القوانين والمحاسبة لتطبيق أمن المعلومات
<a href="mailto:[email protected]">ksaksu@gmail.com</a>
تخيّل لو لم تكن هناك مراقبة للاختلاسات والتلاعب، ولا توجد قوانين تحد منها أو تعاقب من يخالفها، فهل يتردد المخالف في تنفيذ مخالفته وهو في مأمن من العقوبة. تخيل أيضا لو لم يكن هناك قوانين لمتابعة ومعاقبة المديرين على تقصيرهم في متابعة الأمور المالية في إدارتهم، فهل سيبالون بالقصور والتجاوزات المالية؟
مثلما هناك قوانين وأنظمة تجبر المديرين على الاهتمام بالأمور المالية، فإننا نحتاج إلى قوانين تجبر المديرين على الاهتمام بحماية المعلومات من التلف أو السرقة أو الفقدان.
هناك دوافع عدة لتطبيق مفهوم أمن المعلومات، ولعل من أهمها الخوف من مخالفة القوانين. فبالاستناد لإحدى الدراسات حول هذا الدافع، أوضحت الدراسة أن 76 في المائة من الشركات غيّرت أو طورت من إجراءاتها فيما يختص بأمن المعلومات، بسبب تلافي مخالفة أحد القوانين الجديدة في أمريكا.
وحسب علمي، فإنه لا يوجد حتى الآن في السعودية، قوانين تعاقب متخذي القرار على تجاهلهم في تطبيق أمن المعلومات في منشآتهم. ولعلي أتساءل عما إذا كان هناك قوانين تحد من تسرب بيانات عملاء البنوك وتعاقب المقصرين؟، وهل هناك إجراءات موثقة لاتباعها عند حدوث سرقة أو تسرب معلومات؟ وهل هناك سياسة محددة في المنظمات للتعامل بسرية مع معلومات الموظفين والعملاء؟ أسئلة كثيرة تحتاج إلى الوقوف عندها، ليس لتحسين أمن المعلومات في المنظمات، فأمن المعلومات وسيلة وليست غاية، ولكن للمحافظة على استمرارية نشاط المنظمة، سواء كانت حكومية، وذلك بتقديم الخدمات للمواطنين، أو منظمات خاصة لتحافظ على الإيرادات والأرباح.
لنقف عند بعض الأمثلة في القوانين الأمريكية التي تحث على تطبيق مفهوم أمن المعلومات مع ذكر قيمة العقوبة:
أولاً: قانون المحاسبة للتأمين الصحي HIPAA، القانون يركز على التأمين الصحي والسجلات الصحية، ولكن ما يهمنا هنا أن القانون يجبر المراكز الصحية (كبيرة كانت أم صغيرة) على حماية المعلومات الصحية للمرضى من الفقدان أو التلف أو إطلاع أشخاص غير مصرح لهم، سواء كانت ورقية أو رقمية، وذلك بتحديد سياسات و إجراءات لأمن المعلومات. وعقوبة المخالف تبلغ كحد أعلى 250 ألف دولار، والسجن لمدة عشرة أعوام.
ثانياً: قانون GLBA مثل HIPAA ولكن لحماية معلومات عملاء البنوك والشركات المالية، وعقوبته 500 ألف دولار.
ثالثاً: قانون ساربنس اوكسلي Sarbox، سُن هذا القانون بعد حوادث تلاعب الشركات مثل فضيحة شركة إنرون، والقانون يضع ضوابط أكثر صرامة فيما يختص بالتقارير المالية من حفظ وإطلاع وإتلاف، وعقوبة مخالفته تصل إلى خمسة ملايين دولار والسجن لمدة عشرين عاما.
رابعاً: قانون ولاية كاليفورنيا لحالة اختراق قواعد البيانات، ولعل هذا القانون أكثرها غرابة، حيث يُلزم القانون أي هيئة حكومية أو شركة أو فرد، تعمل في ولاية كاليفورنيا بإبلاغ سكان كاليفورنيا المسجلين فيها عن أي اختراق أو محاولة اختراق حدثت لمعلوماتهم الإلكترونية خلال 48 ساعة. صحيح أن القانون لا يلزم بحماية كاملة لمعلومات العملاء، لكن بالنسبة للشركات، فإن هذا القانون يلزمهم بطريق غير مباشر بحماية المعلومات، وذلك لأن إهمالهم حماية المعلومات يعرضها للاختراق والتسرب، ما يلزمهم الإفصاح عن الاختراق، وبالتالي تعريض سمعة المنشأة للإساءة.