يتمثل الهدف الرئيسى للبحث فى دراسة الدور الذى تقوم به حوكمة أمن المعلومات فى الحد من المخاطر التى تتعرض لها نظم المعلومات المحاسبية الإلكترونية فى الشركات المصرية، وذلك فى ضوء المعايير الدولية الخاصة بمجال أمن المعلومات مثل الإصدار الخامس من معيار الـCOBIT الصادر فى عام 2013، ومعايير الأيزو ISO/IEC 27016, 27038 الصادرة فى عام 2014، وأثر تطبيق تلك الإصدارات الحديثة على أمن نظم المعلومات المحاسبية.
وقد قام الباحثان لتحقيق هذا الهدف بإجراء دراسة ميدانية على عينة من الشركات والبنوك العاملة فى القرية الذكية بجمهورية مصر العربية من خلال توزيع قائمة استقصاء لاختبار مجموعة من الفروض تمثلت فى: مدى اختلاف الأهمية النسبية للمخاطر التى تتعرض لها نظم المعلومات المحاسبية الإلكترونية، والتعرف على الأسباب وراء حدوث تلك المخاطر، ومدى قيام المنظمات المصرية بتطبيق حوكمة أمن المعلومات، وأخيرًا مدى وجود تأثير جوهرى لمعايير حوكمة أمن المعلومات فى الحد من مخاطر نظم المعلومات المحاسبية الإلكترونية.
وتوصلت الدراسة إلى أن هناك العديد من المخاطر التى تتعرض لها نظم المعلومات المحاسبية الإلكترونية يتمثل أهمها فى المخاطر الخارجية، كما يتمثل أهم أسباب حدوث تلك المخاطر فى عدم وجود سياسات وبرامج لأمن المعلومات داخل تلك الشركات، بالإضافة إلى عدم قيام عدد كبير من عينة الدراسة بتطبيق الأهداف والمبادئ الخاصة بحوكمة أمن المعلومات، وعدم تضمينها داخل استراتيجيتها المستقبلية، وأخيرًا توصلت الدراسة إلى وجود تأثير معنوى لتطبيق معايير حوكمة أمن المعلومات بشكل مستقل على الحد من مخاطر نظم المعلومات المحاسبية الإلكترونية، وأن أكثر تلك المعايير تأثيرًا هو معيار الـCOBIT.
وأوصى الباحثان فى نهاية الدراسة بضرورة وجود نشرات إرشادية لتوعية المنظمات المصرية عن دور وأهمية حوكمة أمن المعلومات من خلال قيام وزارة الاستثمار – مركز المديرين– بإصدار دليل لقواعد ومبادئ ومعايير حوكمة أمن المعلومات بحيث يكون من مرفقات دليل قواعد ومبادئ حوكمة الشركات، وقيام الهيئة العامة للرقابة المالية بإلزام الشركات بتطبيق ما ورد به من قواعد ومعايير.
المصطلحات الأساسية: مخاطر نظم المعلومات المحاسبية الإلكترونية – حوكمة أمن المعلومات – معايير الأيزو ISO/IEC 27K – معيار COBIT 5 – معيار ITIL.
(1) القسم الأول: الإطار العام للبحث
(1/1) مقدمة:
أدت الزيادة السريعة في استخدام التكنولوجيا والإنترنت خلال العقدين الأخيرين إلى الدخول لمجتمع المعلومات، وأصبحت المنظمات تعتمد على أنظمة المعلومات الإلكترونية فى تنفيذ المهام والوظائف المنوطة بها، ومن أهم تلك الأنظمة نظم المعلومات المحاسبية الإلكترونية والتي تُمثل نتائجها نقطة الاتصال بين المنظمة والأطراف ذات العلاقة.
وتواجه نظم المعلومات المحاسبية الإلكترونية مخاطر خطيرة يمكن أن تَستغل نقاط الضعف والثغرات – المعروفة وغير المعروفة على حدٍ سواء – فى هذه النظم. وتتمثل تلك المخاطر فى الهجمات المستهدفة، وتعطل العمل بسبب الكوارث الطبيعية والبشرية، وأخطاء النظام، والفشل الهيكلى، وتسريب البيانات السرية، و... غيرها، وتتضح خطورة هذه المخاطر فى أن قيمة أعمال الجريمة الإلكترونية أصبحت تُقدر بحوالى 105 بليون دولار سنويًا، وهذا الرقم يفوق قيمة أعمال تجارة المخدرات فى جميع أنحاء العالم (Bose & Leung, 2014).
