إدارة الأمن
إدارة الأمن هو مجال في إدارة الأعمال التي تركز على سلامة الأصول (الموارد) في المنظمة، أي كل من السلامة المادية والأمن الرقمي. ترتبط إدارة الأمن ارتباطاً وثيقاً بإدارة المخاطر وتهدف إلى إيجاد حل آمن دائم لهذه الظروف من خلال مختلف الأساليب والإجراءات والمبادئ التوجيهية والمعايير، مما سيساعد على منع المخاطر المحددة. إدارة الأمن هي مجموعة منتظمة ومتكررة من الأنشطة المترابطة لتقليل احتمالات المخاطر. والغاية من إدارة الأمن مماثل لإدارة المخاطر، لتجنب المشاكل أو الظواهر السلبية (المخاطر والتهديدات الأمنية)، وتجنب إدارة الأزمات، وتجنب خلق المشاكل. إدارة الأمن في المنظمات تحتوي إلى ضمان التحصيل المصرح إلى الأصول (ولا سيما التمويل والمعلومات والعقارات وتكنولوجيا الإتصالات والمعلوماتية). ولذلك فإن إدارة الأمن مرتبطة في إدارة التخويل.[1]
وقاية الخسارة
يركز مبدأ وقاية الخسارة على أنواع الأصول وطرق حمايتها. أحد المكونات الرئيسية لمنع الخسائر هو تقييم التهديدات المحتملة لنجاح تحقيق الهدف. يجب أن يتضمن هذا الفرص المحتملة التي تحقق الهدف. نظرية التوازن الاحتمالي ودراسة العواقب يحددان ويطبقان تدابير للحد من تلك التهديدات أو القضاء عليها.
إدارة المخاطر الأمنية
إدارة المخاطر الأمنية تطبق مبادئ إدارة المخاطر على إدارة التهديدات الأمنية. وهي تتألف من تحديد التهديدات (أو أسباب المخاطر)، وتقييم فعالية الضوابط الموجودة لمواجهة تلك التهديدات، وتحديد عواقب المخاطر، وتحديد ترتيب المخاطر من خلال تقييم الاحتمالية والعواقب، وتصنيف نوع المخاطر واختيار رد الفعل المناسب من بين خيارات المخاطر أو استجابة المخاطر. في عام 2016، تم تطوير معيار عالمي لإدارة المخاطر في هولندا. في عام 2017 تم تحديثه وتسميته: “Universal Security Management Systems Standard 2017"
المعيار العالمي لانظمة إدارة الأمن
Universal Security Management Systems Standard 2017
ينص هذا المعيار متطلبات تنفيذ وتشغيل إدارة أمن نظام من أجل تحقيق أمن وسلامة الأشخاص، ومصالح وأصول المنظمة ضد خصوم خبيثين مثل المجرمين والإرهابيين. هذا المعيار يدرس عملية معرضة لعدة مخاطر ذا أصحاب مصلحة. يتم تحسين هذه العملية باستمرار من خلال دورة “تخطيط- عمل- تحقق- فعل”.
تم صياغة هذا المعيار وفقًا لهيكل المستوى العالي لأنظمة إدارة ISO. وهذا يضمن التوافق والتكامل السلس مع أنظمة الإدارة الأخرى، مثل إدارة استمرارية الأعمال ISO 22301، و ISO 27001 و ISO 27002 إدارة أمن المعلومات، وإدارة الأصول ISO 55000. يشمل هذا المعيار حماية جميع الأجزاء والعمليات والمواقع والبنى التحتية والأنظمة والأصول الملموسة وغير الملموسة ومصالح المنظمة. تحدد هذه المواصفة القياسية المتطلبات التي يمكن استخدامها للحصول على شهادة أنظمة إدارة الأمن
أنواع المخاطر
الخارجية
- الاستراتيجية: مثل المنافسة الاقتصادية وطلب الزبائن
- العمليات: التنظيم والموردين والعقود
- المالية: ائتمان
- الخطر: الكوارث الطبيعية، السيبرانية، الإجرام الخارجي
- الالتزام: حيث يتم إنشاء متطلبات تنظيمية أو قانونية الجديدة، أو يتم تغيير متطلبات حالية، مما يعرض المنظمة لمخاطر عدم الالتزام إذا لم يتم اتخاذ تدابير لضمان الالتزام
الداخلية
- الاستراتيجية: البحث والتطوير
- العمليات: الأنظمة والعمليات (كشف رواتب -قسم الموارد البشرية)
- المالية: السيولة، التدفق النقدي
