ثورة إستراتيجيات الحوكمة وتأمين البيانات

-


أدى عدد متزايد من المبادرات المستندة إلى البيانات ، إلى جانب زيادة الطلب على الأمن في الحوكمة وإدارة البيانات والامتثال ، إلى ظهور نهج أكثر شمولية في الإدارة المتكاملة للمخاطر .
الحوكمة وإدارة المخاطر و الإمتثال  (GRC) هي تقنية حديثة نسبياً تمكّن المؤسسات لإدارة الامتثال و أمن البيانات الخاصة بهم. يرتبط عادةً بأمان البيانات ، ولكن يمكن أن يشمل أيضًا اتفاقيات استرداد البيانات ومستوى الخدمة مع أطراف ثالثة.
يقول كولن تانكارد ، المدير الإداري لشركة “Digital Pathways”   "أن (GRC)  تركز على منع فقدان البيانات من خلال الهجوم أو الكوارث أو سرقة الهوية أو الاحتيال". "هذا مدفوع بالقوانين والمتطلبات التنظيمية ، خاصةً حول البيانات التي تحتفظ بها الشركة على العملاء والموظفين ، ومن لديه حق الوصول إلى هذه البيانات."
يشمل ال GRC   المتطلبات المختلفة المتوقعة من معالجة البيانات. كما يركز مركز على ثلاثة مجالات رئيسية:
1-    الحوكمة - نهج الإدارة الشامل للمؤسسة باستخدام أنظمة إدارة المعلومات وهياكل الرقابة الهرمية لضمان الالتزام.
2-    إدارة المخاطر - تحديد وتحليل والاستجابة للمخاطر المحتملة التي يمكن أن تعرقل المؤسسة في تحقيق أهدافها.
3-    الامتثال - ضمان توافق المؤسسة مع اللوائح والسياسات التنظيمية في تسليم البيانات باستخدام أدوات إدارة البيانات.
لذلك ، تتضمن الإستراتيجية الشاملة لل (GRC)  هذه الأهداف:
Ø     إدارة الهوية وضوابط وصول المستخدمين إلى موارد البيانات.
Ø     تدقيق قوي لجميع وصول البيانات من قبل كل من الإنسان والآلة.
عادةً ما يكون GRC في نفس نطاق فريق تقنية المعلومات ، وأحيانًا يكون هناك مسؤولًا عن الامتثال compliance officer ، لكنه نادرًا ما ينخرط مجالات الأعمال التجارية. وغالبا ما تطبق وجهة نظر الحوكمة للمخاطر ، وليس وجهة نظر الأعمال.
يقول تيم جاليجان ، المدير العام لعمليات أوروبا والشرق الأوسط وإفريقيا في SailPoint” "قيمة البيانات الأن أعلى من قيمة النفط ، ونحن ، كبشر ، نقوم بإنشاء أكثر من 2.5 إكسابايت من البيانات كل يوم". "لقد أحدثت "طفرة البيانات" هذه حقًا الحاجة الماسة لكل المؤسسات لكي تدير وتأمن بياناتها الخاصة". "كلما زاد حجم البيانات التي يتعين علينا إدارتها ، أصبح الأمر الأكثر صعوبة هو التحكم بشكل صحيح في من يمكنه الوصول إلى تلك البيانات ، وما الذي نفعله بها وكيف يتم تأمينها بالفعل. "
نظرًا لزيادة قدرات مشاركة البيانات داخل المؤسسات ، يتطور ال (GRC) الآن إلى إدارة المخاطر المتكاملة (IRM)   ، والتي توفر نهجًا أكثر شمولًا لإجراءات أمان بيانات المؤسسات. يقول دوغ ويك ، نائب رئيس المنتجات في “ALTR”  "الطبيعة الواسعة للبيانات الحساسة ، إلى جانب قضايا الأمن والخصوصية ذات الصلة التي تجلبها ، هي المحرك لإدارة المخاطر المتكاملة".
 إدارة المخاطر المتكاملة” IRM”  عبارة عن مجموعة من الإجراءات التي تمكن المؤسسة المدركة للمخاطر من استخدام التكنولوجيا والإستراتيجية لتسريع عملية صنع القرار والأداء ، من خلال التدخل البشري وكتب التشغيل الآلية - المستخدمة لتحديد السيناريوهات المحتملة ومن ثم إنشاء إجراءات لمنع تفاقم أي موقف ذو خطورة عالية.
يقول تانكارد: "يقدم إدارة المخاطر المتكاملة” IRM”    مراجعة مسبقة للمخاطر التي تنطوي عليها الشركة بأكملها قبل حدوث أي موقف ، ولكن مع دليل حول احتياجات العمل التي تعتمد عليها ، في كل موقف".

