Nozom Logo
إدارة المخاطر السيبرانية: ما الذي ينجح فعلًا
الأمن السيبراني

إدارة المخاطر السيبرانية: ما الذي ينجح فعلًا

٣٠ يونيو ٢٠٢٦
Serajj

إدارة المخاطر السيبرانية تنجح حين يرتبط الخطر بالميزانية والملكية وإطار مثل NIST CSF 2.0 أو ISO 27005. إليك ما يحقق نتيجة وما هو مجرد مسرح مخاطر.

كيف تدير المخاطر السيبرانية في شركتك؟

دعني أصف لك ما رأيته في أغلب برامج المخاطر السيبرانية التي مرّت عليّ. تنتج خرائط حرارية جميلة، ملوّنة بعناية، تُعرَض على لجنة كل ثلاثة أشهر. وبعد العرض، لا أحد يفعل شيئًا.

سجل فيه أربعمئة بند. كل بند مُقيَّم على مصفوفة خمسة في خمسة. واللجنة التي تستعرضه لا تملك أصلًا صلاحية إيقاف مشروع أو تحويل ميزانية. فما الفائدة؟

البرنامج موجود، وينتج أوراقًا، ولا يقلّل خطرًا واحدًا. والمسافة بين "برنامج موجود" و"برنامج يعمل" هي موضوع هذا المقال.

إجابة سريعة: إدارة المخاطر السيبرانية (Cybersecurity Risk Management) عملية تحديد التهديدات لأصول المعلومات وتحليلها ومعالجتها ومراقبتها، بما يتوافق مع أولويات العمل وقدرته على تحمّل الخطر. البرامج الفعّالة تستند إلى إطار معروف مثل NIST CSF 2.0 أو ISO/IEC 27005، وتُسنِد ملكية واضحة، وتربط قرارات الخطر بالميزانية. الحساب سهل، والمساءلة هي الجزء الصعب.

ما إدارة المخاطر السيبرانية فعلًا؟

إدارة المخاطر السيبرانية منظومة منضبطة لتقرير أي التهديدات ستدافع عنها، وأيها ستقبله، وأيها ستحوّله إلى طرف آخر أو تتجنّبه أصلًا. لماذا الانضباط؟ لأن البديل هو الحدس، والحدس لا يصمد لحظة أمام سؤال حادّ من عضو مجلس أو ملاحظة من مدقق خارجي. وهي في الممارسة تعيش داخل وظيفة الحوكمة وإدارة المخاطر والامتثال الأوسع، لا في جزيرة منعزلة.

في 2024، أضاف إطار NIST في نسخته الثانية (NIST CSF 2.0) وظيفة الحوكمة كوظيفة سادسة، إلى جانب التحديد والحماية والكشف والاستجابة والتعافي. لم تكن إضافة شكلية. قنّنت ما يعرفه كل ممارس ناضج منذ زمن: إدارة المخاطر بلا حوكمة مجرد أوراق تُحفَظ في درج، وهو ما نفصّله أكثر في هذا العرض عن الحوكمة والمخاطر والامتثال السيبراني.

أما المنهجية التفصيلية للعملية نفسها، فمكانها معيار ISO/IEC 27005 (نسخة 2022): تأسيس السياق، تحديد المخاطر، تحليلها، تقييمها، معالجتها، ثم مراقبتها. الإطاران لا يتنافسان. NIST CSF يقول لك ماذا تدير، وISO/IEC 27005 يقول لك كيف. ومحاذاة برنامجك بـمعايير NIST ومعايير ISO المعتمدة تمنح النصفين أساسًا قابلًا للدفاع.

لماذا صار هذا أهم مما كان قبل ثلاث سنوات؟

كلفة الخطأ لها أنياب موثّقة

وجد تقرير IBM لكلفة خرق البيانات (2024) أن متوسط كلفة الخرق عالميًا بلغ 4.88 مليون دولار. الرقم لافت، لكن ما خلفه ألفت: غرامات، وتعطّل عمليات، ونزوح عملاء، وإنفاق تعافٍ يمتد سنوات بعد أن ينطفئ الحادث في الأخبار. والبرنامج الذي يعجز عن ترجمة هذا إلى لغة يفهمها مديرك المالي لا يؤدي وظيفته، وهنا يثمر تخطيط الصمود السيبراني القوي.