- المخاطر: السلامة والأمن الموظفين والمعدات
- الالتزام: قد تؤدي التغيرات الفعلية أو المحتملة في أنظمة المنظمة وعملياتها ومورديها إلى التعرض لعدم الالتزام القانوني أو التنظيمي
خيارات المخاطر
تجنب المخاطر
الخيار الأول الذي سنناقشه. إن إمكانية القضاء على وجود فرصة جنائية أو تجنب خلق مثل هذه الفرصة هي دائماً الحل الأفضل، عندما لا يتم إنشاء اعتبارات أو عوامل إضافية نتيجة لهذا الإجراء الذي من شأنه أن يخلق مخاطر أكبر. وكمثال على ذلك، فإن إزالة جميع المبالغ النقدية من منفذ البيع بالتجزئة من شأنها أن تقضي على فرصة سرقة الأموال النقدية - ولكنها ستزيل أيضا القدرة على إدارة الأعمال
تقليل المخاطر
عند تجنب أو القضاء على الفرص الجنائية التي تتعارض مع القدرة على إدارة الأعمال، فإن الخطوة التالية هي تقليل الفرصة والخسارة المحتملة إلى أدنى مستوى يتفق مع وظيفة الشركة. في المثال أعلاه، قد يؤدي تطبيق تقليل المخاطر إلى عدم احتفاظ النشاط التجاري إلا بنقود كافية فقط ليوم واحد
انتشار المخاطر
إن الأصول التي تبقى مكشوفة بعد تطبيق التخفيض والتجنب هي مواضيع انتشار المخاطر. هذا هو المفهوم الذي يحد من الخسارة أو الخسائر المحتملة عن طريق تعريض الجاني إلى احتمال الكشف والتوقيف قبل اكتمال الجريمة من خلال تطبيق الإضاءة المحيطة والنوافذ المحظورة وأنظمة كشف التطفل. الفكرة هنا هي تقليل الوقت المتاح لسرقة الأصول والهروب دون تخوف
نقل المخاطر
نقل المخاطر إلى البدائل الأخرى عندما لا يتم تخفيض تلك المخاطر إلى مستويات مقبولة. تتمثل الطريقتان الأساسيتان لإنجاز نقل المخاطر في تأمين الأصول أو رفع الأسعار لتغطية الخسارة في حالة ارتكاب فعل إجرامي. بشكل عام، عندما يتم تطبيق الخطوات الثلاث الأولى بشكل صحيح، تكون تكلفة نقل المخاطر أقل بكثير
قبول المخاطر
يجب ببساطة أن تفترض جميع المخاطر المتبقية من قبل العمل كخطر لممارسة الأعمال التجارية. وتشمل هذه الخسائر المقبولة الخصومات التي تم إجراؤها كجزء من التغطية التأمينية
تنفيذ السياسة الأمنية
كشف التسلل
جهاز إنذار
صلاحية الدخول
أقفال، بسيطة أو متطورة، مثل التوثيق البيومترية
الأمن الجسدي
- العناصر البيئية (مثل الجبال والأشجار وغيرها)
- متراس
- حراس الأمن (مسلحين أو غير مسلحين) مع أجهزة اتصال لاسلكية (مثل راديو ثنائي الاتجاه)
- الإضاءة الأمنية (الأضواء، إلخ.)
- كاميرات مراقبة
- أجهزة كشف الحركة IBNS
الإجراءات
- التنسيق مع وكالات تطبيق القانون
- إدارة الاحتيال
- إدارة المخاطر
دراسات إدارة الأمن
لدراسات الأمنية هي دورة دراسية تركز على إدارة الأمن. ومن بين المواضيع التي يتم إدراجها بشكل عام في دورة الدراسات الأمنية هي منع الخسارة وإدارة المخاطر، ومعالجة التهديدات المادية المحتملة مثل هذا الإرهاب أو السرقة بالإكراه، ومجموعة متنوعة من التهديدات والخسائر المحتملة الأخرى مثل السرقة والاحتيال. غالبًا ما تتم تغطية مواضيع أخرى في الدراسات الأمنية التي تشمل الوعي بالصحة والسلامة، وإدارة علاقات العملاء، وإدارة النزاعات، والتحكم الجسدي، والتحكم، والدفاع عن النفس، والسلامة من الحرائق، والإسعافات الأولية، ومراقبة الدخول، ودراسة القوانين ذات الصلة، والاحتجاز الخاص وإجراءات الاعتقال والاتصالات، وعلم الجريمة، واللياقة البدنية، وتطبيقات تكنولوجيا المعلومات، وغيرها من التكنولوجيا مثل مراقبة الدوائر التلفزيونية المغلقة، والإجراءات الإدارية مثل كتابة التقارير.