إدارة المخاطر المتكاملة” IRM” أو الحوكمة وإدارة المخاطر و الإمتثال  (GRC)؟


 إدارة المخاطر المتكاملة” IRMأو الحوكمة وإدارة المخاطر و الإمتثال  (GRC) ليست مناسبة لجميع المؤسسات. الشركات التي لديها هيكل إداري كبير وعدد كبير من الإدارات والموظفين ، وخاصة تلك المنتشرة في العديد من المواقع وحتى الدول ، ستكسب أكبر ميزة. من المرجح أن تجد المؤسسات الأصغر التي تضم عددًا محدودًا من الموظفين والإدارات ، وخاصة تلك التي يوجد مقرها في مكتب واحد ، فوائد لا تذكر.
وجدت الأبحاث الأخيرة التي أجرتها Exasol أن أكثر من نصف المبادرات التي تعتمد على البيانات في الشركات كانت فاشلة. بشكل ملحوظ ، كان أكثر من ربع هذه الإخفاقات بسبب نقص المهارات - والوضع أسوأ في صناعات التجزئة والخدمات المالية. تتعلق أكثر أسباب الفشل في مثل هذه المبادرات بتوحيد البيانات وترحيل البيانات والامتثال للائحة العامة لحماية البيانات (GDPR)”  .
نظرًا لأن إدارة المخاطر المتكاملة” IRM” هو نهج أكثر تكاملاً من الحوكمة وإدارة المخاطر و الإمتثال  (GRC) ، فإن هذا يوفر للمديرين التنفيذيين فهمًا شاملاً للمخاطر والفرص التي تواجه مؤسستهم.
أحد الاختلافات الرئيسية بين إدارة المخاطر المتكاملة” IRM” و الحوكمة وإدارة المخاطر الإمتثال  (GRC)  هو أن GRC  يميل إلى العمل بمعزل عن غيره ، أو في جزيرة منعزلة ، بينما ال “IRM”  يتعامل مع زيادة مشاركة البيانات داخل المؤسسات .
يقول تانكارد: "لقد بدأ الناس في استخدام أشياء مثل الحوكمة والامتثال كوسائل للتحقق من وضعهم الأمني". "لكنهم لا يميلون إلى جلب الجوانب الأخرى من الموارد البشرية والقانونية."
على سبيل المثال ، على الرغم من أن التخزين السحابي  “Cloud Storage”هو مسؤولية تكنولوجيا المعلومات ، إلا أنه يمكن أن يؤثر على جميع جوانب عمليات المؤسسة. وبالمثل ، في حالة عدم توفر قاعدة بيانات موظفي المؤسسة (التي عادة ما تكون مسؤولية الموارد البشرية) ، يمكن أن تتفاقم هذه المشكلة بسرعة وبصورة كبيرة في جميع أنحاء المؤسسة.