وتؤثر مخاطر أمن المعلومات سلبيًا على المنظمات وعملياتها وأصولها والعاملين بها وقد تؤدى إلى تهديد غيرها من المنظمات، بالإضافة إلى أن حدوث تلك المخاطر يؤدى إلى انخفاض القيمة السوقية للمنظمة (Ito et al., 2010)؛ حيث إنها تهدد سرية ونزاهة ومدى توافر المعلومات المحاسبية التى يتم معالجتها وتخزينها وإرسالها أو الإفصاح عنها بواسطة نظم المعلومات المحاسبية الإلكترونية (National Institute of Standards and Technology, 2011). ولذلك لجأت العديد من المنظمات إلى تطبيق حوكمة أمن المعلومات، التى تهدف إلى حماية الأصول الإلكترونية من مختلف المخاطر المحتملة، من خلال استخدام مجموعة من المعايير الدولية والتى يتم استخدامها على نطاق واسع للتأكد من الوصول لمستوى الأمن المطلوب والكافى.
(1/2) طبيعة المشكلة:
اصبحت تكنولوجيا المعلومات أكثر تعقيدًا من ذى قبل، وارتبط بذلك احتمالات تعرض تلك التكنولوجيا لمخاطر من شأنها أن تؤثر على كفاءة وفعالية نظم المعلومات، وبصفة خاصة نظام المعلومات المحاسبى، ومن ثم على جودة المعلومات المحاسبية؛ حيث يؤدى تعرض تلك النظم للمخاطر إلى التأثير على سرية ونزاهة وتوافر المعلومات، وعلى الرغم من ذلك فإنه فى مجال المال والأعمال لا يمكن الاستغناء عن تلك التكنولوجيا أو حتى الإقلال من الاعتماد عليها، بل على العكس يزداد اهتمام المسئولين بالمنظمات المختلفة بتطوير تكنولوجيا المعلومات وتحقيق أقصى استفادة ممكنة من الإمكانات المتاح استخدامها.
وأصبح من الضرورى على المنظمات أن تهتم بوضع نظم وإجراءات تعمل على الحد من تلك المخاطر، ووضع نظام جيد لإدارتها، ووُجِدَ أن الحلول التكنولوجية ضرورية ولكنها غير كافية فى مواجهة تحديات ومخاطر أمن المعلومات، ومن ثم زاد الاهتمام بأمن المعلومات باعتبارها من المسئوليات التنفيذية المهتمة بالبنية التحتية التكنولوجية على مستوى المنظمة وزيادة التركيز على استراتيجيات متطلبات العمل وإشراك الأشخاص المناسبين، وتوظيف التكنولوجيا المناسبة، وحماية أصول المعلومات الهامة، الأمر الذى أدى بتلك المنظمات إلى اتباع تطبيق منهج شامل يهدف إلى حماية الأصول الأكثر أهمية بالنسبة للمنظمة وهى المعلومات ويعرف هذا المنهج "بحوكمة أمن المعلومات".
ويتزايد الاعتراف بحوكمة أمن المعلومات كقضية بالغة الأهمية للمنظمات من حيث المسئولية، والواجبات الإئتمانية، وتقديم قيمة لتلك المنظمات، وتحسين الوضع التنافسى لها. وتهتم تلك الحوكمة بتأسيس بيئة رقابية مع ضمان توفير الحماية اللازمة للأصول المعلوماتية من المخاطر المختلفة، وكذلك وضع خطة للتطوير المستمر لإدارة المخاطر (Sengupta & Mazumdar, 2011). ولتحقيق ذلك تقوم حوكمة أمن المعلومات بالعمل على تطبيق بعض المعايير الدولية والتى تتناول على وجه التحديد قضايا أمن المعلومات للمنظمة، ومن تلك المعايير: معايير الأيزو ISO، معيار COBIT، معيار ITIL.
وتهتم الجهات التى تُصدر تلك المعايير بالعمل على تطويرها وتحديثها باستمرار حتى تتمكن من مواكبة التطور المماثل الذى يحدث فى مجال تكنولوجيا المعلومات، والجرائم المرتبطة به.