تتوفر برامج الشهادات والدبلوم في الدراسات الأمنية من خلال الكليات الخاصة وبرامج التعليم المستمر. كما تقدم بعض المنظمات التدريب الداخلي بالشراكة مع معهد مهني يمثل صناعة الأمن في بلد معين. تستغرق الدورات من هذا النوع عادة سنة على الأقل لإكمالها؛ يجب عدم الخلط بين منهج الدراسات الأمنية والمتطلبات الأساسية لتلبية متطلبات الترخيص للهيئات النظامية التي تنظم صناعة الأمن الخاصة.
قد يتقدم الخريجون في الدراسات الأمنية إلى التعليم العالي و / أو المزيد من التدريب في مجالات الدراسة ذات الصلة، أو المناصب الإشرافية / الإدارية في قطاع الأمن، أو التدريب المهني كمحقق خاص. كما يمكن أن يؤدي إكمال التدريب على الدراسات الأمنية إلى تحسين فرص المرشح في الحصول على عمل في مجال إنفاذ القانون أو الجيش أو النظام الإصلاحي.
المجالات الرئيسية لإدارة الأمن المادية والرقمية في المنظمات
- الأمن المادي
- أمن الممتلكات (بما في ذلك النقد والأشياء الثمينة)، وأمن المباني، وحراس الأمن
- الأمن الشخصي، بما في ذلك إدارة الموارد البشرية
- أمن المعلومات - فيما يتعلق بحماية القانون أو المعلومات المحمية أو ذات القيمة التعاقدية
- أمان الكمبيوتر - من حيث الاستخدام ومجموعة من الأجهزة والبرمجيات، بما في ذلك الأدوات الخاصة (مثل الحماية وتتبع النشر واعتراضه)
- السلامة والصحة المهنية، الحماية من الحرائق
- إدارة الاحتيال، تدقيق الطب الشرعي
مناصب في إدارة الأمن
إن إدارة الأمن للأعمال والشركات اليوم معقدة. ويتحمل رئيس الأمن (CSO) في الشركة مسؤولية تحديد أصول المنظمة ثم الإشراف على الوثائق ووضع وتنفيذ أي سياسات / إجراءات ضرورية لحماية تلك الأصول. يمكن تقسيم مسؤوليات رئيس الأمن إلى أربع فئات أساسية: أمن المعلومات ومراجعة الحسابات، أساسيات الأمن، الأمن المادي واستمرارية العمل، والقيادة الأمنية.
- مدير الأمن (CSO) هو المسؤول عن إدارة الأمن في المؤسسات الكبيرة والمتوسطة. يتحمل المالك والسلطة القانونية والإدارة العليا بطبيعة الحال أعلى مسؤولية، كما هو الحال في إدارة المخاطر.
- في العديد من المؤسسات الكبيرة، هناك مهنة من مدير أمن المعلومات (CISO) تركز حصرا على المعلومات وأمن تكنولوجيا المعلومات. إن عنوان نائب الرئيس أو مدير أمن الشركات هو الحل الأمني على مستوى الشركة.
- قد يكون لدى المؤسسات والمنظمات الكبيرة العاملة في بيئة خطرة (مثل البنوك وشركات التأمين) مزيد من المتخصصين في إدارة الأمن.
- في المنظمات الصغيرة، تتمركز مسؤولية إدارة السلامة على مستوى السلطة القانونية، لأنه ليس من الفعال توظيف مدير أمن مخصص بدوام كامل.
