الرئيسية / أمن المعلومات / وضع أمن المعلومات في المملكة — تجرتبي خلال إدارتي لمركز التميز

وضع أمن المعلومات في المملكة — تجرتبي خلال إدارتي لمركز التميز

خلال فترة عملي رئيساً لمركز التميز لأمن المعلومات في جامعة الملك سعود لمدة خمسة أشهر (من شهر فبراير إلى جون)، التقيت بقيادات أمن وتقنية المعلومات في الخليج العربي في أكثر من  ٢٦ جهة. كانت هذه الجهات تنتمي إلى قطاعات عسكرية، صحية، حكومية، تقنية، تعليمية وخدمية. تعرفت فيها على مجموعة من القيادات والكفاءات السعودية والخليجية التي تجعل كل مواطن سعودي وخليجي يفخر بوجود من يعمل بجد وإخلاص في الرقي بمستوى أمن وتقنية المعلومات في المنطقة. في هذه المقالة القصيرة سأسلط الضوء على ثلاثة ملاحظات رئيسية لمستها في وضع أمن المعلومات في المنطقة.

قلة الكوادر البشرية

منطقة الخليج تشترك مع بقية دول العالم في كون مختصي أمن المعلومات أحد الموارد البشرية النادرة والتي يحتاجها أي بلد. ففي أمريكا لوحدها تقدّر التقارير وجود أكثر من ٢٠٩ آلاف وظيفة شاغرة في مجال أمن المعلومات. وفي تقرير صدر عن شركة سسكو العالمية بعنوان (Mitigating the Cybersecurity Skills Shortage)، يقدر العجز العالمي في وظائف أمن المعلومات بقرابة مليون وظيفة شاغرة. ويتوقع أن يصل الطلب إلى ٦ ملايين وظيفة في المجال بحلول عام ٢٠١٩م. كان هذا العجز في الكفاءات جلياً في جميع الجهات التي زرتها. وفي ظل التحديات التي تمر بها المنطقة والتهديدات لبناها التحتية الرقمية، فإن المنظمات تعيش تحت ضغط كبير لتأمين أصولها التقنية. سبّب هذا الوضع ظهور ظاهرتين رئيسيتين:
  • تسلق العديد من غير المختصين بمجال الأمن السيبراني رغبة بملئ هذا الفراغ والاستفادة من الفرص الموجودة في السوق. فتجد عند زيارة العديد من الجهات أن من يلقب بخبير أمن المعلومات، لا يمتلك الكثير من الخبرة أو المعرفة في هذا المجال.
  • تحول العديد من المختصين في مجال تقنية المعلومات إلى مختصين في أمن المعلومات بعد أخذ مجموعة من الدورات.

web-security-expert-comic-vaugeness

أدى ظهور هاتين الظاهرتين إلى قيام عدد كبير من المنظمات إلى الاستثمار الكبير في أحدث منتجات أمن المعلومات لتأمين بناها التحتية وصرف الملايين من الريالات. ليس هذا خطأً بحد ذاته، لكن كان العائد على المنظمات من هذا الاستثمار أقل بكثير من المبالغ التي استثمرتها في هذا المجال. أحد الأسباب الرئيسية في وجهة نظري لانتشار مثل هذه الاستثمارات، هو إما عدم وجود خبرة كافية لدى بعض الجهات أو تخصص بعض أفرادها في مجال محدد والتركيز في الاستثمار فيه من غير النظر إلى الصورة الكلية في أهمية تكامل الأنظمة لتقديم الحماية المتوقعة وموائمتها للبنية التحتية الحالية. فتجد العديد من الجهات لديها من المنتجات ما يوازي قدرات سيارة لمبرجيني، ولكنها تُقاد وتطبق في بيئة توازي شارع لم يتم رصفه ومليء بالحفريات. فتكون النتيجة، ليس فقط عدم الاستفادة مما وفرته هذه المنتجات وهدر كثير من الميزانيات، بل إعطاء المنظمات الإحساس غير الصادق بالأمان الرقمي، فتجد قيادة المنظمة تتفاجأ عند تعرضهم لأي اختراق!