وعلى الرغم من الأهمية المتزايدة لحوكمة أمن المعلومات ودورها الفعال فى إدارة المخاطر التي تتعرض لها نظم المعلومات الإلكترونية داخل المنظمة بصفة عامة، ونظم المعلومات المحاسبية الإلكترونية بصفة خاصة، إلا أنها لم تلق الاهتمام البحثى الكافى فى البيئة العربية بما يكشف عن ماهية وطبيعة حوكمة أمن المعلومات، وما هى أهدافها، ومدى تأثيرها فى الحد من المخاطر التى تتعرض لها أنظمة المعلومات المحاسبية الإلكترونية. ومن ثم تتمثل مشكلة البحث فى الإجابة عن التساؤلات التالية:
ما هى طبيعة المخاطر التى تتعرض لها نظم المعلومات المحاسبية الإلكترونية، وما هى أنواعها؟
ما هى أسباب تَعرُض نظم المعلومات المحاسبية الإلكترونية لتلك المخاطر؟
ما هى حوكمة أمن المعلومات؟ وما هو الدور الذى تلعبه فى حماية الأصول المعلوماتية للمنظمات؟
ما هى المعايير الدولية التى يتم استخدامها فى إطار حوكمة أمن المعلومات؟
هل تساهم معايير حوكمة أمن المعلومات فى الحد من مخاطر نظم المعلومات المحاسبية الإلكترونية؟
(1/3) هدف البحث:
يهدف هذا البحث إلى توضيح الدور الذى تقوم به حوكمة أمن المعلومات فى الحد من المخاطر التى تتعرض لها نظم المعلومات المحاسبية الإلكترونية من خلال المعايير الدولية لحوكمة أمن المعلومات، ويتحقق هذا الهدف الرئيسى من خلال الأهداف الفرعية التالية:
التعرف على نوعية المخاطر التى تتعرض لها نظم المعلومات المحاسبية الإلكترونية.
استكشاف أسباب تعرض نظم المعلومات المحاسبية الإلكترونية إلى المخاطر.
التعرف على ماهية حوكمة أمن المعلومات، والتحقق من مدى استخدامها فى بيئة الأعمال المصرية.
تحديد المعايير المستخدمة عند تطبيق حوكمة أمن المعلومات، وتحديد المعايير الأكثر تأثيرًا فى الحد من مخاطر نظم المعلومات المحاسبية الإلكترونية.
(1/4) أهمية البحث:
تنبع أهمية البحث فى هذا الموضوع من خلال الاهتمام المتزايد بالمخاطر التى تتعرض لها نظم المعلومات المحاسبية الإلكترونية فى المنظمات المختلفة، وقيام الجهات المعنية بإصدار المعايير الدولية بمحاولة مواكبة التطورات السريعة والمتلاحقة فى هذا المجال. ويمكن إيضاح أهمية البحث من خلال ما يلى:
الأهمية العلمية: تتمثل الأهمية العلمية فى محاولة إلقاء الضوء على تنوع وتعدد المخاطر التى تتعرض لها نظم المعلومات المحاسبية الإلكترونية، وتوضيح المحاولات التى تقوم بها المنظمات للحد من تلك المخاطر، وكذلك إلقاء الضوء على منهج شامل يستخدم فى مواجهة هذه المخاطر وهو حوكمة أمن المعلومات، ومعرفة المعايير التى يتم استخدامها عند تطبيق حوكمة أمن المعلومات داخل المنظمات المختلفة.
الأهمية العملية: تتضح الأهمية العملية من خلال الحصول على دليل ميدانى من بيئة الأعمال المصرية حول المخاطر التى تتعرض لها نظم المعلومات المحاسبية، والوسائل والأساليب المستخدمة فى التعامل مع تلك المخاطر، ومدى قيام المنظمات المصرية بتطبيق معايير حوكمة أمن المعلومات للحفاظ على الأصول المعلوماتية لديها.
(1/5) منهج البحث:
اعتمد الباحثان على المنهج العلمى بشقيه الاستنباطى والاستقرائى لتحليل وتقييم الدراسات والبحوث السابقة التى تناولت مخاطر نظم المعلومات المحاسبية الإلكترونية والوسائل والإجراءات التى تتبعها المنظمات فى الحد من تلك المخاطر، ودور حوكمة أمن المعلومات فى ذلك، كما قام الباحثان بإجراء دراسة ميدانية بهدف التعرف على نوعية المخاطر التى تتعرض لها نظم المعلومات المحاسبية فى بيئة الأعمال المصرية، ومدى استخدام حوكمة أمن المعلومات والمعايير المتعلقة بها فى الحد من تلك المخاطر.
(1/6) حدود البحث:
يقتصر البحث على المخاطر التى تتعرض لها نظم المعلومات المحاسبية الإلكترونية فقط، دون الدخول فى التفسيرات أو الدوافع من وراء تلك المخاطر.
يقتصر البحث على دور حوكمة أمن المعلومات فى الحد من مخاطر نظم المعلومات المحاسبية الإلكترونية من خلال المعايير الدولية التى يتم تطبيقها فى إطار حوكمة أمن المعلومات، دون الدخول فى الوسائل والإجراءات الأخرى المتبعة من قِبَل المنظمات للحد من تلك المخاطر والتى من ضمنها إجراءات المراجعة الداخلية.
يقتصر البحث على حوكمة أمن المعلومات، دون التطرق لكل من حوكمة الشركات وحوكمة تكنولوجيا المعلومات، إلا بالقدر الذى يخدم البحث.
يقتصر البحث على إجراءات حوكمة أمن المعلومات التى تتم لحماية عمليات المعلومات الإلكترونية فقط من المخاطر التى تتعرض لها، دون التطرق لحماية عمليات المعلومات المادية.
يقتصر البحث على استقصاء آراء عينة الدراسة وهم: المديرون الماليون والمحاسبون، وموظفو إدارة تكنولوجيا المعلومات، والمراجع الخارجى لشركات الاتصالات، وشركات تكنولوجيا المعلومات، والبنوك العاملة فى القرية الذكية بجمهورية مصر العربية، دون التطرق للشركات والبنوك التي يتم الاستعانة فيها بمصادر خارجية (تعهيدات) لتوفير خدمات تكنولوجيا المعلومات لديها، ودون التطرق لفئات العاملين الأخرى داخل تلك الشركات.
(1/7) تنظيم البحث:
تحقيقًا لأهداف البحث يتم تقسيمه على النحو التالى:
القسم الأول: الإطار العام للبحث.
القسم الثانى: الدراسات السابقة.
القسم الثالث: الإطار العام لحوكمة أمن المعلومات.
القسم الرابع: الدراسة الميدانية.
القسم الخامس: النتائج والتوصيات والتوجهات البحثية المستقبلية.
(2) القسم الثانى: الدراسات السابقة:
(2/1) استعراض الدراسات السابقة المرتبطة بموضوع البحث:
يمكن تقسيم الدراسات السابقة حسب ارتباطها بموضوع البحث إلى نوعين هما:
(2/1/1) دراسات سابقة مرتبطة بمخاطر نظم المعلومات المحاسبية الإلكترونية.
(2/1/2) دراسات سابقة مرتبطة بحوكمة أمن المعلومات.
ويمكن تناول كل منها على النحو التالى:
(2/1/1) دراسات سابقة مرتبطة بمخاطر نظم المعلومات المحاسبية الإلكترونية:
تعددت صور وأشكال المخاطر التى تواجه نظم المعلومات المحاسبية الإلكترونية، فقد تم تصنيفها وتبويبها من وجهات نظر مختلفة، فيمكن تبويبها من حيث مصدرها إلى: مخاطر داخلية ومخاطر خارجية؛ حيث يمثل موظفو الشركة المصدر الرئيسى للمخاطر الداخلية، بينما يمثل قراصنة المعلومات أهم مصدر للمخاطر الخارجية. وأيضًا يتم تبويب المخاطر على أساس العمدية إلى: مخاطر ناتجة عن أعمال متعمدة Intentional مثل: الإدخال المتعمد لبيانات غير صحيحة، ومخاطر ناتجة عن أعمال غير متعمدة Unitentional مثل: الإدخال غير المتعمد لبيانات غير صحيحة، أو تدمير البيانات نتيجة الخطأ. كما تُبوب المخاطر بناءً على الآثار الناتجة عنها إلى: مخاطر ينتج عنها أضرار مادية مثل: تدمير وسائط التخزين، ومخاطر فنية تصيب البيانات الموجودة على الحاسب مثل: إدخال الفيروسات إلى البرنامج الذى يعمل على تشغيل البيانات. وأخيرًا يمكن تبويب المخاطر على أساس علاقتها بمراحل النظام إلى: مخاطر تصيب المدخلات، ومخاطر التشغيل، ومخاطر تتعرض لها مخرجات النظام (أبو موسى، 2004؛ الساكنى والعواودة، 2004).
وقد استهدفت دراسة (Abu-Mousa, 2006) تقييم المخاطر الأمنية التى تتعرض لها نظم المعلومات المحاسبية الإلكترونية فى القطاع المصرفى المصرى، وتوصلت هذه الدراسة إلى أن أهم المخاطر الأمنية التى تتعرض لها تلك النظم تتمثل فى: الإدخال الخاطئ المتعمد وغير المتعمد للبيانات، والتدمير غير المقصود للبيانات من قِبَل الموظفين، ودخول فيروسات الحاسب إلى النظام، وتبادل كلمات المرور بين الموظفين، والكوارث الطبيعية، والتى من صنع الإنسان، وسوء توجيه وتوزيع المعلومات لأشخاص غير مصرح لهم. كما أشارت الدراسة إلى أن إدارة المراجعة الداخلية بالشركة هى أكثر الإدارات التى أبلغت عن حدوث تلك المخاطر بالمقارنة مع إدارة تكنولوجيا المعلومات.
وقد اتفقت مع تلك النتائج، الدراسة التى قام بها كل من (Hayale & Abu-Khadra, 2008) بالتطبيق على القطاع المصرفى فى الأردن، واعتبرت الدراسة أن كلاً من: الإدخال الخاطئ المتعمد وغير المتعمد للبيانات، والتدمير غير المقصود للبيانات من قِبَل الموظفين، وتبادل كلمات المرور بين الموظفين هى من أكثر أربعة مخاطر تواجه البنوك المحلية فى الأردن، كما أن معظم تلك المخاطر يتم إنشاؤها داخليًا وتكون غير مقصودة.
كما قامت دراسة (Zainol et al., 2012) باستكشاف المخاطر الأمنية القائمة على العاملين فى القطاع المصرفى فى ماليزيا مثل: عدم المبالاة من الأشخاص الموثوق بهم عند دخولهم على أنظمة المعلومات، والفشل فى متابعة الإجراءات التى تم وضعها، وسوء التدريب والإشراف، والسهو, وفقد البيانات أو عدم وضعها فى المكان الصحيح، والأخطاء المنطقية، و... غيرها. ومن ناحية أخرى فقد يقوم الموظفون عن عمد بالتلاعب فى أصول المعلومات نظرًا لبعض الأسباب الشخصية مثل: التخريب، والهجمات التى تتم على الشبكات، وتحميل البرامج الخبيثة، والوصول غير المصرح به للمعلومات السرية، والاختلاس.
وقامت الدراسة بالتطبيق على البنوك التجارية والبنوك الإسلامية فى ماليزيا، وتوصلت إلى أن هناك احتمال تعرض البنوك الماليزية إلى المخاطر الأمنية غير المعتمدة ولكن بنسبة ضئيلة، وترجع تلك النتائج إلى قيام تلك البنوك بتطبيق إجراءات رقابة كافية وفعالة لأمن نظم المعلومات لديها.
كما أرجعت دراسة (Hanini, 2012) وجود المخاطر التى تتعرض لها نظم المعلومات المحاسبية الإلكترونية إلى نقص خبرة الموظفين فى حفظ أمن المعلومات، والتى تتمثل فى عدم تدريب الموظفين على استخدام وسائل حماية النظم المحاسبية قبل البدء فى عملهم، وعدم وجود أنظمة التعيين المناسبة التى تقضى بأن يتم تعيين الأشخاص المناسبين فى المكان المناسب، وذلك بالتطبيق على القطاع المصرفى فى الأردن.
وقامت دراسة (Muhrtala & Ogundeji, 2013) بفحص توقعات المحاسبين ومديرى تكنولوجيا المعلومات فى الشركات النيجيرية حول المخاطر التى تتعرض لها نظم المعلومات المحاسبية الإلكترونية، وقد اتفقت آراء المستطلعين حول تعرض نظم المعلومات المحاسبية الإلكترونية إلى المخاطر الداخلية والخارجية على حد سواء. وتوصلت الدراسة إلى أن أهم المخاطر الأمنية التى تتعرض لها تلك النظم تتمثل فى: قيام الموظفين ببعض الأفعال غير المتعمدة (العرضية)، مثل: إدخال بيانات غير سليمة، وتدمير البيانات، ومشاركة كلمات السر. كما يوجد بعض المخاطر العمدية الأخرى مثل: دخول فيروسات إلى البرامج والأجهزة المستخدمة، والدخول غير المصرح إلى أنظمة المعلومات، وعرض الوثائق السرية على شاشات العرض.
وأيضًا تناولت دراسة (Tarmidi et al., 2013) المخاطر التى تتعرض لها نظم المعلومات المحاسبية الإلكترونية فى قطاع الخدمات العامة الماليزية، حيث قامت بتقسيم تلك المخاطر إلى: مخاطر متعلقة بإدخال البيانات، ومخاطر متعلقة بقواعد البيانات، ومخاطر متعلقة بعمليات التشغيل، ومخاطر متعلقة بالمخرجات. وقد توصلت الدراسة إلى أن أغلب المخاطر التى تتعرض لها نظم المعلومات المحاسبية الإلكترونية تنبع من مصادر داخلية (الموظفين)، وأرجعت الدراسة تعرض تلك الأنظمة إلى المخاطر المختلفة إلى: نقص التدريب بين الموظفين الذى يؤدى إلى سوء فهم وسوء استخدام النظام، وعدم إدراك الموظفين لخطورة هجوم الفيروسات على أنظمة المعلومات؛ حيث ينظر إليها على أنها لا تشكل أى خطر على النظام.
وقد قامت جمعية الرقابة والمراجعة على نظم المعلومات ISACA بإجراء دراسة عن المخاطر المتعلقة بتكنولوجيا المعلومات (COBIT 5 for Risk) وتم تعريف مخاطر تكنولوجيا المعلومات على أنها "مخاطر الأعمال، وتحديدًا مخاطر الأعمال المرتبطة باستخدام وملكية وتشغيل ومشاركة وتأثير وتبنى تكنولوجيا المعلومات التى يمكن أن تؤثر على الأعمال التجارية داخل الشركة". (ISACA, 2013).
ووفقًا لتلك الدراسة تم تصنيف مخاطر تكنولوجيا المعلومات إلى ثلاث مجموعات على النحو التالى:
مخاطر إضافة قيمة/ فائدة لتكنولوجيا المعلومات IT Benefit/Value Enablement Risk: وهى تلك المخاطر المتعلقة بالفرص الضائعة لاستخدام تكنولوجيا المعلومات فى تحسين كفاءة أو فعالية العمليات التجارية.
مخاطر تقديم مشروع وبرامج تكنولوجيا المعلومات IT Programme and Project Delivery Risk: وهى تلك المخاطر المتعلقة بمساهمة تكنولوجيا المعلومات فى تقديم حلول جديدة أو تحسين حلول قائمة لمشاكل الأعمال التجارية، ويكون ذلك عادة فى شكل مشاريع أو برامج كجزء من المحافظ الاستثمارية.
مخاطر عمليات تكنولوجيا المعلومات وتقديم الخدمات IT Operations and Service Delivery Risk: وهي تلك المخاطر المتعلقة بجميع جوانب أداء نظم وخدمات تكنولوجيا المعلومات والتى يمكن أن تؤثر سلبيًا (بالتدمير أو التخفيض) على قيمة الشركة.
(2/1/2) دراسات سابقة متعلقة بحوكمة أمن المعلومات:
تناولت العديد من الدراسات السابقة حوكمة أمن المعلومات كإطار عام يمكن تطبيقه فى الشركات المختلفة، مع توضيح المميزات التى يمكن أن تحققها الشركات من وراء تطبيقها، فقد استهدفت دراسة (Solms, 2005) اختبار التوافق بين الاستخدام المتكامل لكل من الـ COBIT ISO 17799, كآليات لإدارة أمن المعلومات، وتوصلت الدراسة إلى أن كلاً من الإطارين السابقين يوفر محتوى أكثر فائدة لتطبيق بيئة شاملة وموحدة لحوكمة أمن المعلومات؛ حيث يوفر الـCOBIT إرشادات جيدة لماهية حوكمة أمن المعلومات، بينما يوفر الـ ISO 17799 المزيد من التفاصيل اللازمة لكيفية تطبيق تلك الحوكمة.
كما استهدفت دراسة (Ohki et al., 2009) تقديم إطار عمل موحد لحوكمة أمن المعلومات يجمع بين العديد من برامج أمن المعلومات الموجودة بالشركات اليابانية، وتوصلت الدراسة إلى أن نموذج حوكمة أمن المعلومات يتكون من توجيه، ورصد، وتقييم، ومراقبة، والتقرير عن أنشطة أمن المعلومات، كما يجب أن يشتمل هذا النموذج على تغطية وظائف أمن المعلومات التى لا يتم تطبيقها بتلك الشركات، ويتوقف ذلك على الهيكل التنظيمى للشركات وتبادل الأدوار والمسئوليات.
أما دراسة (Abu Musa, 2010) فقد قامت باختبار وجود وتطبيق حوكمة أمن المعلومات فى المنظمات السعودية، وتقييم الوضع الحالى والملامح الرئيسية لحوكمة أمن المعلومات فى البيئة السعودية، وتوصلت الدراسة إلى أنه على الرغم من أن غالبية المنظمات السعودية تدرك أهمية حوكمة أمن المعلومات كعامل مكمل لنجاح تكنولوجيا المعلومات وحوكمة الشركات، فإنه لم يتم التعرف بوضوح على الأدوار والمسئوليات الخاصة بأمن المعلومات، كما أن المنظمات السعودية ليس لديها استراتيجيات أو سياسات أمن معلومات واضحة ومكتوبة، وليس لديها خطط التعافى من الكوارث للتعامل مع حوادث أمن المعلومات وحالات الطوارئ، ولا يتم تنفيذ إجراءات تقييم المخاطر بشكل كافٍ وفعال.
وفحصت دراسة (Bahl & Wali, 2014) تصورات القائمين على توفير خدمات البرمجيات الهندية بشأن حوكمة أمن المعلومات، وتأثيرها على جودة خدمات أمن المعلومات المقدمة للعملاء، وتم التطبيق على موظفى شركات خدمات التعهيد Outsourced Service فى الهند، وقد توصلت الدراسة إلى أن شركات خدمات تعهيد تكنولوجيا المعلومات والتى تعمل على تقديم خدمات البرمجيات يكون لها تأثير جوهرى وهام على جودة الخدمة وأمن المعلومات – التى يمكن التنبؤ بها-، بالإضافة إلى وجود علاقة إيجابية بين عناصر حوكمة أمن المعلومات (مجتمعة) وبين جودة خدمات أمن المعلومات.
(2/2) تحليل وتقييم عام للدراسات السابقة:
توصلت الدراسات السابقة إلى نتائج هامة تؤكد على أهمية الاتجاه إلى حوكمة أمن المعلومات كمنهج شامل للتعامل مع المخاطر الناتجة عن استخدام تكنولوجيا المعلومات داخل الشركات المختلفة بصفة عامة، ومع مخاطر نظم المعلومات المحاسبية الإلكترونية على وجه الخصوص. ومن استعراض الدراسات السابقة يمكن للباحثين استنتاج ما يلى:
تتعدد صور المخاطر التى تواجه نظم المعلومات المحاسبية الإلكترونية ما بين مخاطر داخلية يتمثل أهمها فى: إدخال متعمد / غير متعمد للبيانات من قِبَل الموظفين، وتدمير متعمد / غير متعمد للبيانات من قِبَل الموظفين، وإدخال فيروسات لبرامج التشغيل، وتبادل كلمات السر، والدخول غير المصرح به لملفات بها معلومات سرية، وعرض البيانات السرية على شاشات العرض. ومخاطر خارجية يتمثل أهمها فى: الاختراقات – سرقة البيانات والمعلومات السرية واستخدامها فى الاستيلاء على الأموال-، وإدخال البرامج الخبيثة كالفيروسات وأحصنة طروادة والديدان و...غيرها من البرامج التى من شأنها تعطيل النظام، وتخريب الشبكات.
تتمثل أسباب حدوث المخاطر فى: نقص تدريب الموظفين على استخدام وحماية نظم المعلومات، وسوء اختيارهم، وعدم وجود إجراءات وضوابط كافية تعمل على معالجة والوقاية من حدوث المخاطر، وعدم متابعة التطورات الحديثة فى مجال تكنولوجيا المعلومات والجرائم المرتبطة بها.
أن المخاطر الداخلية تُعد من أكثر المخاطر تهديدًا لنظم المعلومات المحاسبية الإلكترونية؛ حيث إنها تُعد فى الأساس مشكلة أفراد على علم تام بالنظام ونقاط القوة والضعف به، وأن إهمال التعامل معها والعمل على الوقاية منها قد يؤدى إلى تعرض الشركات لبعض الأضرار المحتملة مثل خسائر فى الإيرادات، أو خسارة فى سمعة الشركة أو الملكية الفكرية، ومن ثم فإن الحلول والإجراءات التكنولوجية لا تكفى وحدها لمواجهة تلك المخاطر، وبالتالى يجب على الشركات اتباعُ منهجٍ متكاملٍ لإدارة أمن المعلومات بحيث يقوم على تقييم التكنولوجيا المستخدمة داخل الشركة، وتقييم سلوكيات الأفراد، والاهتمام بالجوانب التنظيمية؛ حتى يسهل التنبؤ بالمخاطر الداخلية وإحباط أى محاولة للقيام بها. ويرى الباحثان أن حوكمة أمن المعلومات هى أكثر المداخل التى توفر تحقيق تلك الأهداف.
تعمل حوكمة أمن المعلومات على توفير إطار للرقابة لضمان أن المخاطر التى تتعرض لها نظم المعلومات يتم الوصول بها إلى المستوى المسموح به، كما تعمل على التأكيد بأن استراتيجيات الأمن التى تتبعها الشركة تتفق مع الأهداف الاستراتيجية.
يتم تطبيق حوكمة أمن المعلومات من خلال مجموعة من المعايير الدولية المقبولة قبولاً عامًا، والتى تتفق مع استراتيجيات الأعمال فى الشركات المختلفة. ويتم تحديث تلك المعايير بصفة دورية لتتوافق مع التطورات فى البيئة التكنولوجية الحديثة؛ حيث أصدرت مؤخرًا المنظمة الدولية للمعايير (ISO) مجموعة من المعايير الخاصة بأمن المعلومات تعرف بـISO 27K، كما أصدرت جمعية الرقابة والمراجعة على نظم المعلومات (ISACA) النسخة الخامسة من COBIT.
هناك نقص فى الدراسات السابقة على المستوى العالمى عمومًا والعربى تحديدًا التى تناولت قياس أثر استخدام حوكمة أمن المعلومات على الحد من مخاطر نظم المعلومات المحاسبية الإلكترونية من خلال تطبيق المعايير التى صدرت حديثًا، وقد يرجع ذلك إلى حداثة تلك المعايير، بالإضافة إلى أن الدراسات التى تناولت هذا الموضوع تمت فى بيئات أجنبية.