مزيد من الأمن والرقابة التنظيمية


في نهاية المطاف ، تعزز IRM ثقافة الإدارة من أعلى لأسفل وتركز على الأمن وتركز على المخاطر داخل المؤسسة.
يتيح النهج الموحد الذي يسمح به IRM للمؤسسات الفرصة للحصول على مستوى أكثر تماسكًا في حوكمة المؤسسات.
وعلى عكس GRC ، فإن IRM تدمج نفسها بطبيعتها داخل هيكل المؤسسة ، على جميع المستويات ، وتمكين المديرين التنفيذيين بفهم أكبر لما يحدث ، بالإضافة إلى تمكين الاستجابة السريعة للتهديدات الناشئة. يقول Galligan من SailPoint: "إن خلق ثقافة المسؤولية الفردية والجماعية يساعد على تقليل الروابط الضعيفة ، وكذلك حماية أصول الشركة".
IRM توفر قدر أكبر من حوكمة المؤسسات أثناء ممارسة الأعمال ، فإن هذا يسمح للمؤسسات بالامتثال للوائح بشكل أفضل عن طريق تحديد كيفية استخدام البيانات. ثم يتم نشر البروتوكول الناتج في جميع أنحاء المؤسسة على المستوى التشغيلي.
يقول تانكارد إن المطالب التنظيمية للائحة العامة لحماية البيانات “GDPR” جعلت الرقابة الأمنية أكثر تعقيدًا. يقول: " إن اللائحة العامة لحماية البيانات  “GDPR” هو تشريع جيد ، لأنه أعاد الكثير من القوة للفرد حول من يستخدم بياناتنا ويوقف إساءة استخدامها". "ومع ذلك ، فقد جعل الأمر معقدًا للغاية من حيث الحوكمة بشأن من ينبغي - وينبغي ألا يُسمح له - بالاطلاع على البيانات التي تجمعها المؤسسات عن المستخدمين."
يتيح اتباع نهج متكامل استجابة سريعة لهذه المسائل التشريعية و القانونية من خلال تمكين الأفراد المطلوبين من الوصول إلى ما يحتاجون إليه ، عندما يحتاجون إليه.

القضاء على الجزر المنعزلة وتحسين الكفاءة


عادةً ما يكون لدى GRC إدارات تعمل بمعزل عن بعضها البعض ، وهو ليس مجرد استخدام غير فعال للوقت والموارد ، ولكن يمكن أن يؤدي أيضًا إلى تكرار العمل ، حيث تؤدي عدة إدارات نفس المهمة. هذا الازدواجية في الجهود يمكن أن تحدث إرتباكا ، فضلا عن زرع عدم الثقة بين الإدارات.
يقول تانكارد: "عندما كان الأمر مجرد خطر عام والامتثال ، وجدنا أن الكثير من الأشياء تتكرر". "لم يكن هناك تفكير مشترك ، والتي كانت مشكلة حقيقية. لقد واجهنا مواقف قد تكون لدينا فيها دائرة تأتي إلينا ونريد أن نضع حل مراقبة لأنهم لا يثقون حقًا بما تقوله تقنية المعلومات. "
وبالمقارنة ، فإن الفائدة الأساسية لـ IRM هي أنه يمكن للمؤسسات الآن الحصول على فهم  كلي وأعمق بكثير لمخاطرها وتداعيات هذه النخاطر. يوفر هذا الوعي المتكامل فرصة لا مثيل لها لزيادة الكفاءة داخل الهياكل المؤسسية ، وتحسين القدرة على التكيف مع الأحداث ، وزيادة الوعي بالمخاطر التي تواجهها وكيف يمكن تخفيفها.
من خلال هذا ، IRM يحسن بطبيعته كفاءة التشغيل لعمليات الشركة. بدلاً من مشاركة المعلومات عبر أنظمة متعددة ، حيث يحدث تأخر ، يتم مشاركة كل شيء بالتساوي في جميع أنحاء المؤسسة ، مما يسمح للإدارات بالوصول الفوري والملائم إلى المعلومات ، بمجرد توفرها.
كما تسمح هذه المنهجية للمؤسسات بتسليط الضوء على التكرار في إجراءات التشغيل الخاصة بها ، وبالتالي زيادة تبسيط سير العمل وتحسين الإنتاجية.