الطرق الأكثر شيوعًا في إدارة الأمن
- CLA تحليل قائمة المراجعة
- CCA تحليل السبب والنتيجة
- CRAMM تحليل المخاطر وطريقة الإدارة
- ETA تحليل شجرة الأحداث
- FMEA (تحليل نمط وآثار الإخفاق)
- FMECA (تحليل نمط وآثار وحرجية الإخفاق)
- FTA (تحليل شجرة الأخطاء)
- HAZOP (دراسة المخاطر والقدرة التشغيلية)
- Hazid (دراسة تحديد المخاطر)
- تحليل HRA (تحليل الموثوقية البشرية)
- PHA (تحليل المخاطر الأولية)
- التوقع
- أساليب الاحتمال
- RR (الترتيب النسبي)
- SA (تدقيق السلامة)
- SR (مراجعة السلامة)
- ماذا لو تحليل الحساسية
التقنيات التحليلية المستخدمة لتحديد المخاطر الأمنية
- العصف الذهني
- الكتابة الدماغية
- التوقع
- مبدأ باريتو (المبدأ 80/20)
- تحليل PESTLE تحليل البيئة الخارجية والمحيطة
- تقنية السيناريو
- SMART هدف ذكي
- تحليل SWOTتحليل رباعي
- تحليل VRIO
- مصفوفة أزمات ونترلنغ
الأمن المادي واستمرارية الأعمال
منع الاحتيال
يجب على ضباط الأمن أن يجعلوا النظام هدف ذا جاذبية منخفضة بالنسبة للتهديدات المحتملة. الضوابط الداخلية القوية هي الخطوة الأولى لتحقيق هذه الغاية. يجب أن تكون الضوابط سلسة وتتطور مع مرور الوقت ومع نمو الأعمال وتغييرها. التكنولوجيا والاحتيال المجتمعي يتطوران أيضاً. وكذلك القوانين والتشريعات. لكن الأمر الأكثر فائدة هو تثقيف القوى العاملة بأكملها حتى يصبحون شركاء في هذه العملية الشاملة. الجميع يمكنه أن يساعد على حماية المنظمة.
إدارة معلومات الأمن المادي (PSIM)
تتكون من دمج تكنولوجيا المعلومات مع ذكاء الأعمال لجمع وتحليل البيانات من أجهزة الاستشعار المادية ومقاطع الفيديو والسجلات. هذه البيانات تصبح معلومات يمكن استخدامها لاتخاذ قرارات بشأن الممارسات الأمنية والتجارية. إن التقنيات والعمليات الداعمة لإدارة معلومات الأمن المادي تجعلها أساس مستقبل الأمن.
الاتجاهات اليوم التي تجعلها أكثر متناولة اليد وبأسعار معقولة وعملية هي: المدراء التنفيذيين يطلبون المزيد والمزيد من البيانات؛ وجود برمجيات جديدة للبيانات الأمنية؛ أصبحت العمليات التقليدية غير فعالة؛ تستخدم الشركات المزيد والمزيد من البرمجيات ذا الوظائف الحاسمة؛ مبادئ إدارة معلومات الأمن المادي تنتج التوعية الظرفية؛ وتكاليف المنتجات التكنولوجية تنخفض بإستمرار.
أمن المعلومات ومراجعة الحسابات
اختبارات الاختراق
منظمات المجتمع المدني التي تعمل بفعالية وتستخدم اختبارات الاختراق المطلوبة لأداء متطلبات التدقيق / اللوائح لجمع البيانات الأكثر فائدة ممكنة. تم تصميم اختبار الاختراق لتحديد واستغلال نقاط ضعف أي شركة. إتباع البيانات لتطوير ملف تعريف للمهاجمين المحتملين. يجب جمع جميع المتجهات المحتملة للهجوم، ثم تصميم قواعد الاشتباك واختيار فريق الهجوم. بعد المحاولة، يجب القيام بالإبلاغ عن النتائج لقياس التقدم ثم تطوير وتنفيذ أي تغييرات مطلوبة.
استخدام السحابة
هناك العديد من المشكلات الأمنية التي تثار حول استخدام الشركات والمؤسسات للحوسبة السحابية. يجعل استخدامه في التوصيل والتشغيل فوريًا جذابًا وسهل الاستخدام. كما أنه يجعل من المستحيل إجراء تقييم نهائي للمخاطر النسبية. على الرغم من أن تحالف (CSA) يعمل على هذا، فإن الأمان في السحابة سيظل مصدر قلق كبير في المستقبل القريب.
إدارة السجل
إن CSO مسؤول عن إدارة السجلات، والتي تتضمن تحديد المعلومات التي تقرر الشركة تسجيلها، وكيفية القيام بها، ومدة الاحتفاظ بالمعلومات. وهذا يتطلب فعليًا استخدام أنظمة ذكاء الأعمال (BI)، حيث يتم استخدام العديد من نفس الوظائف في BI في إدارة السجلات (مثل استخراج البيانات والتخزين). في نظام BI ، يمكن أن تكون هذه البيانات متاحة للمؤسسة بأكملها وليس فقط المخزنة في صومعة. يمكن لموظفي العمليات الوصول إلى البيانات لتحليل الاتجاهات لفترات زمنية أطول من أي وقت مضى، مما يحسن من الأمن العام للأعمال. SIEMS (نظام إدارة معلومات النظام وإدارة الأحداث) يأخذ جمع السجلات إلى المستوى التالي من خلال التجميع، الارتباط، التنبيهات والتقارير.
إدارة نقاط الضعف
نقاط الضعف هي البوابات التي تدخل التهديدات من خلالها المؤسسة. كلما زاد عدد التطبيقات التي تنشرها الشركة، زادت نقاط الضعف التي تنشأ عنها لنفسها. يجب أن تحدد إدارة الأمن نواقل التهديد الرئيسية داخل الشركة. الخطر الأكبر هو قوة التهديد للحصول على موطئ قدم في مكان ما، ثم الانتقال إلى جزء آخر من النظام. يمكن إجراء اختبار الضعف مع pOf (الكشف عن نظام التشغيل السلبي)، إن ماب، Nessus أو Hping. عندما يتم اكتشاف نقاط الضعف، يجب التعامل معها أو لا يحقق الاختبار أي شيء.
أمان الشبكة
مفاتيح أمن المعلومات هي بناء الشبكة / النظام بشكل صحيح في البداية، ثم معرفة حركة المرور القادمة والخروج منها. إجراء تحليل ناقلات التهديد، ثم تأكد من وجود التحكم في الوصول القائم على الدور RBAC. الفصل بين الواجبات وفصل الخدمات يكون فعالا عندما يتم التعامل مع الأموال. التشفير فعال للغاية.
أمان نقطة النهاية
يستمر استخدام الشبكات اللاسلكية في النمو وتتصل الهواتف المحمولة وأجهزة المساعد الرقمي الشخصي بالإنترنت في جميع الأوقات. يجب أن تساعد منظمات المجتمع المدني منظماتهم على فهم أنه من الضروري أن تقوم أمانتهم بتصميم الأمان على هذه الأجهزة بأنفسهم كأمن نقطة النهاية. الهندسة المعمارية الموجهة للخدمة (SOA)، التي لديها الخدمات المصرفية عبر الإنترنت، هي موجة المستقبل.
الأمان اللاسلكي
تتميز جميع أجهزة الهواتف الذكية الجديدة المتوافقة مع الويب بالتهديد المركزي المتمثل في اعتراض الاتصال أثناء عمليات الإرسال. الحماية الأساسية للشبكات اللاسلكية هي التشفير والمصادقة.
سرقة االهوية
إن تقنية الوقاية الجديدة من مصادقة المرسل تبشر بالخير للحد من محاولات الاعتداء والتصيد. غيرت الشركات الطرق التي تستخدم بها البريد الإلكتروني لعملائها لمنع لصوص الهوية من استخدامه.
إدارة الهوية
إدارة الهوية والوصول تسير جنبا إلى جنب. يجب أن يكون لدى نظام إدارة الهوية دليل لمستخدمي أنظمة البيانات الشخصية، وطرق تنظيم الوصول، وسياسات الأمن، وإعادة ضبط كلمة المرور، وإدارة دورة الحياة ونظام التدقيق.
أمان الصوت عبر الإنترنت
يتم زيادة نقاط الضعف الأمنية مع مقدمة كل جهاز IP جديد إلى شبكة المؤسسة. تهديدات مثل هجمات هجمات الحرمان من الخدمات وهجمات الحرمان من الخدمات، والتنصت على الشبكة الأساسية، وعدم حدوث تصلب بين البنود VOID من قبل البائعين و SPITing تحدث. يجب أن تطلب الشركات دليلاً على صلابة من البائعين قبل شراء الهواتف الذكية أو IP IBX من أجل السلامة. يجب التأكد من تغيير كلمات مرور المصنع الافتراضية عند استلام المعدات وقبل تثبيتها للاستخدام. يجب أن تبقى منظمات المجتمع المدني متعلمة بشأن التهديدات / الحلول ذات الصلة حيث أن استخدام VOIP أصبح أكثر انتشارًا.
إدارة علاقات العملاء
طرق جديدة في تقنيات إدارة المخاطر في ميادين الإدارة الأمنية وإدارة علاقات العملاء
هناك تغيير كبير في الطرق التي تتبعها الشركات في ما يتعلق في إدارة الأمن، خاصةً عندما تتوجه الشركة من التركيز على المنتج التي تصنعه إلى التركيز والتمحور حول ألزبائن والعملاء. إدارة علاقات الزبائن والعملاء هي أحد نتائج هذا التغيير، والتي تتميز بإعادة توجيه نظام المعلومات وتكوين وابتكار البرمجيات ألمناسبة.