ضعف الثقافية الأمنية

أمن المعلومات يعتمد على حماية جميع الحلقات في المنظومة الأمنية — وهي العنصر البشري (People)، العمليات (Processes) والتقنيات (Technology). كما أن المخترق ينجح باختراق أضعف هذه الحلقات، بغض النظر عن قوة الحلقات الأخرى في المنظومة الأمنية. ولكون العديد مِن مَن يعملون في مجال أمن المعلومات مُحوِّلين من كونهم مختصين في تقنية المعلومات إلى مجال أمن المعلومات، نجد التركيز بالشكل الكبير على التقنيات والاستثمار فيها. لكن المتأمل إلى  أكبر حادثتين تعرضت لهما المملكة العربية السعودية (في أرامكو ووزارة الخارجية)، كان الاختراق بسبب تصرف خاطئ من أحد أفراد المنظمة.

data-security-human-error-comic

كانت كثير من الجهات التي زرتها لديها ضعف كبير في الاستثمار في تعزيز الوعي الأمني لدى منسوبيها بشكل عام. كان المركز هو الجهة الوحيدة في المملكة (في حد علمي) التي تقدم حملات توعوية متكاملة للمنظمات لتعزيز الحس الأمني (Situational Awareness) لدى منسوبيها. فنجد العديد من الظواهر مثل: مشاركة الرقم السري، استخدام أجهزة التخزين المتنقلة غير معروفة المصدر وغيرها من الممارسات ظاهرة الانتشار.

ضعف التصميم الأمني (Security Architecture and Design)

عند زيارتي للعديد من المنظمات، وجدت لديها العديد من الخطط الاستراتيجية (والتي كان كثير منها مقرها الأدراج)، والعديد من السياسات وكمّ كبير من الأدوات الأمنية. لكن كان أحد الركائز الغائب بشكل كبير هو التصميم الأمني للبنية التحتية لأمن المنظمات (Security Architecture & Design). أعني بهذا، عدم إعطاء الوقت والجهد الكافي (مع الندرة الشديدة في المتخصصين) في تصميم وهيكلة جميع الأدوات، العمليات والكوادر البشرية لتحقيق الأهداف الأمنية للمنظمة. فتجد العديد من الأدوات المتميزة والسياسات الرائعة، لكنها منفصلة عن بعضها، بل وربما تكون متعارضة مع بعضها مما يجعلها لا تؤدي العائد المرجو منها! أحد أكبر العوائق أن هذا العمل يتطلب فهم عميق لمختلف الأجزاء المتعلقة بأمن وتقنية المعلومات وما هي أفضل طريقة لتعمل مع بعضها البعض لتحقيق الأهداف الأمنية.

nerd-security-view-vs-real-world-view

أحد أكبر العوامل المشتركة بين  النقاط الثلاث أعلاه هو أهمية وضرورة وجود كوادر بشرية عالية التأهيل للارتقاء بمستوى أمن المعلومات. خلال إدارتي للمركز، التقيت ببعض الكوادر الوطنية المتميزة جداً، والتي كان بعضها يعمل في كبرى الشركات العالمية لحماية وسلامة البنية التحتية. لكن الطلب الهائل يفوق بأضعاف العرض الموجود في السوق. إضافة إلى أنه، وللأسف الشديد، أن كثيراً من هذه الكوادر لا تجد التقدير والتمكين لها. لذا لا بد من إيجاد العديد من المبادرات لملئ الفراغ في مجال أمن المعلومات والعمل على مبادرات وطنية وإيجاد العديد من الشراكات لتخريج جيل جديد من المختصين في مجال أمن المعلومات. أعلم عن عدد من المبادرات المشكورة، لكن نتمنى أن نرى المزيد منها خلال الفترة القادمة. ولعلي أتحدث عن بعض المبادرات في مقال قادم بإذن الله.