إيجاد الفرص مع المخاطر المحسوبة

بفضل الرقابة المتزايدة التي تقدمها IRM ، ستتمكن المؤسسات من تحديد فرص أعمال جديدة ضمن عملياتها الحالية.
قد تتجنب الشركات المخاطرة ، خاصة في هذه الأوقات المضطربة ، ولكن يمكن أن يبرز IRM الفرص التي تتوازن بشكل إيجابي مع المخاطر المحسوبة. توفر النظرة الشاملة لعمليات الأعمال نظرة ثاقبة حول مجموعة من الاحتمالات ، المخاطر والفرص ، التي ربما لم يتم النظر فيها من قبل.
بالنظر إلى الطبيعة التنافسية الشديدة للسوق ، وكذلك المعدل المذهل للتغير في التطور التكنولوجي ، يجب أن تظل المؤسسات قادرة على المنافسة للبقاء في الأسواق. طريقة واحدة للقيام بذلك هي عن طريق تحديد الفرص وفهم المخاطر المرتبطة بها.
ولكن بالنسبة لجميع مزايا IRM ، تظل هناك تحديات متأصلة في تنفيذها بشكل صحيح داخل المؤسسة.
يعتبر الكثيرون أن أفضل وقت لاعتماد IRM هو في أقرب وقت ممكن ، لجني الفوائد في وقت مبكر. قد يكون لدى بعض المؤسسات بالفعل النظم المعمول بها ، ولكنها ستحتاج إلى تجميعها جميعًا حتى تصبح متكاملة.
يقول تانكارد: "لا تحتاج الشركات بالضرورة إلى وضع مجموعة كاملة من الأنظمة الجديدة". "إنها فقط تجمعها بشكل أفضل مما هي عليه في الوقت الحالي ، بدلاً من كونها جزر صغيرة. يجب أن تحاول حل هذه الجزر ، والطريقة الوحيدة التي ستقوم بها هي تكامل عمليات الإدارة معًا والتأكد من فهم الصورة الكلية للأعمال.
"يجب أن يكون الأمر فوريًا لأن الأمور تحدث الآن وفي الذي تقرأ فيه هذه السطور، وإذا لم تكن تفعل ذلك بالفعل ، فعليك التفكير في تبسيط الأمر حقًا."
ومع ذلك ، فإن الجمع بين هذه الأنظمة يمكن أن يكون الجانب الأكثر تحديا. من المهم بشكل خاص ضمان دمج جميع الأنظمة بشكل صحيح في الهيكل الجديد ، وكذلك أن كل فرد وإدارة لديه حق الوصول المناسب إلى المعلومات من أجل أداء واجباتهم ، مع الحفاظ أيضًا على معايير حماية البيانات الضرورية.
يقول ستيفن رالف ، مدير المنتج في زاريون: "إنه تحدٍ للناس عند تخصيص العمل ، لأنهم يجب أن يكونوا مدركين للمخاطر المرتبطة بهذا العمل". "هناك مطالب كبيرة على الأشخاص بتطبيق السياسات الصحيحة ، للتأكد من أنهم لم يتخطوا اللوائح ، وأنهم يمتثلون للوائح والإرشادات".