إدارة علاقة الزبائن يمكن تفسيرها بطرق مختلفة، إلا أن بحثنا سوف يتمحور حول العلاقة بين طبيعة الإدارة وإدارة الأمن، خاصة في إطار إدارة المخاطر. الهدف الاساسي وراء هذه الإستراتيجية، هو تحسين وإيجاد أفضل الحلول في ما يخص العلاقات مع العملاء، بالإضافة، هذه الإدارة لها دور فعال في تطوير خطط التسويق وتحسين الشبكات مع شركات أخرى.
وبالرغم من المجهود الكبير الذي تضعه الشركات من أجل رفع فعالية نظام الإدارة هذا وتأثير قرارات الإدارة، إلا أن الاحصائيات تعكس إن قرارات غير منطقية وصحيحة يتم اخذها في هذا النظام. خبراء في مجال علوم الكمبيوتر والإنترنت إستنتجوا أن أخطاء كثيرة تم ايجادها بسبب قلة الدقة في البيانات والمعلومات أو عدم تواجدها (بما إنه نظام قيد التطوير). من أجل النجاح في أخذ أل قرارات الصعبة والمعقدة، هذا النظام بحاجة إلى نظام إدارة معلومات فعال، ما يخلق ما يسمى بنظام النظم. إدارة المعلومات تساعد في إيجاد وجمع معلومات دقيقة، مؤهلة وجديدة في ما يخص الأسواق، الشركة، والمنافسون . فما دور إدارة الأمن في هذا النظام الإداري؟ أثبت الخبراء أن إدارة الأمن مهم جدا في رفع إداء نظام إدارة المعلومات. هذا البحث سوف يعرض براهين أن تأسيس نظام إداري أمني معلوماتي ISMS هو ضروري من أجل إدارة علاقة العملاء والزبائن بشكل فعال، علمي ومعلوماتي دقيق.
إدارة البيانات في CRM
لطالما شكلت جودة البيانات مشاكل. تؤدي البيانات غير الصحيحة أو غير المكتملة إلى إحباط داخلي وتسويق غير دقيق. على الرغم من إنفاق مبالغ طائلة على برامج إدارة علاقات العملاء، إلا أن معظمها يذكر أنه لم يكن هناك سوى القليل من التحسينات الرئيسية في جودة بيانات العملاء في السنوات القليلة الماضية. يظهر هذا البحث أن معظم مديري CRM بحاجة إلى زيادة التحسن الكبير في جودة إدارة البيانات. إنشاء وتنفيذ إدارة البيانات اصبحوا جزءًا مهمًا من زيادة جودة بيانات إدارة علاقات العملاء. وبالطبع، فإن بذل المزيد من الجهد على طريقة إدارة البيانات يؤدي إلى ارتفاع حاد في الفوائد على المدى القصير والطويل ويمتد في السوق.
تضمن إدارة البيانات أن المنظمة
- لديها ت مراقبة لتدفقات البيانات داخل وخارج العمل
- تعرف ما هي البيانات التي يتم جمعها ولماذا
- تعرف كيف يتم استخدام البيانات في المنظمة
- تعرف قيمة البيانات التي تجلبها لعملياته التجارية.
في الآونة الأخيرة، حققت العديد من الشركات استثمارات كبيرة في مبادرات الأعمال الإلكترونية. وكانت الخطوة الأولى هي التأكد من أن الأنظمة التشغيلية في شركتهم الإلكترونية الجديدة تفي بالمتطلبات المالية وتنفذ وفق المعايير المقبولة. اضطرت العديد من الشركات إلى إعادة هندسة مواردها لتحسين الأمن، وزيادة نطاق النظم بحيث تم الوصول إليها من خلال تدفقات أكبر من العملاء وأكثر من المتوقع. مع هذه الأهداف المحققة، تركز العديد من الشركات الآن على استخدام أنظمتها لإدارة العملاء لزيادة الربحية.
المشاكل الأمنية والإدارية التي يمكن إن تواجهها الشركة
- التقاط البيانات: فهم البيانات التي يجب التقاطها وفي أي مرحلة من العلاقات، وبأي طريقة وكم مرة.
- نظم البيانات: مراجعة احتياجات التغيير إلى أنظمة البيانات لإدارة الأعمال الإلكترونية.
- جودة البيانات والصيانة: فهم طريقة الاحتفاظ بالبيانات، ومعرفة ما لديك ومدى جودة ذلك.
- تحليل البيانات: إثراء بيانات الخروج وتحديد كيفية تحقيق أقصى استفادة منها. في بيئة الأعمال الإلكترونية، فإن نطاق البيانات التي يمكن تحليلها لا يشمل فقط التفاصيل القياسية الخاصة بالعملاء
- ولكن أيضًا الطرق التي يستخدمها هؤلاء العملاء في استخدام قنوات الأعمال الإلكترونية.
- أمان البيانات: بما في ذلك خصوصية البيانات والاحتيال.
السرية والأمن على الشبكة العالمية منخفضة. نتيجة لذلك، لا يوجد ضمان على تحليل CRM إذا لم يتم استخدام نظام إدارة أمان CRM
الطريقة المقترحة على نظام إدارة أمان CRM
هناك تركيز دولي متزايد على حماية البيانات والخصوصية في عصر الاتصالات. تحتاج الشركات العالمية إلى ضمان حماية حقوق الأفراد والمعلومات بشكل ملائم. وبما أن بلدانًا مختلفة اتخذت مواقف مختلفة، فقد تسببت في مجموعة غير متناسقة من القواعد، فهناك ضغط متزايد للعمل معاً لحماية حقوق المستهلكين، حيث أن المعلومات الشخصية تتجاوز الحدود الدولية. خلال السنوات الأخيرة، تعتمد المنظمات الحكومية والتجارية بشدة على استخدام المعلومات في إدارة أعمالها. يمكن أن يؤدي فقدان السرية والنزاهة والتوافر والمساءلة والأصالة والموثوقية للمعلومات والخدمات إلى تأثيرات ضارة على المنظمة .من ناحية أخرى، استخدام نظام إدارة علاقات العملاء في جميع مستويات المنظمة ، يمكن أن يشكل خطر على أمن المعلومات ؛ لذلك ، يجب على مسؤولي تقنية المعلومات مراقبة الأمن على شبكات الكمبيوتر الضخمة والمعقدة. إن هذا الشرط لحماية المعلومات له أهمية خاصة في بيئة اليوم لأن العديد من المنظمات مرتبطة داخليًا وخارجيًا بشبكات أنظمة تكنولوجيا المعلومات. لقد كانت هذه المشكلة سبباً في تأسيس علم مهني جديد حول إدارة الأمن في إدارة علاقات العملاء لتطبيق نظام ISMS يمكن استخدام عملية CRM-SMS لتحقيق مستويات ملائمة من السرية والنزاهة والتوافر والمساءلة والأصالة والموثوقية في العلاقات التسويقية والحفاظ عليها. تتضمن إدارة أمان CRM تحليل متطلبات الأمان ، ووضع خطة لتلبية هذه المتطلبات ، وتنفيذ هذه الخطة ، وصيانة وإدارة الأمن المنفذة. وفقًا للمعايير الحالية وأنظمة CRM ، يتم اقتراح خمسة خطوات لتنفيذ CRM-SMS وفيما يلي ملخص موجز لكل نشاط من نماذج إدارة المخاطر:
- تحديد الأهداف والاستراتيجيات والسياسات المتعلقة بأمان CRM
- لإنشاء بيئة آمنة لمعالجة بيانات العملاء
- لتقليل مخاطر أمن المعلومات
- لنقل المسؤوليات لحماية المعلومات. من الضروري أن تأخذ سياسة أمان الشركة CRM بعين الاعتبار أهداف الشركة وجوانبها الخاصة.
- تحديد وتحليل التهديدات الأمنية ، ونقاط ضعف أصول أنظمة إدارة علاقات العملاء داخل المنظمة:
الهدف من هذه الخطوة هو تحديد وتقييم المخاطر التي تتعرض لها أنظمة إدارة علاقات العملاء وأصولها ، من أجل تحديد واختيار الضمانات الأمنية المناسبة والمبررة. وأخذ بعين الاعتبار احتمال تهديدات تؤدي إلى الآثار التجارية السلبية المحتملة.
تنفيذ خطة أمان CRM
خطة أمان CRM عبارة عن مستند تنسيق يحدد الإجراءات التي يتعين اتخاذها لتنفيذ الضمانات المطلوبة لنظام إدارة علاقات العملاء. يجب أن تحتوي هذه الخطة على نتائج المراجعة الموضحة أعلاه ، والإجراءات التي يجب اتخاذها ضمن الأطر الزمنية القصيرة والمتوسطة والطويلة لتحقيق مستوى الأمان المناسب والتكاليف وجدول التنفيذ.
لتطبيق الإجراءات الوقائية ، يجب تنفيذ جميع الخطوات الضرورية في خطة أمان CRM. يجب على الشخص المسؤول عن الخطة (والذي عادة ما يكون مسؤول أمن نظام CRM) التأكد من اتباع الأولويات والجدول المحدد في خطة أمان CRM.
