذها بشكل صحيح داخل المؤسسة.
يعتبر الكثيرون أن أفضل وقت لاعتماد IRM هو في أقرب وقت ممكن ، لجني الفوائد في وقت مبكر. قد يكون لدى بعض المؤسسات بالفعل النظم المعمول بها ، ولكنها ستحتاج إلى تجميعها جميعًا حتى تصبح متكاملة.
يقول تانكارد: "لا تحتاج الشركات بالضرورة إلى وضع مجموعة كاملة من الأنظمة الجديدة". "إنها فقط تجمعها بشكل أفضل مما هي عليه في الوقت الحالي ، بدلاً من كونها جزر صغيرة. يجب أن تحاول حل هذه الجزر ، والطريقة الوحيدة التي ستقوم بها هي تكامل عمليات الإدارة معًا والتأكد من فهم الصورة الكلية للأعمال.
"يجب أن يكون الأمر فوريًا لأن الأمور تحدث الآن وفي الذي تقرأ فيه هذه السطور، وإذا لم تكن تفعل ذلك بالفعل ، فعليك التفكير في تبسيط الأمر حقًا."
ومع ذلك ، فإن الجمع بين هذه الأنظمة يمكن أن يكون الجانب الأكثر تحديا. من المهم بشكل خاص ضمان دمج جميع الأنظمة بشكل صحيح في الهيكل الجديد ، وكذلك أن كل فرد وإدارة لديه حق الوصول المناسب إلى المعلومات من أجل أداء واجباتهم ، مع الحفاظ أيضًا على معايير حماية البيانات الضرورية.
يقول ستيفن رالف ، مدير المنتج في زاريون: "إنه تحدٍ للناس عند تخصيص العمل ، لأنهم يجب أن يكونوا مدركين للمخاطر المرتبطة بهذا العمل". "هناك مطالب كبيرة على الأشخاص بتطبيق السياسات الصحيحة ، للتأكد من أنهم لم يتخطوا اللوائح ، وأنهم يمتثلون للوائح والإرشادات".

الحفاظ على المميزات تتطلب مهارات متخصصة


يتطلب IRM استثمارًا كبيرًا في كل من الوقت والموارد حتى يتم تأسيسه بشكل صحيح ، قبل أن يتم جني الفوائد.
لسوء الحظ ، نظرًا لطبيعة IRM الفنية للغاية ، فإن عددًا محدودًا فقط من الأفراد لديهم مجموعة المهارات المناسبة. "يجب أن يتمتع كل من يشارك في إدارة المخاطر بالمهارات والقدرة على استيعاب وفهم صلاحيات GRC و IRM" ، كما يقول ALTR's Wick.
ومع ذلك ، هناك العديد من الخيارات المتاحة.
§       الأول هو ببساطة توظيف الموظفين المطلوبين ، مع خبرة في اعتماد IRM ، من أجل اكتساب المهارات المطلوبة. هذا هو الأكثر تكلفة في رأس المال البشري ، ولكن أيضًا الأكثر قابلية للتطبيق ، إذا أرادت المؤسسات اعتماد IRM عاجلاً وليس آجلاً.
§       البديل هو تدريب الموظفين الحاليين على الاستعداد لاعتماد IRM. يمكن أن يكون هذا استخدامًا فعالًا لرأس المال البشري ، ولكن هناك مشكلة مفادها أن الكثير من المعرفة ستكون نظرية ولن يتم اختبارها في الممارسة. كما أنه ينطوي على مخاطر أن هؤلاء الموظفين قد يغادروا المنظمة قبل اعتماد IRM.
§       أخيرًا ، يمكن للمؤسسات تعيين مستشارين مستقلين لتنفيذ إدارة مخاطر المؤسسات داخل الشبكة. على الرغم من أن هذا هو الأقل كثافة من حيث رأس المال البشري من حيث اكتساب المهارات ، إلا أنه أيضًا الأقل كفاءة من حيث الاستثمار في الأعمال ، لأن المنظمة تفقد هذه المهارات بمجرد اكتمال العقد.
يمكن أن يمثل استثمار هذه الموارد تحديًا كبيرًا للمؤسسة ذات الموارد المحدودة ، ولكن يمكن تخفيف ذلك إلى حد ما عن طريق التخطيط المسبق الكافي ، وزيادة الوعي باحتياجات العمل وتحديد أولويات الاستثمارات.
التحديات التي تواجه المؤسسات التي ترغب في تبني IRM ليست مستعصية على الحل ، لكنها موجودة. بالنسبة للمؤسسات الكبيرة ، يمكن أن تفوق الفوائد المخاطر بدرجة كبيرة ، مما يسمح لها بأن تصبح في وضع أفضل للحفاظ على ميزتها التنافسية في المستقبل.
يقول محمود أبوالحسن: "أن البداية في أقرب وقت يمكن أن يوفر الكثير من الفرص للمؤسسات التي سوف تؤثر إيجابيا على عملياتها الداخلية و تحسن من بيئة الأعمال وتمنع أي تسرب أكيد في بياناتها ".
المصدر:

Comments

Popular posts from this blog

Benefits of SMS Marketing for Small Business

SETUP AND CREATE YOUR BUSINESS MARKETING BLOG

De Kare-Silver’s electronic shopping test