شاهد أيضاً

كن حذراً وبشدة هذه الأيام من الإيميلات التي تصلك مهما كانت تبدو موثوقة

كن حذراً وبشدة هذه الأيام من الإيميلات التي تصلك مهما كانت تبدو موثوقة. هناك حملة …

9 تعليقات

  1. أستاذي الكريم تركي المشيقح أشكرك على المقال الرائع. يوجد كوادر مدربة ولكن توجد مشكلة أكبر من قلة الكوادر وهي إنعدام الثقة بالكوادر الوطنية والتركيز على الأجانب بشكل كبير وللأسف يوجد مدراء سعوديون مهتمين بأمن المعلومات ولايحملون شهادات إحترافيه في مجال أمن المعلومات. لايرغبون بضم السعوديين للعمل في هذا المجال علماً بأن السعوديين يحملون عدة شهادات في الإختصاص المطلوب ولكن يتم التغاضي عن شهاداتهم لأسباب واهية والأسوء هو الخوف من السعودي.

    أعمل حالياً في شركة إتصالات كبيرة والقائمين على أمن المعلومات لايرغبون أو بصريح العبارة يفضلون توظيف الأجانب لكي يكون الأجنبي مرتبط بهم ويتم إخراج التقارير من خلال المدراء لتكون صورتهم حسنه لدى المدراء التنفيذين الأخرين. عدم الرغبة في توظيف أبناء البلد في التخصصات التي يرغبون بها وعلى رأسها أمن المعلومات ينبغي أن يكون من أولويات وزارة العمل ويجب أن تنسى محلات الإتصالات الصغيرة وتركز على مقدمي الخدمة. بكل صراحة عملت في أحد فروع المجال لمدة سنة وبعدها تم إجباري على العمل كمدير مشروع ومن ثم كأخصائي مشاريع وذلك لإخراجي والكثير غيري من المجال.

    • مقال رائع .

      وبخصوص اللي يشكر الاستاذ تركي المشيقح ارجو الانتقال إلى قسم الشعر والالعاب

    • أهلاً عبد الله ،،
      شاكر لك تعليقك ،،

      أتفق معك جزئياً بأنه لا يوجد الكثير من السعوديين ائين يعملون في هذا الجانب بسبب تفضيل الغير سعودي. لكن حقيقة، لا أرى أن هذا سبب مقنع. أعرق العديد من الكوادر الوطنية التي أثبتت نفسها في المجال وفي قدراتها، وفرضت الاعتراف بمهاراتها. لن تعطى فرصة العمل مالم تبادر بها، وتثبت مهاراتك فيها التي تفوق على غيرك.

  2. كلام سليم, قبل بضع سنوات ليست بالبعيدة كان يحتاج الشخص فقط الى سنتين دراسة مع التطبيق للدخول الى مهنة التمريض البشري (هذا إن ما كان النظام مازال معمول به في بعض الامكان), السبب هو قلة العاملين في المجال وكثرة الحاجه لهم.

    فلا تستغرب من حصول امر مشابه في تخصص امن المعلومات

    • عزيزي عبد الله ،،
      يا ليت أن ياخذ هؤلاء سنتين تخصصية في المجال. لكن الحاصل للأسف أن الكثير يخذ دورة أو دورتين ومن ثم يقوم بعرض نفسه كمتخصص وخبير في هذا المجال.

  3. مقال جميل دكتور محمد , لكن دعني أوضح بعض الأمور التي أختلف معاك فيها..
    بخصوص تحول البعض من تقنية المعلومات إلى أمن المعلومات ..
    لا أرى أن هذه مشكلة كل المجالين مرتبطين بحد كبير , فبناء الأنظمة من خلال تقنية المعلومات تحتاج لشخص كذلك لديه خبرة في أمن المعلومات وكيف يبني نظام محمي بقدر المستطاع .