المجالس صارت في موضع المساءلة الشخصية

تطلب قواعد الإفصاح السيبراني من هيئة الأوراق المالية الأمريكية (SEC, السارية 2023) الإبلاغ عن الحوادث الجوهرية خلال أربعة أيام عمل، والإفصاح السنوي عن كيفية إدارة المخاطر. وفي السعودية، تتوقع ضوابط الهيئة الوطنية للأمن السيبراني إشرافًا فعليًا من مستوى المجلس. الخلاصة عبر كل هذه الأنظمة واحدة: لم يعد الأمن مسؤولية مدير الأمن وحده يتحملها في صمت. صار شيئًا يُسأل عنه أعضاء المجلس أنفسهم، وهذا يرفع سقف التقارير المطلوبة منك رفعًا حقيقيًا.

كيف تجري العملية عمليًا؟

نسخ الأطر في الكتب نظيفة ومرتّبة. الواقع أكثر فوضى. هذا ما يعمل فعلًا على الأرض.

ابدأ بالسياق. قبل أن تحدد خطرًا واحدًا، عرّف ما تحميه ولماذا: عمليات العمل، تدفقات البيانات الحرجة، الالتزامات التنظيمية، ومقدار الخطر الذي تقبل تحمّله أصلًا. وهنا تضع استراتيجية أمن سيبراني واضحة الحدود. تتخطّى هذه الخطوة، فيصبح كل قرار بعدها معلّقًا في الهواء.

ثم حدّد المخاطر من أكثر من زاوية. نمذجة التهديد للأنظمة الجديدة. معلومات التهديد لمن يهاجمك الآن. بيانات الثغرات من المسح والاختبار. نتائج التدقيق. تاريخ حوادثك أنت. السجل المبني على مصدر واحد فيه عمى يظهر في أسوأ توقيت، أثناء حادث فعلي.

وميّز الخطر الكامن من المتبقي. الكامن ما يوجد قبل الضوابط، والمتبقي ما يبقى بعدها. الفرق بينهما هو بالضبط ما تشتريه بأموال الضوابط. من لا يفصل بينهما، يعجز يوم يُسأل عن جدوى إنفاقه الأمني.

ثم المعالجة والمراقبة. لكل خطر مقبول مسؤول تنفيذي يوقّع على قبوله بالاسم، لا "الإدارة العليا" بصيغة الجمع المريحة. ومؤشرات الخطر التي تتجاوز عتباتها دون أن تُطلِق فعلًا محددًا ليست مراقبة، بل زينة على لوحة، وهي بالضبط ما يحوّله مركز عمليات أمنية جيّد إلى فعل.

أفضل الممارسات في إدارة المخاطر السيبرانية

أرتّبها من الأهم نزولًا، لا بترتيب متساوٍ، لأن بعضها يستحق وزنًا أكبر من بعض.

أولًا، اربط معالجة الخطر بدورة الميزانية لا بالأزمات. هذه عندي أهم نقطة في المقال كله. المخاطر التي تُطرح خارج موسم الميزانية تنافس ما هو مشتعل اليوم، وتخسر دائمًا. ابنِ خطة استثمارك الأمني السنوية من سجل المخاطر المرتّب، وادافع عنها في المنتدى نفسه الذي يُناقَش فيه الإنفاق الرأسمالي الآخر. وخارطة طريق أمن سيبراني واضحة تجعل هذه الحجة أسهل كسبًا.

اربط برنامجك بإطار معروف، ثم خصّص فوقه. NIST CSF 2.0 (2024) أو ISO/IEC 27001:2022 مع 27005 يعطيك السقالة. الأطر ليست قيدًا بيروقراطيًا، بل لغة ترجمة بين الخطر التقني وطاولة المجلس. بدونها يبدأ كل نقاش من الصفر، ويفقد برنامج الأمن السيبراني الأوسع تماسكه.

كمّم حيث تقدر، ووصّف حيث تضطر. التقييم النوعي البحت (عالٍ، متوسط، منخفض) يضيّع معلومات ثمينة. منهجية FAIR تعطيك نموذجًا كميًّا ينتج منحنيات خسارة قابلة للمقارنة بمخاطر المؤسسة الأخرى. استخدمها على مخاطرك الكبرى فقط؛ أما الذيل الطويل من المخاطر الصغيرة، فالتقييم النوعي يكفيه.