الحفاظ على المميزات تتطلب مهارات متخصصة


يتطلب IRM استثمارًا كبيرًا في كل من الوقت والموارد حتى يتم تأسيسه بشكل صحيح ، قبل أن يتم جني الفوائد.
لسوء الحظ ، نظرًا لطبيعة IRM الفنية للغاية ، فإن عددًا محدودًا فقط من الأفراد لديهم مجموعة المهارات المناسبة. "يجب أن يتمتع كل من يشارك في إدارة المخاطر بالمهارات والقدرة على استيعاب وفهم صلاحيات GRC و IRM" ، كما يقول ALTR's Wick.
ومع ذلك ، هناك العديد من الخيارات المتاحة.
§       الأول هو ببساطة توظيف الموظفين المطلوبين ، مع خبرة في اعتماد IRM ، من أجل اكتساب المهارات المطلوبة. هذا هو الأكثر تكلفة في رأس المال البشري ، ولكن أيضًا الأكثر قابلية للتطبيق ، إذا أرادت المؤسسات اعتماد IRM عاجلاً وليس آجلاً.
§       البديل هو تدريب الموظفين الحاليين على الاستعداد لاعتماد IRM. يمكن أن يكون هذا استخدامًا فعالًا لرأس المال البشري ، ولكن هناك مشكلة مفادها أن الكثير من المعرفة ستكون نظرية ولن يتم اختبارها في الممارسة. كما أنه ينطوي على مخاطر أن هؤلاء الموظفين قد يغادروا المنظمة قبل اعتماد IRM.
§       أخيرًا ، يمكن للمؤسسات تعيين مستشارين مستقلين لتنفيذ إدارة مخاطر المؤسسات داخل الشبكة. على الرغم من أن هذا هو الأقل كثافة من حيث رأس المال البشري من حيث اكتساب المهارات ، إلا أنه أيضًا الأقل كفاءة من حيث الاستثمار في الأعمال ، لأن المنظمة تفقد هذه المهارات بمجرد اكتمال العقد.
يمكن أن يمثل استثمار هذه الموارد تحديًا كبيرًا للمؤسسة ذات الموارد المحدودة ، ولكن يمكن تخفيف ذلك إلى حد ما عن طريق التخطيط المسبق الكافي ، وزيادة الوعي باحتياجات العمل وتحديد أولويات الاستثمارات.
التحديات التي تواجه المؤسسات التي ترغب في تبني IRM ليست مستعصية على الحل ، لكنها موجودة. بالنسبة للمؤسسات الكبيرة ، يمكن أن تفوق الفوائد المخاطر بدرجة كبيرة ، مما يسمح لها بأن تصبح في وضع أفضل للحفاظ على ميزتها التنافسية في المستقبل.
يقول محمود أبوالحسن: "أن البداية في أقرب وقت يمكن أن يوفر الكثير من الفرص للمؤسسات التي سوف تؤثر إيجابيا على عملياتها الداخلية و تحسن من بيئة الأعمال وتمنع أي تسرب أكيد في بياناتها ".
المصدر:
https://www.computerweekly.com/feature/Data-management-strategies-are-evolving-so-must-enterprises?asrc=EM_EDA_119600616&utm_medium=EM&utm_source=EDA&utm_campaign=20191020_New%20law%20will%20help%20roll-out%20of%20faster%20broadband

Comments

Post a Comment

Popular posts from this blog

Benefits of SMS Marketing for Small Business

-
Image
Tweet Benefits of SMS Marketing for Small Business Compared to other forms of advertising, SMS marketing provides the lowest cost and highest return rate that is crucial in today’s shrinking economy and budgets. Most have cut back on traditional marketing due to costs. But that just drives down your sales. SMS marketing scales with your campaign and sales growth making the ROI higher the larger you grow, not the other way around. SMS marketing is also permission based. The customer has given you permission to contact them through our SMS platform. Customers that opt-in to receive information are most likely to buy over someone who receives a direct mail piece, reads your ad in the newspaper or hears your ad on the radio. Other main advantages of SMS marketing over traditional advertising: Cost:   The larger your campaign gets, the lower the costs become on a per customer basis. Reach: Your customer’s always have their mobile phone with them. No matter where
Read more

SETUP AND CREATE YOUR BUSINESS MARKETING BLOG

-
Image
Tweet Web logs or ‘ blogs ’ are best known as an easy method of publishing personal web pages which are online journals or diaries. But the power of business blogs, which are created by people within an organization, is often underestimated. Business blogs can be created by individuals, but they are often best with features from different columnists on different types of topics. This way, different columnists can specialize on different features or viewpoints just as for a magazine. If you think this way, they are a means of making an e-newsletter more interactive and more topical. Blogging software is incredibly good value, with many free tools. The following options can be considered when setup your blog: 1-         Moderation : Either open or closed to comments, with or without a moderator. Star rating of posts is a good option. 2-        Frequency : Five to twenty posts per month would be typical for a company site unless posted in multiple categories for a new sit
Read more

De Kare-Silver’s electronic shopping test

-
Image
Tweet Consumer electronic shopping analysis using De Kare-Silver’ factors that should be considered in the electronic shopping test: 1- The Characteristics of the product. a. Does the product need to be physically tried? or b. Touched before it is bought? 2- The degree of confidence and Familiarity  To which degree the consumer recognizes and trusts the product or brand. 3- The attributes of the consumer:  - Technology accessibility  - Skills available   - Willingness to shop for a product in a traditional retail environment To measure the suitability of buying a product online ranked as below and given a score out of 50: Typical results from the evaluation, where products are scored out of 50 for suitability for electronic commerce, are: - Books (38/50)  - Travel (31/50) - Groceries (27/50) - Mortgages (15/50) The product achieved a score higher than 20 has good potential as per  De Kare-Silver, and he suggested also that the companies m
Read more