النسخة السابعة لندوة الأمن السيبراني

الاستعانة بمصادر خارجية أو التفويض (outsourcing)، هي أن تعهد مؤسسة ما إلى شركاء خارجيين، بمهمة القيام بكل أو جزء من الأنشطة التي كانت تتولى القيام بها داخليا في السابق. عندما يتعلق الأمر بالأنشطة المرتبطة بنظم المعلومات، تحمل هذه الممارسة أسماء مثل الخدمات المدارة أو صيانة تطبيقات الطرف الثالث أو الحوسبة السحابية (المعلوميات السحابية). وهذه خطوات عملية مسموح بها على نطاق واسع، بل وغالبًا ما تندرج في استراتيجيات تطوير الشركات الخاصة وبعض الهيئات العامة والبنيات التحتية ذات الأهمية الحيوية.
كما يمكن أن تكون الاستعانة بمصادر خارجية إما شاملة بحيث تخص جميع عناصر نظام المعلومات أو جزئية تقتصر فقط على أنشطة معينة مثل تطوير التطبيقات أو تشغيلها أو صيانتها أو حتى استضافة أو توفير المعدات والبرامج أو الإشراف على نظام المعلومات.
يمكن اعتبار الحوسبة السحابية امتدادًا طبيعيًا لعرض خدمات الاستعانة بمصادر خارجية. وهي مرتبطة بالحلول الافتراضية وحلول البنية التحتية كخدمة (Infrastructure as a Service) والمنصة كخدمة (Platform as a Service) والبرمجيات كخدمة (Software as a Service). ويمكن تمييز أربعة أنواع من التنفيذ انطلاقا من الحوسبة السحابية الخاصة إلى العامة مرورا عبر الحوسبة السحابية المختلطة والمجتمعية. ويشير كل من هذه التطبيقات إلى درجة أكبر أو أقل من حيث الاستعانة بمصادر خارجية والاعتماد على مقدم الخدمة.

مزايا التفويض أو الاستعانة بمصادر خارجية:

يهدف الاعتماد على استخدام التفويض بشكل عام إلى ما يلي:

خفض تكاليف الاستثمار واستخدام نظم المعلومات:

تتيح اقتصادات الحجم الكبير التي يتم تحقيقها من خلال الاستعانة بشركات الخدمات المدارة استفادة المنظمات من تعاضد الموارد وبالتالي خفض تكاليفها في مجال المعلوميات.

إذ يمكن للمؤسسة من خلال عقد تدبير الخدمات متكيف مع احتياجاتها، إنفاق ما تستهلكه بالفعل وبالتالي تجنب النفقات غير المتوقعة وتخطيط ميزانيتها بشكل أفضل. نتيجة لذلك، يتم تجنب التكاليف الثابتة المتعلقة بالمعلوميات وتبقى التكاليف المتغيرة فقط. بالإضافة إلى ذلك، تتم إحالة المخاطر الكامنة في الإفراط والتفريط في الاستثمار إلى مقدم الخدمة.

التركيز على العمل الأساسي:

في بيئة شديدة الارتباط، تبحث المؤسسات باستمرار عن جودة الأداء والترشيد. وتتطلب وتيرة المبادلات والتغير الاقتصادي المتزايدة باستمرار هياكل أكثر تخصصًا وأكثر تفاعلا. وفي هذا السياق، فإن الوظائف التي تتطلب مؤهلات خاصة خارج نطاق العمل الأساسي للمؤسسة أو التي تكون أقل استراتيجية، يتم إسنادها إلى مقدمي الخدمات خارج المؤسسة. على هذا النحو، فإن التفويض يتيح من جهة، الاستفادة من مهارات أخصائيي مهن تكنولوجيا المعلومات القادرين على استغلال وصيانة حلول تكنولوجية تتماشى مع احتياجات المؤسسة. ومن جهة أخرى، يساعد على تحقيق مكاسب من حيث الوقت والمرونة من خلال التركيز على الأعمال الأساسية للمنظمة.

تطوير النظام بطريقة مرنة:

للحصول على نظام معلومات مرن، من الضروري الموازنة بين الاحتياجات المتصلة بتطوير قيمة الشركة أو المنظمة واستهلاك الموارد. في إطار سياسة التفويض، يكون مقدم الخدمة قادرًا على اقتراح عرض مكيف يمكن أن يتطور صعودًا أو نزولًا وفقًا للاحتياجات المحددة مما يسمح للمؤسسة بالتفاعل بسرعة وكفاءة مع احتياجات العمل الجديدة.