    فنقطة تحول الكثير من تقنية المعلومات إلى أمن المعلومات ليست مشكلة , المشكلة أن المتخصيين في أمن المعلومات ليس لديهم العلم التطبيقي الكافي لحماية المعلومات مع أن الكثير لديهم شهادات عالية جداً فتجده لديه بكالوريوس وماجستير في أمن المعلومات ولكن العلم التطبيقي ضعيف جداً ولهذا السبب الكثير ينتقل من تقنية المعلومات إلى أمن المعلومات لأن الأشخاص في تقنية المعلومات لديهم علم تطبيقي عالي وأنت تعرف أساس تقنية معلومات هو العلم التطبيقي.

    كذلك المشكلة التي لم تتحدث عنها أن متخصصي أمن المعلومات لديهم ضعف كبير في فهم تفاصيل الأمور في حماية الأنظمة , أقصد تجد الخبير المتخرج بكالوريوس وماجستير في أمن المعلومات لا يقوم بإعداد مثلاً جدر الحماية بشكل دقيق مع الأخذ بعين الإعتبار جميع تفاصيل طرق الحماية, نعم هو فاهم في طرق الإختراق وأمور الحماية ولكن ليس بكامل تفاصيليها .
    أعطيك مثال , قليل تجد سعودي فاهم في (جميع) تفاصيل ألية إعداد جدر حماية التطبيقات (WAF) معه أنه لديه بكالوريوس وماجستير في أمن المعلومات ..

    • شكراً لتعليقك عزيزي محمد ،،

      بخصوص تحول البعض من تقنية المعلومات إلى أمن المعلومات ..
      لا أرى أن هذه مشكلة كل المجالين مرتبطين بحد كبير , فبناء الأنظمة من خلال تقنية المعلومات تحتاج لشخص كذلك لديه خبرة في أمن المعلومات وكيف يبني نظام محمي بقدر المستطاع .

      هي ليست مشكلة بحد ذاتها. لكن عندما ينعت هذا الشخص نفسه بـ”خبير” أمن المعلومات ومن ثم يكون تركيزه فقط على التقنيات الأمنية، تحصل المشكلة. فكما ذكرت، الكثير من الجهات تجد لديها آخر وأفضل التقنيات، لكن ينقصها الكثير من الخطوات التي لا تقل أهمية لحماية البنية التحتية للمنظمة.

      كذلك المشكلة التي لم تتحدث عنها أن متخصصي أمن المعلومات لديهم ضعف كبير في فهم تفاصيل الأمور في حماية الأنظمة , أقصد تجد الخبير المتخرج بكالوريوس وماجستير في أمن المعلومات لا يقوم بإعداد مثلاً جدر الحماية بشكل دقيق مع الأخذ بعين الإعتبار جميع تفاصيل طرق الحماية, نعم هو فاهم في طرق الإختراق وأمور الحماية ولكن ليس بكامل تفاصيليها .

      لتأمين أي منظمة ما بشكل صحيح لابد أن تؤخذ جميع الجوانب بعين الاعتبار. أحد هذه الجوانب هي الجوانب التقنية كما تفضل، لكن ليست هي كل شيء وليست كافية لوحدها. أتفق معك وجود خلل عند بعض متخصصي أمن المعلومات، أنهم يدعون معرفة كامل التفاصيل التقنية، مع أن الواقع خلاف ذلك.

      شاكر لك تعليقاتك مرة أخرى.

  4. اخي محمد
    استشاره مهمه جدا للبلد
    لتحقيق الامن المعلوماتي الكامل هل يلزمنا عزل مغدي air gapping شبكة تقنية المعلومات في شركه حيويه عن شبكة التشغيل والصيانه في بيئة الانتاج في مرفق حيوي لكي نضمن ١٠٠٪‏ عدم الاختراق خارجي وهي امكانية دول الى حدا كبير،

    • أهلا عزيزي فواز ،،

      Air Gapped Systems هي أحد وسائل الحماية في بعض التطبيقات التي تتطلب مستوى عالي من الأمن. هي أحد الحلول التقنية، لكن تطبيقها بالشكل الصحيح هو نقطة التحدي الحقيقية.

أضف تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *