تفكيك الأطر الوطنية للأمن السيبراني في الشرق الأوسط

تشهد منطقة الشرق الأوسط تحولات تكنولوجية متسارعة وملحوظة، مدفوعة باستثمارات كبيرة في البنية التحتية الرقمية والابتكار. ومع هذا التقدم، تتزايد التهديدات السيبرانية تعقيدًا واستهدافًا للقطاعات الحيوية، مثل: الطاقة، والرعاية الصحية، والخدمات المالية، والجهات الحكومية. واستجابةً لهذه التحديات، عملت حكومات المنطقة على تطوير أُطر وطنية متكاملة للأمن السيبراني، تهدف إلى حماية الأنظمة الرقمية وتعزيز مرونتها. وتوفر هذه الأُطر إرشادات واضحة للامتثال، إلى جانب استراتيجيات عملية لإدارة المخاطر والحدّ منها، بما يسهم في تعزيز الثقة ودعم المرونة عبر مختلف القطاعات.

تهدف أُطر العمل الوطنية للأمن السيبراني في الشرق الأوسط إلى ترسيخ نهج موحّد وشامل لحماية الأصول المعلوماتية الحيوية، وتعزيز الأمن الوطني، ودعم نمو الاقتصاد الرقمي. ومن خلال وضع معايير تنظيمية واضحة، تمكّن هذه الُأطر مؤسسات القطاعيْن العام والخاص من تبنّي أفضل الممارسات، ورفع جاهزيتها للتصدي لمختلف التهديدات السيبرانية، مع ضمان سرية البيانات وسلامتها وتوافرها. وفيما يلي نظرة موجزة على أبرز هذه الأطر في المنطقة.

الإمارات العربية المتحدة

وضعت حكومة الإمارات العربية المتحدة لائحة ضمان أمن المعلومات (IA) بهدف توحيد جهود الأمن السيبراني على المستوى الوطني، وتعزيز حماية البنية التحتية الحيوية لقطاعيّ المعلومات والاتصالات في الدولة. وتقدّم هذه اللائحة إطارًا متكاملًا من الضوابط والمعايير والإرشادات التي يتعيّن على المؤسسات الالتزام بها، بما يسهم في تحقيق مستوىً متقدم من الأمن السيبراني وضمان استدامته.

وتتضمن المكونات الرئيسية لهذه اللائحة التنظيمية ما يلي:

• الضوابط الإدارية والضوابط الأمنية التقنية: تقوم اللائحة بتصنيف ضوابط أمن المعلومات إلى فئتين اثنتين، أولاهما: الضوابط الإدارية والتي يندرج تحتها: التوعية والتدريب، وثانيهما: الضوابط التقنية، مثل أمن الأطراف الثالثة، والتحكم في الوصول.
• الحوكمة وإدارة المخاطر: تحدّد اللائحة إجراءات تقييم المخاطر، بما في ذلك وضع معايير المخاطر ومنهجية المخاطر؛ لتعزيز حوكمة الأمن السيبراني.
• إدارة أمن المعلومات: توفّر إطار عمل متكاملًا للاستخدام الآمن للمعلومات، يشمل معالجة المعلومات وتخزينها ونقلها، إضافةً إلى وضع مبادئ توجيهية واضحة لتصميم أنظمة أمن المعلومات وتطويرها وإدارتها وصيانتها بكفاءة وموثوقية عالية.
• أمن الشبكات والاتصالات: تركز اللائحة التنظيمية على حماية البيانات أثناء نقلها وضمان وجود قنوات اتصال آمنة عبر الأنظمة الهامة.
• إدارة الحوادث: يُطلب من المؤسسات اتباع إجراءات محددة للكشف عن حوادث الأمن السيبراني والاستجابة لها والتعافي منها لتقليل الإرباك والحدّ من المخاطر.

إن الامتثال للائحة الأمن السيبراني التنظيمية إلزامي للمؤسسات في قطاعات البنية التحتية الحيوية، كالتمويل والطاقة والرعاية الصحية والحكومة. تعزّز هذه اللائحة من وضع الأمن السيبراني في دولة الإمارات العربية المتحدة وتضمن حماية أنظمتها وبياناتها الحساسة.

المملكة العربية السعودية

استحدثت الهيئة الوطنية للأمن السيبراني (NCA) في المملكة العربية السعودية ثلاثة أُطر عمل رئيسية للأمن السيبراني تهدف إلى تعزيز الوضع الأمني للمؤسسات، خاصة تلك التي تدير البنية التحتية الحيوية والبيانات الحساسة. وهذه الأُطر هي:

1. ضوابط الأمن السيبراني الأساسية (ECC)
   

   تحدد ضوابط الأمن السيبراني الأساسية المتطلبات الضرورية التي ينبغي على المؤسسات الالتزام بها لحماية أنظمة المعلومات، وتقليل الثغرات الأمنية. وينطبق هذا الإطار على القطاعات الحكومية والحيوية، ويؤكد على أهمية الحوكمة القوية والإدارة الفعّالة للمخاطر، إلى جانب تطبيق ضوابط تقنية متقدمة لحماية الأنظمة والخدمات الأساسية.

2. ضوابط الأمن السيبراني للحوسبة السحابية (CCC):
   تم تصميم إطار عمل ضوابط الأمن السيبراني للحوسبة السحابية (CCC)؛ لمعالجة المخاطر المحددة المرتبطة ببيئات الحوسبة السحابية. كما يحدد هذا الإطار أفضل الممارسات لتأمين البنية التحتية والخدمات السحابية، ما يضمن حماية البيانات المستضافة على المنصات السحابية.
3. ضوابط الأمن السيبراني للأنظمة التشغيلية (OTCC):
   يركز هذا الإطار على تأمين الأنظمة التشغيلية (OT)، ويتناول المخاطر الفريدة التي تواجهها أنظمة التحكم الصناعية وغيرها من أصول الأنظمة التشغيلية الهامة. ويتضمن إرشادات لتحديد المخاطر السيبرانية في البيئات الصناعية وإدارتها والتخفيف من حدّتها.
   

تهدف هذه الأُطر مجتمعةً إلى تعزيز مرونة الأمن السيبراني في جميع القطاعات في المملكة العربية السعودية وضمان التوافق مع الأهداف الأوسع نطاقًا للدولة من أجل اقتصاد رقمي آمن.

قطر

تُعَد الاستراتيجية الوطنية للأمن السيبراني في قطر بمثابة إطار عمل استراتيجي لتعزيز قدرات الأمن السيبراني في الدولة. وتتبنّى الاستراتيجية نهجًا قائمًا على المخاطر، مع التركيز على التعاون بين الجهات الحكومية والمؤسسات الخاصة والشركاء الدوليين لحماية البنية التحتية المعلوماتية الحيوية.

تشمل المكونات الرئيسية للاستراتيجية الوطنية للأمن السيبراني ما يلي:

• حماية البنية التحتية الحيوية: تعطي الاستراتيجية الأولوية للدفاع عن القطاعات الحيوية مثل: الطاقة والتمويل والنقل، بما يضمن قدرتها على الصمود في مواجهة التهديدات السيبرانية.
• التوعية والتثقيف العام: إنّ تعزيز الوعي بالأمن السيبراني وتنمية المهارات بين المواطنين والمؤسسات على حدٍ سواء، هو محور التركيز الأساسي للاستراتيجية الوطنية للأمن السيبراني وذلك لخلق ثقافة أمنية في جميع أنحاء البلاد.
• التعاون والاستجابة للحوادث: يشجع المركز الوطني للأمن السيبراني على تبادل المعلومات وتقديم استجابات منسّقة للحوادث السيبرانية، ما يعزّز انتهاج أسلوب موحد للتخفيف من حدة التهديدات.

تتماشى الاستراتيجية الوطنية للأمن السيبراني مع الإطار القانوني والتنظيمي الأوسع نطاقًا في قطر، فهي تتكامل مع قوانين حماية البيانات واللوائح الخاصة بكل قطاع. ويُطلب من المؤسسات العاملة في القطاعات الحيوية الامتثال للاستراتيجية، بما يضمن حماية الأصول الوطنية واستمرارية الخدمات الأساسية. ومن خلال الاستراتيجية الوطنية للأمن السيبراني، تُظهر دولة قطر التزامها بمرونة الأمن السيبراني، وتعزّز بيئة رقمية آمنة لدعم أهدافها التنموية الوطنية.

سلطنة عُمان

تؤدي وزارة النقل والاتصالات وتقنية المعلومات (MTCIT) في سلطنة عُمان دورًا محوريًا في تعزيز النمو الاقتصادي عبر قطاعيّ الاتصالات وتقنية المعلومات. وتقوم الوزارة بصياغة وتنفيذ استراتيجيات وسياسات وأُطر عمل رقمية لضمان الإدارة الفعّالة لعمليات وموارد تقنية المعلومات داخل المؤسسات.

وتشمل السياسات والأُطر الرئيسية التي نشرتها وزارة النقل والاتصالات وتقنية المعلومات ما يلي:

• سياسة حوكمة تقنية المعلومات: تحكم هذه السياسة تقنيات المعلومات المؤسسية الحكومية (GEIT) وتتضمن بنودًا لتطوير هيكل حوكمة تقنية المعلومات (ITGS). وتهدف هذه السياسة إلى إدارة المخاطر المرتبطة بمبادرات تقنية المعلومات، وتوجيه الاستخدام الفعّال للتقنيات بما يتماشى مع الأهداف التنظيمية.

• النموذج المرجعي لإدارة المعلومات (IRM): يحدد إطار العمل هذا هيكل المعلومات للحكومة العمانية. ويتضمن إجراءات تتعلق بإدارة البيانات وتصنيفها ومشاركة المعلومات، بما يضمن الاتّساق والأمن في التعامل مع أصول المعلومات.

•  الدليل الإرشادي للضوابط الأساسية لأمن المعلومات: تقدّم هذه الإرشادات للمؤسسات الحكومية خطوطًا أمنية أساسية تهدف إلى حماية أصول المعلومات وتأسيس برامج أمنية متكاملة. وتنقسم الضوابط إلى عدة مجالات رئيسية، منها: التحكم في الوصول، وإدارة الحوادث، وحماية الأنظمة والاتصالات. ويُعَدّ الامتثال لهذه الإرشادات إلزاميًا للجهات الحكومية العمانية، بالإضافة إلى مورّدي خدمات تقنية المعلومات والاتصالات المتعاقد معهم.

ومن خلال هذه السياسات والأُطر، تؤكد عُمان التزامها بالحوكمة الفعالة لتقنية المعلومات وإدارة المخاطر وأمن البنية الأساسية للمعلومات الحساسة.

تحديات تحقيق الامتثال

بينما توفر أُطر العمل الوطنية مبادئ توجيهية واضحة، تواجه المؤسسات في جميع أنحاء الشرق الأوسط العديد من التحديات في تحقيق الامتثال والحفاظ عليه، ويرجع ذلك إلى أسباب عدة، منها:

تعقيد اللوائح التنظيمية:
في ظلّ وجود أُطر عمل متعددة في جميع أنحاء المنطقة، غالبًا ما تعاني المؤسسات عند التعامل مع المتطلبات المتداخلة، والمتضاربة في بعض الأحيان. ولذلك يتطلب تكييف العمليات لتلبية المعايير الوطنية أو الخاصة بالصناعة وقتًا طويلًا وموارد جمّة.

الافتقار إلى المواهب:
في كثير من دول الشرق الأوسط، يتجاوز الطلب على المتخصصين المهرة في الأمن السيبراني العرض المُتاح بكثير، ما يؤدي إلى حدوث فجوة في المواهب تعيق قدرة المؤسسات على تنفيذ تدابير الأمن السيبراني والحفاظ عليها بشكل فعّال.

الطبيعة الديناميكية للتهديدات السيبرانية:
يعمد مجرمو الإنترنت إلى تطوير تكتيكاتهم باستمرار، ما يصعّب على المؤسسات توقع المخاطر الناشئة والتصدي لها. وغالبًا ما تتطلب أُطر الامتثال تحديثات دورية لمواجهة هذه التهديدات الديناميكية.

تكلفة الامتثال:
يمكن أن يشكّل اعتماد التقنيات المتقدمة وتنفيذ الضوابط اللازمة لتلبية المعايير الوطنية عبئًا ماليًا كبيرًا، لا سيّما بالنسبة للشركات الصغيرة والمتوسطة.

الوعي الثقافي والتنظيمي:
إنّ نشر ثقافة الوعي بالأمن السيبراني لا يزال يشكّل تحديًا للعديد من المؤسسات. وقد تؤدي مقاومة التغيير وانخفاض الوعي بين الموظفين إلى تقويض جهود الامتثال.

كيف تدعم 6clicks الامتثال في الشرق الأوسط

المؤسسات في الشرق الأوسط تدير الأمن السيبراني والامتثال عبر قطاعات وولايات قضائية متعددة، ولذلك فهي تحتاج إلى منصة قوية يمكنها تبسيط هذه التعقيدات ودعم احتياجاتها المحددة. تقدم 6clicks حلًا رائدًا في مجال الامتثال الإلكتروني وإدارة المخاطر الإلكترونية مصممًا خصيصًا لمواجهة التحديات التي تواجهها مؤسسات الشرق الأوسط. ويندرج تحت هذا الحل ميزات متطورة مثل:

• بنية Hub & Spoke الثورية: تجمع هذه البُنية بين الحوكمة المركزية والمرونة اللامركزية. فالمركز (Hub) يدير السياسات والمعايير وأُطر العمل الأساسية، بينما تعمل الشركات التابعة أو الكيانات (Spokes) باستقلالية لتنفيذ السياسات محليًا، ما يضمن قابلية التطوير والحوكمة المبسّطة.
•  وظائف شاملة للحوكمة وإدارة المخاطر والامتثال: تقدم مجموعة كاملة من أدوات الحوكمة وإدارة المخاطر والامتثال، بما في ذلك إدارة المخاطر من طرف ثالث، وإدارة الحوادث، والتدقيق والتقييم، والرقابة وتنفيذ السياسات؛ لتبسيط عمليات الامتثال وإدارة المخاطر.
• الامتثال التنظيمي المحسّن: تقوم "Hailey"، محرك الذكاء الاصطناعي، بتبسيط الامتثال لأُطر العمل في الشرق الأوسط من خلال أتمتة العمليات، كمطابَقة أُطر العمل، وإنشاء الضوابط والسياسات، وتحليل ثغرات الضوابط والسياسات، والاستجابة لعمليات التدقيق والتقييمات.
• مكتبة محتوى واسعة النطاق: تسمح مكتبة محتوى 6clicks بالوصول إلى المعايير واللوائح التنظيمية وأُطر الأمن السيبراني العالمية مثل معايير ضمان المعلومات في الإمارات العربية المتحدة، إلى جانب المحتوى الجاهز للاستخدام مثل: نماذج التدقيق ومجموعات السياسات، ومجموعات الضوابط، ومكتبات المخاطر والمشكلات وغيرها.
• التقارير المتقدمة والمراقبة المستمرة: تعمل وظيفة مراقبة الضوابط المستمرة على التحقق المستمر من فعالية الرقابة والامتثال في الزمن الحقيقي. كما تسمح التقارير الجاهزة ولوحات المعلومات القابلة للتخصيص بتعزيز الرؤية وتحسين اتخاذ القرارات عبر جميع الكيانات. 

بفضل هذه الإمكانيات، تمكّن 6clicks، مؤسسات الشرق الأوسط من تعزيز وضع الأمن السيبراني لديها، وتبسيط الامتثال، والتوافق مع المتطلبات التنظيمية المعقدة. اكتشف قوة منصة 6clicks أدناه.