أجرِ تمرين محاكاة على أعلى خمسة مخاطر مرة في السنة على الأقل. وثّقه، استخرج الفجوات، وحدّث سجلك بما تعلّمته فعلًا. ضوابط CIS v8 (مركز أمن الإنترنت، 2021) تتوقع هذا، وقلة نادرة تتقنه. واقرنه بـإدارة استمرارية أعمال مُختبَرة حتى لا تبقى الاستجابة نظرية.

اعرض الخطر بلغة من يسمعه. المجلس يريد احتمالًا وأثرًا بالأرقام المالية. المدير التشغيلي يريد ضابطًا محددًا وموعدًا. صيغة واحدة عامة تُرسَل للجميع لا تُرضي أحدًا، وهي أشيع خطأ في تقارير المخاطر رأيته.

أين تنهار البرامج؟

أكبر فخّ، وأسمّيه شخصيًا "مسرح المخاطر": برنامج يفيض بالتوثيق، والاجتماعات الدورية، والتقارير الملوّنة، لكنه لا يغيّر تخصيص ميزانية ولا يوقف مشروعًا متعثرًا أبدًا. لماذا؟ لأن إدارة المخاطر أُنشئت كجزيرة موازية لاتخاذ القرار، لا مدمجة داخله. وهذا عطب بنيوي، لا يُصلَح بمزيد من الإجراءات أو نموذج تقرير أجمل.

الفخ الثاني هو السجل الجامد. مخاطر تُحدَّد مرة عند التأسيس، تُقيَّم مرة، ثم تُحفَظ كأرشيف. لكن التهديدات تتحرك، وسياق عملك يتغير، وفعالية ضوابطك تتآكل مع الوقت. سجل لم يتغير سطر فيه خلال عام كامل ليس صورة حيّة لمخاطرك، بل صورة فوتوغرافية قديمة، ويقوّض بهدوء الصمود السيبراني واستمرارية الأعمال.

والفخ الثالث أصعبها علاجًا: فراغ الملكية. خطر "يقبله قسم تقنية المعلومات"، أو خطر "تتحمّله الإدارة العليا". وحين يقع المكروه، تبحث عن المسؤول فلا تجده، لأن لا أحد بعينه وقّع. كل خطر مقبول يحتاج توقيعًا واحدًا باسم شخص، وهذا التوقيع بلا قيمة ما لم تكن قيادتك مستعدة فعلًا لتحميل صاحبه التبعة.

ما الذي يتغير خلال 18 إلى 36 شهرًا؟

المراقبة المستمرة للضوابط تتحول من ميزة فاخرة إلى توقع أساسي. تتابع Gartner منذ سنوات تقارب أدوات المخاطر والتدقيق والامتثال في منصات موحّدة، والاتجاه ثابت. توقّع أن تسحب المنصات أدلتها حيّة من إعدادات السحابة وأنظمة الهوية وأدوات الأمن، بدل انتظار إقرار فصلي يكتبه أحدهم على عجل.

وتظهر تحليلات المخاطر المدفوعة بالذكاء الاصطناعي. الوعد جذّاب: ربط الإشارات عبر معلومات التهديد وبيانات الثغرات وسياق العمل لكشف الخطر الناشئ أبكر. الواقع اليوم مختلط بصراحة. أقوى التطبيقات تعزّز محللًا بشريًا ولا تستبدله، وأضعفها يبصق درجة واثقة مبنية على بيانات ناقصة، وهذه أسوأ من غياب الدرجة.

وأضيف ملاحظة على المتنبّئين أنفسهم: بعض شركات الأبحاث تتوقع نضجًا سريعًا للذكاء الاصطناعي في هذا المجال، وبعضها أكثر تحفظًا بشأن جودة البيانات اللازمة لإنجاحه. لا تعامل تقدير جهة واحدة كأنه إجماع. ابنِ للاتجاه العام، لا لجدول زمني محدد قد لا يتحقق.

خلاصة

إدارة المخاطر السيبرانية الفعّالة ليست تمرين توثيق، والاختبار الذي يفضحها بسيط. خذ أعلى ثلاثة مخاطر في سجلك الآن. تتبّع كلًّا منها إلى بند ميزانية محدد، وضابط محدد، وشخص محدد تتضمن أهدافه السنوية تقليل هذا الخطر تحديدًا. إن انكسر أي رابط من الثلاثة، فالخطر موثَّق لا مُدار. أغلق هذه الفجوة قبل دورة مجلسك القادمة، لا بعدها.

الأسئلة الشائعة

هل نستخدم NIST CSF أم ISO/IEC 27001؟

متكاملان لا متنافسان. إطار NIST CSF 2.0 (2024) مرن لتنظيم برنامجك حول النتائج. ومعيار ISO/IEC 27001:2022 نظام إدارة قابل للاعتماد رسميًا. مؤسسات كثيرة تستخدم CSF للهيكلة الداخلية، وتسعى لاعتماد ISO 27001 حين يطلبه عميل أو منظّم. والاثنان يتطابقان بدرجة معقولة، فلست أمام اختيار صفري.

كيف نكمّم الخطر السيبراني للمجلس؟

ابدأ بالخسارة السنوية المتوقعة لمخاطرك الكبرى: احتمال الوقوع مضروبًا في الأثر المرجّح، بلغة مالية. منهجية FAIR تضفي على هذا صورة رسمية بمنحنيات الخسارة. وأيًّا كانت طريقتك، الاتساق أهم من الدقة المطلقة؛ فالخطر نفسه معروضًا بشكل مختلف كل فصل يهدم ثقة المجلس أسرع من رقم غير مثالي لكنه ثابت.

ما العلاقة بين إدارة المخاطر والامتثال؟

الامتثال وفاء بالتزام خارجي، وإدارة المخاطر قرار بأي التهديدات تعالَج حسب أثرها على العمل. يتداخلان كثيرًا دون أن يتطابقا. قد يكون ضابط مطلوبًا للامتثال لكنه يعالج خطرًا تافهًا، أو يعالج خطرًا جسيمًا دون أن يرد في أي لائحة. البرامج الناضجة تحتفظ بالعدستين معًا دون أن تخلطهما.

كم مرة يُراجَع سجل المخاطر؟

المخاطر العليا تحتاج نظرة شهرية كحد أدنى، وأسبوعية في ظروف التهديد النشط. السجل الكامل يكفيه مراجعة فصلية تشغيليًا، وسنوية على الأقل تنفيذيًا. لكن لا تنتظر الدورة المجدولة دائمًا: الحوادث الكبرى، وتغيّرات العمل الجوهرية، واللوائح الجديدة، كلها ينبغي أن تفرض تحديثًا طارئًا فور وقوعها.

العودة إلى المدونات

مقالات ذات صلة

ما هو نظام GRC؟ | الحوكمة وإدارة المخاطر والامتثال للمؤسسات
٣٠ يونيو ٢٠٢٦
الأمن السيبراني

ما هو نظام GRC؟ | الحوكمة وإدارة المخاطر والامتثال للمؤسسات

تعرّف على نظام GRC وكيف يساعد المؤسسات في منطقة الخليج على دمج الحوكمة وإدارة المخاطر والامتثال التنظيمي ضمن إطار عمل موحد وفعّال من ضمنها شركة نظم تك.

اقرأ المزيد
ما هو أمن الذكاء الاصطناعي؟ وكيف تحمي أنظمة AI داخل شركتك
٣٠ يونيو ٢٠٢٦
الأمن السيبراني

ما هو أمن الذكاء الاصطناعي؟ وكيف تحمي أنظمة AI داخل شركتك

يحمي أمن الذكاء الاصطناعي النماذج والبيانات والقرارات المدفوعة بالذكاء الاصطناعي من فئات المخاطر الجديدة. تعرف على التهديدات التي يجب على كل مؤسسة التخطيط لمواجهتها الآن

اقرأ المزيد
ما هو اختبار الاختراق؟ والفرق عن تقييم الثغرات
٣٠ يونيو ٢٠٢٦
الأمن السيبراني

ما هو اختبار الاختراق؟ والفرق عن تقييم الثغرات

اختبار الاختراق يثبت ما يستطيع المهاجم فعله، لا مجرد إحصاء الثغرات. إليك الفرق عن تقييم الثغرات، وأنواع الاختبار، وما الذي يصنع تقريرًا احترافيًا.

اقرأ المزيد
ما هو أمن الأنظمة التشغيلية ولماذا لا يُدار كأمن IT
٣٠ يونيو ٢٠٢٦
الأمن السيبراني

ما هو أمن الأنظمة التشغيلية ولماذا لا يُدار كأمن IT

أمن الأنظمة التشغيلية يحمي ما يدير العمليات الفيزيائية: المصانع والشبكات وخطوط الأنابيب. إليك لماذا لا يصلح أن تديره كأمن المعلومات، وما الذي ينجح وفق IEC 62443.

اقرأ المزيد