الاستفادة من خبرة مقدم الخدمات:

فيما يتعلق بالاستعانة بمصادر خارجية، يعتبر مقدم الخدمات في وضع يمكنه من إتقان أعماله بفضل خبرته، فهو قادر على تقديم حلول حديثة وموثوقة وفعالة. وبالتالي، يمكن للمنظمات التي ترغب في زيادة جودة الخدمات وترشيد النفقات أن تلجأ إلى التفويض بدلاً من الاستثمار لتحسين جودة خدمات تكنولوجيا المعلومات داخليا.

ويتضح من أهداف التفويض أن الدوافع الكامنة وراء هذا القرار هي في الأساس تقنية عبر السيطرة على التعقيد واستخدام الخبراء في مجالاتهم، ولكنها قبل كل شيء دوافع اقتصادية حيث تسمح الاستعانة بمصادر خارجية بتحكم أفضل في التكاليف. ومع ذلك، لا ينبغي إغفال أهمية الموازنة بين المخاطر والفوائد الفورية. ويتعلق الأمر هنا بالمخاطر العملية والتنظيمية وبالأخص المخاطر الأمنية.

المخاطر المحتملة والاحتياطات الواجب اتخاذها:

وترتبط المخاطر العملية ارتباطا وثيقا بفقدان المهارة داخل المؤسسة وفقدان السيطرة على النشاط. وبالتالي، يمكن خلق حالة من التبعية بين المتعاقد وصاحب الأمر.

تعتبر الجوانب التنظيمية والقانونية نقطة مهمة يجب مراعاتها قبل تفويض كل أو جزء من نظام المعلومات إلى شريك خارجي. أولاً، يجب أن نكون قادرًين على ضمان امتثال الأخير الصارم للقوانين والأنظمة المعمول بها. بعد ذلك، حتى بعد دمج هذه الجوانب في التفكير التحضيري لأي استعانة بمصادر خارجية، يظل هناك سؤال حول مراقبة النشاط، خاصة عندما يكون مقر مقدم الخدمات في بلد آخر، حيث لا توجد سلطة ملزمة.

وأخيرا، فإن المخاطر التي يبدو أنها الأفضل فهما اليوم هي المخاطر المتصلة بأمن نظم المعلومات. في الواقع، قد يكون للمتعاقدين إمكانية الوصول إلى معلومات حساسة (تجارية، وتقنية، ومالية، وما إلى ذلك) والتي قد يؤدي الكشف عنها لأطراف أخرى، بوعي أو بغير وعي، إلى عواقب وخيمة على المؤسسة المعنية. وقد يكون أيضًا من الصعب السيطرة على المخاطر المتصلة بتوافر أو حتى تمامية البيانات التي تتم معالجتها في نظم مفوضة لدى مقدم خدمات خارج أرض الوطن.

من نفس المنظور، قد تتطلب الاستعانة بمصادر خارجية الوصول عن بُعد إلى نظام المعلومات بأكمله أو جزء منه، مما قد يؤدي إلى اقتحام أو سرقة بيانات سرية. علاوة على ذلك، يمثل تعاضد البيانات أو التطبيقات مع العملاء الآخرين خطرًا كبيرًا إذا لم ينجح مقدم الخدمات في إنشاء الحواجز اللازمة بين بيئات زبائنه.

في ماض قريب، كانت الاستعانة بمصادر خارجية امتيازًا تختص به الشركات الضخمة ذات الموارد الهائلة والبنيات التحتية المهمة. أما اليوم ومع تقدم المعدات والبنيات التحتية للمواصلات السلكية واللاسلكية وانخفاض تكاليفها، أصبح من الممكن الآن، بل ومن المفيد، الاستفادة من هذا الحل، حتى داخل المنشآت الصغرى. أيضًا، من بين العديد من القطاعات التي تستخدم التفويض حاليا، تمثل الأبناك ومؤسسات التأمين الأغلبية. دون استبعاد القطاع العام من هذا التوجه. علاوة على ذلك، نلاحظ أن هناك اهتمام متزايد بالعروض السحابية.

وعلى الرغم من جميع المخاطر المذكورة أعلاه، فقد أصبحت الاستعانة بمصادر خارجية في غضون السنوات القليلة الأخيرة، اتجاهًا عصريًا لجأت إليه العديد من الهياكل بالفعل أو تخطط لاستخدامه في المستقبل القريب. في الواقع، فإن الاستعانة بمصادر خارجية والأمن ليسا دائما متناقضين. وفي بعض الحالات، قد يكون اللجوء إلى مقدم الخدمات خيارا مرغوبًا فيه، لا سيما عندما تكون الموارد المالية أو المهارات المتاحة داخليًا غير كافية. الجمع بين التفويض والأمن موضوع يثير العديد من الأسئلة التي تستوجب إجابة من قبل مسؤولي نظم المعلومات رغبة في السيطرة على المخاطر مع الاستفادة من هذا التطور التكنولوجي:

لمن يجب أن تعهد نظام المعلومات الخاص بك؟ أي مقدم خدمات سيكون قادرًا على إثبات قدرته على توفير خدمات أمنية تضمن سرية البيانات المستضافة وتوافرها وتماميتها؟

ما هي البيانات التي يمكن تدبيرها عن طريق الاستعانة بمصادر خارجية؟ كما تنص القوانين المعمول بها في المغرب، من بين جملة من الأمور، على وجوب استضافة البيانات الحساسة داخل التراب الوطني. ويؤدي هذا بالمؤسسات إلى الحاجة الماسة إلى إعداد مشروع تصنيف البيانات مقترناً بنهج تحليل المخاطر من أجل فرز البيانات الممكن تفويضها عن تلك التي تتطلب معالجة خاصة.

ما هو التأثير على الهيئة؟ وتشمل هذه، على وجه الخصوص، التأثير على التنظيم الداخلي للهيئة والتدبير الواجب اتخاذه لنظام المعلوميات الحالي، بالإضافة إلى اشكالية الانعكاس في حالة إعادة استضافة النظم والخدمات التي تم تفويضها سابقًا.

الكثير من التساؤلات والعديد من الأسئلة الأخرى يجب الإجابة عنها لصياغة عناصر صنع القرار الكفيلة بالسماح بانسجام تام بين الحاجة إلى الاستعانة بمصادر خارجية وضرورة حماية أصول المعلومات الحساسة للمؤسسات.

لتسليط الضوء على هذه القضايا والحصول على عناصر كافية تتيح السيطرة على القضايا المتعلقة بالتفويض داخل الإدارات المغربية والهيئات العامة والبنيات التحتية ذات الأهمية الحيوية ومتعهدي القطاع الخاص، تنظم المديرية العامة لأمن نظم المعلومات النسخة السابعة للندوة الإعلامية والتوعوية حول الأمن السيبراني. الموضوع المختار لهذا الغرض هو «الاستعانة بمصادر خارجية أو تفويض نظم المعلومات ورهانات الأمن السيبراني».

هذا الحدث، الذي يعد جزء من خطة عمل المديرية العامة لأمن نظم المعلومات لعام 2019، يتمم الإجراءات المتخذة في السنوات الأخيرة بهدف مساعدة المؤسسات الوطنية على تقدير المزايا والتحكم في المخاطر المرتبطة بتفويض نظم معلوماتها. ويتعلق الأمر بنشر عدة دلائل ومراجع تتعلق بالإشكالية، مثل دليل تفويض نظم المعلومات، أو دليل تدبير مخاطر أمن نظم المعلومات أو النظام المرجعي لتصنيف نظم المعلومات. جميع هذه الوثائق متاحة على الموقع الإلكتروني للمديرية العامة لأمن نظم المعلومات (www.dgssi.gov.ma).

وستعقد الندوة في 12 نوفمبر 2019 بنادي بنك المغرب. وستتم دعوة مديري نظم المعلومات والمسؤولين عن أمن نظم المعلومات في الإدارات والهيئات العامة والشركات المغربية الخاصة وكذلك مديري البنيات التحتية ذات الأهمية الحيوية.

 

للتبليغ عن المحتويات الرقمية الإجرامية أوالعنيفة، أو تلك التي تتضمن تحريضا على المساس بسلامة الأفراد والجماعات، أو تنطوي على إشادة بالإرهاب أوالتحريض عليه، أو تمس بحقوق وحريات الأطفال. يرجى استعمال منصة التبليغ الرقمي التالية  : www.e-blagh.ma  

DGSSI2024 All rights reserved