في إطار النقلة النوعية التي أحدثتها تكنولوجيا المعلومات في عالم الاعمال في السنوات الأخيرة، إلا أنه قد واكبتها ظهور تهديدات وجرائم سيبرانية أصبحت تشكل تحدياً كبيراً لاستمرارية الأعمال، وهو ما استدعى ضرورة التدقيق الدوري على بيئة الأمن السيبراني داخل كيانات الأعمال لضمان توافر نظم الحماية السيبرانية الكافية.
وفي هذا السياق، فقد أصدر بنك الكويت المركزي في فبراير 2020، الإطار الاستراتيجي للأمن السيبراني للقطاع المصرفي في دولة الكويت، والذي يهدف إلى وضع إطار متكامل للتعامل مع المخاطر السيبرانية.
ماذا يعني الأمن السيبراني؟
تعرف جمعية تدقيق ومراقبة نظم المعلومات (ISACA) الأمن السيبراني بأنه “حماية الأصول المعلوماتية من خلال معالجة التهديدات التي تتعرض لها المعلومات التي يتم معالجتها وتخزينها ونقلها من خلال أنظمة معلومات متصلة بشبكات بينية”.
ما هو تدقيق الأمن السيبراني؟
تدقيق الأمن السيبراني هو عملية فحص أنظمة الرقابة الأمنية المطبقة في كيانات الأعمال للتأكد من توفر المعلومات وسلامتها وحماية سريتها.
يغطي نطاق تدقيق الأمن السيبراني كافة أنظمة الرقابة وممارسات الإدارة والحوكمة والمخاطر والالتزام الرقابي المطبقة على مستوى كيان الأعمال، هذا بالإضافة إلى الأطراف الأخرى الملتزمون بعقود تتضمن حقوق التدقيق.
ما هي الجهات التي تم تصميم تدقيق الأمن السيبراني لها؟
يُمكن تنفيذ تدقيق الأمن السيبراني على أي كيان، إلا أن بنك الكويت المركزي قد أوجب على البنوك المحلية والتي تضم كافة البنوك الكويتية وفروع البنوك الأجنبية المرخصة من بنك الكويت المركزي، تعيين طرف ثالث مستقل للقيام بتدقيق نظم الأمن السيبراني، والذي يؤكد فيه الالتزام بالإطار الاستراتيجي الذي يهدف إلى ضمان فاعلية نظم الأمن السيبراني.
ما هو الهدف من تعيين مدقق مستقل؟
إن تعيين طرف ثالث مستقل متخصص هو أحد أدوات تطبيقات الحوكمة.
ما هي الشروط الواجب توافرها في المدقق المستقل؟
يجب أن تتوافر الشروط التالية في المدقق الخارجي المستقل:
- أن يكون طرف ثالث مستقل (طرف خارجي)، وأن يتم اعتماده من بنك الكويت المركزي قبل التعيين.
- أن يكون لديه فريق عمل مؤهل علمياً ومهنياً، ولديه خبرات سابقة في مجال تدقيق نظم الأمن السيبراني.
وجدير بالذكر أن مكتب بيكر تلي مسجل لدى بنك الكويت المركزي لتقديم هذه الخدمة.
ما هي المدة الزمنية المسموح بها لتعيين المدقق المستقل لتقديم خدمات تدقيق الأمن السيبراني للبنوك المحلية؟
المدة الزمنية لتعيين مدقق مستقل لتقديم خدمات تدقيق الأمن السيبراني لنفس البنك هي سنتان، وذلك وفق ما أشار إليه الإطار الاستراتيجي للأمن السيبراني للقطاع المصرفي الصادر من بنك الكويت المركزي.
ما هي دورية تقرير تدقيق الأمن السيبراني؟
يجب تقديم تقرير تدقيق الأمن السيبراني بشكل ربع سنوي إلى مجلس الإدارة للتمكن من متابعة ومراقبة ملاحظات التدقيق المستقل الواردة في التقرير، وفقاً لما أشار إليه الإطار الاستراتيجي للأمن السيبراني للقطاع المصرفي الصادر من بنك الكويت المركزي.
علاوة على ذلك، يجب تقديم تقرير تدقيق الأمن السيبراني السنوي إلى بنك الكويت المركزي من قبل الجهات الخاضعة للإشراف طبقاً لما ورد في دليل الأمن السيبراني الصادر من بنك الكويت المركزي.
لمن يوجه المدقق المستقل تقريره بشأن الأمن السيبراني؟
يجب توجيه تقرير المدقق المستقل حول الأمن السيبراني إلى مجلس الإدارة بشأن الملاحظات المرفوعة في التقرير، وفق ما أشار إليه الإطار الاستراتيجي للأمن السيبراني للقطاع المصرفي الصادر من بنك الكويت المركزي.
من المسؤول عن إجراء تقييم الحد الأدنى لمتطلبات أنظمة الأمن السيبراني؟
يتعين على الجهات الخاضعة لرقابة بنك الكويت المركزي استخدام نموذج التقييم الذاتي للحد الأدنى لمتطلبات أنظمة الأمن السيبراني (baseline maturity) وإجراء التقييم الذاتي بهدف تقييم مدى توفر وكفاية الحد الأدنى لمتطلبات أنظمة الأمن السيراني المطبقة لديها والتي حددها بنك الكويت المركزي طبقاً لما ورد في الإطار الاستراتيجي للأمن السيبراني للقطاع المصرفي.
كيف يُمكن لتدقيق الأمن السيبراني مساعدة كيانات الأعمال؟
- ضمان الالتزام بالمتطلبات الرقابية الصادرة عن بنك الكويت المركزي للقطاع المصرفي.
- تعزيز ثقة أصحاب المصالح في موثوقية النظم التكنولوجية بما يضمن استمرارية الخدمات.
- ضمان الحفاظ على سرية المعلومات وخصوصية البيانات المتعلقة بالمستفيدين.
- إدارة المخاطر المتعلقة بالهجمات السيبرانية بشكل استباقي بما يعزز الاستراتيجية العامة لكيانات الأعمال.
ما هي الخدمات التي يقدمها بيكر تلي الكويت في مجال تدقيق الأمن السيبراني؟
يقوم بيكر تلي بتقديم مجموعة من الخدمات المتعلقة بتدقيق النظم المتعلقة بالأمن السيبراني، ومنها ما يلي:
- دورة تطوير البرمجيات الآمنة
- متطلبات الأمن السيبراني للتكنولوجيا الناشئة
- الخدمات المصرفية عبر الهواتف المتنقلة
- الخدمات الذاتية للعملاء
- التكنولوجيا الداعمة لمبدأ عدم التلامس
- إدارة صلاحيات الدخول
- التشفير
- إدارة التغيير
- إدارة القدرات
- خصوصية البيانات
- أمن الرسائل الالكترونية
- أمن الأجهزة النقالة
- حماية السمعة
- إدارة الحوادث الأمنية
- إدارة نقاط الضعف
- أمن الموارد البشرية
- التوعية والتدريب الخاص بأمن المعلومات
- الأمن المادي والبيئي
- استمرارية الأعمال والتعافي من الكوارث
- إدارة التهديدات والهجمات السيبرانية
لماذا اختيار بيكر تلي الكويت لتقديم هذه الخدمة؟
إن بيكر تلي يتميز بخبرات مهنية متخصصة، ويقدم العديد من المزايا التي تصب جميعها في خدمة عملائنا.
وتشمل تلك المزايا ما يلي:
- أحد المكاتب العالمية العاملة في دولة الكويت.
- لدينا مختبرات عالمية مجهزة بأحدث الأدوات المتخصصة في تقييم مواطن الضعف واحتمالات الهجمات السيبرانية.
- لدينا قواعد بيانات محدثة عن الأنظمة الآلية بما يمكننا من تدقيق الأمن السيبراني لأية بيئة تكنولوجية متوافرة لدى العميل.
- لدينا قواعد بيانات محدثة عن الأساليب الجديدة المستخدمة في الهجمات السيبرانية وآليات منعها.
- خبرة محلية ضمن إطار شبكة عالمية تضم أكثر من 250 خبير في مجال الأمن السيبراني.
- فريق ثنائي اللغة.
خدمات ذات صلة
- استراتيجية تكنولوجيا المعلومات
- حوكمة تكنولوجيا المعلومات
- التحول الرقمي
- إدارة البيانات الضخمة
- استشارات الأمن السيبراني
- تأهيل كيانات الأعمال لشهادة الآيزو ISO 27001
- تأهيل كيانات الأعمال لشهادة الآيزو ISO 22301
- خطة التعافي من الكوارث
- إدارة المشاريع التكنولوجية
- استشارات التكنولوجيا المالية
- التدقيق الداخلي لتكنولوجيا المعلومات
- تقييم أمن العملاء وفق إطار سويفت
- أدلة السياسات والإجراءات لتكنولوجيا المعلومات