تطوير وتنفيذ برنامج الوعي الأمني والتدريب في مجال إدارة علاقات العملاء
الهدف من برنامج التوعية الأمنية هو زيادة مستوى الوعي داخل المنظمة إلى درجة يصبح فيها الأمن طبيعة ثانية وتصبح العملية روتينًا يمكن لجميع الموظفين اتباعه بسهولة.
إلى جانب برنامج التوعية الأمنية العامة ، الذي يجب أن ينطبق على كل شخص داخل المؤسسة ، يلزم توفير تدريب أمني محدد للموظفين الذين لديهم مهام ومسؤوليات تتعلق بأمن CRM. يجب أن تعتمد درجة عمق التدريب الأمني على الأهمية العامة التي يتمتع بها أمان CRM للمؤسسة ، ويجب أن تختلف وفقًا للمتطلبات الأمنية للأدوار المنفذة.
متابعة خطة أمان CRM
تعتبر المتابعة ، رغم أنها مهملة في كثير من الأحيان ، أحد أهم جوانب أمان CRM. نتائج إجراءات المتابعة مثل التحقق من الامتثال الأمني للضمانات المنفذة ، ومراقبة ومراجعة أمان إدارة علاقات العملاء في الاستخدام اليومي ، وتقارير الحوادث الأمنية ذات الصلة
إدارة المخاطر
يجب على أي منظمة ترغب في تعزيز الأمن أن تضع إستراتيجية لإدارة المخاطر ومناسبة لبيئتها (العملاء والمؤسسة ،)، وتحتوي على وسائل للتعامل مع المخاطر بطريقة فعالة. تركز الإستراتيجية المطلوبة على الجهد الأمني عندما يكون ذلك ضروريًا والتمكن من اتباع نهج فعال التكلفة والوقت . إذا قررت منظمة عدم القيام بأي شيء بشأن أمان CRM ، أو تأجيل تنفيذ الضمانات ، يجب أن تكون الإدارة على دراية بالآثار المحتملة لهذا القرار ، من خلال تقرير تقييم المخاطر.
يعتبر تقييم المخاطر هذا خلال مرحلة التخطيط للحيازة خطوة حاسمة. يتم استخدامه لتحديد أنواع عناصر التحكم التي ستكون فعالة من حيث التكلفة وستشكل الأساس لتحديد المواصفات الإلزامية والمرغوبة. يجب أن يأخذ التحليل ، مثل تحليلات الأخطار الأخرى ، بعين الاعتبار الأصول ، والتهديدات للأصول ، نقاط الضعف المحتملة، وما الذي يمكن عمله لتقليل المخاطر. يجب أن يأخذ تقييم المخاطر هذا في الحسبان الضوابط الموجودة وفعاليتها.
يتطلب تقييم المخاطر هذا مشاركة المجموعات الوظيفية الأخرى. سيستخدم تقييم المخاطر هذا المدخلات من تحليل متطلبات السلامة والتوافر والسرية كأساس لتحديد قيمة العملاء وأصول معلومات السوق وتأثير حالات الفشل الأمنية. يجب أن يأخذ اختيار الأنواع المناسبة من الضمانات في الاعتبار نتائج مستوى تحليل الضمان.
يشير التحليل الحالي إلى أن إدارة الأمان تستحق المتابعة في أنظمة إدارة علاقات العملاء.
من الممكن أن يساهم تحليل المخاطر وإدارتها في الإدارة الفعالة لإدارة أمن CRM ، في هذه المرحلة ، يمكن للطريقة المقترحة لنظام إدارة أمان CRM (تسمى CRM-SMS) أن تلعب دوراً حاسماً لزيادة السرية والنزاهة والتوافر والمساءلة والأصالة والموثوقية.
من ناحية أخرى ، تلعب إدارة المخاطر دورًا مهمًا في خدمة الرسائل القصيرة CRM-SMS ولها عدة خطوات: جمع المعلومات ، تحليل الفجوة ، تحديد متطلبات الأمان (يعتمد على سياسة أمان CRM وتقرير تحليل الفجوات)، اتخاذ القرار بشأن خط الأساس أو تقييم المخاطر المفصل ، تقييم خط الأساس ، تقييم المخاطر التفصيلية ، اختيار عناصر التحكم وأخيراً المراجعة والإصلاح.
المراجع
- ^ Management Mania https://managementmania.com/en/security-management نسخة محفوظة 2019-03-08 على موقع واي باك مشين.
- ^ The Basics Of Security Management | EKU Online نسخة محفوظة 8 مارس 2019 على موقع واي باك مشين.
- ^ M.Seify New Method for Risk Management in CRM Security Management IEEE digital library