(3) القسم الثالث: إطار عام لحوكمة أمن المعلومات:
(3/1) العلاقة بين حوكمة أمن المعلومات وحوكمة الشركات:
تمثل الحوكمة بشكل عام اصطلاحًا يعنى "نظام للمراقبة بصورة متكاملة وعلنية تدعيمًا للشفافية والموضوعية والمسئولية" (مزريق ومعموى، 2012)، ومن ثم يمكن تعريف "حوكمة الشركات" بشكل مبسط على أنها "نظام يتم به إدارة ومراقبة الشركات". وقد تم تعريف حوكمة الشركات طبقًا لدليل قواعد ومعايير حوكمة الشركات بجمهورية مصر العربية فى فبراير 2011 على أنها "مجموعة القواعد والنظم والإجراءات التى تحقق أفضل حماية وتوازن بين مصالح مديرى الشركات والمساهمين فيها وأصحاب المصالح الأخرى المرتبطة بها".
ويقوم كل من مجلس الإدارة والإدارة التنفيذية للشركة بتطبيق مبادئ وآليات حوكمة الشركات للتأكد من تحقق الأهداف الاستراتيجية للشركة، وأن المخاطر يتم إدارتها، وأن موارد الشركة يتم استخدامها بشكل مسئول (Baydoun et al., 2013).
وتنقسم حوكمة الشركات عند القيام بتطبيقها إلى أنواع فرعية من الحوكمة مثل: الحوكمة المالية، وحوكمة الموارد البشرية، وحوكمة تكنولوجيا المعلومات، و... غيرها (Von Solms, 2007).
ومن ثم تعتبر حوكمة تكنولوجيا المعلومات جزءً مكملاً لحوكمة الشركات، وتهدف إلى استخدام تكنولوجيا المعلومات بشكل استراتيجى لتحقيق المهام التنظيمية وتحقيق منافسة فعالة، كما تعمل على ضمان التأكيد بأن مصادر تكنولوجيا المعلومات فى الشركة يتم إدارتها بفعالية (Romney & Steinbart, 2012). ويمكن تعريف حوكمة تكنولوجيا المعلومات (Juiz et al., 2014) على أنها "القدرة التنظيمية التى يمارسها كل من مجلس الإدارة والإدارة التنفيذية وإدارة تكنولوجيا المعلومات لإحكام الرقابة على صياغة وتنفيذ استراتيجية تكنولوجيا المعلومات، وذلك لضمان التأكد من اندماج أهداف إدارة تكنولوجيا المعلومات مع باقى الإدارات بالشركة"، وبالتالى فإن حوكمة تكنولوجيا المعلومات تعتبر عملية لاستخدام موارد تكنولوجيا المعلومات بكفاءة وفعالية وبشكل استراتيجى؛ وذلك لتحقيق المهام التنظيمية وتحقيق منافسة فعالة (Romney & Steinbart, 2012).
وتنقسم حوكمة تكنولوجيا المعلومات إلى أنواع فرعية من الحوكمة مثل: حوكمة الأداء والقدرة، وحوكمة الشبكات، وحوكمة أمن المعلومات، و...غيرها (Von Solms, 2007). ويوضح الشكل التالى العلاقة بين كل من: حوكمة أمن المعلومات، وحوكمة تكنولوجيا المعلومات، وحوكمة الشركات (Solms & Solms, 2009):
شكل رقم (1) العلاقة بين حوكمة أمن المعلومات وحوكمة الشركات
ويرى الباحثان أن حوكمة أمن المعلومات تعتبر من أهم مكونات حوكمة تكنولوجيا المعلومات، وهى أيضًا مجموعة فرعية من حوكمة الشركات. وتظهر العلاقة بين كل من حوكمة الشركات وحوكمة تكنولوجيا المعلومات وحوكمة أمن المعلومات بشكل واضح من خلال أن حوكمة الشركات تشتمل على جميع جوانب الحوكمة التى تتعامل مع كل أنواع المخاطر التى تتعرض لها الشركة، بالإضافة إلى أن المديرين التنفيذيين للشركات هم المسئولون عن تطبيق حوكمة الشركات بجميع فروعها.
(3/2) حوكمة أمن المعلومات – المفهوم والأهداف:
تعرف حوكمة أمن المعلومات بأنها "مجموعة من المسئوليات والممارسات التى يقوم بها مجلس الإدارة، والإدارة التنفيذية بهدف توفير اتجاه نحو استراتيجية لأمن المعلومات وضمان تحقيق أهدافها والتأكد من أن مخاطر أمن المعلومات يتم إدارتها بصورة ملائمة، وكذلك التأكد من أن موارد أمن المعلومات يتم استخدامها بشكل فعال" (Abu-Musa, 2010). كما يمكن تعريفها على أنها "عنصر أساسى لحوكمة الشركات يتكون من القيادة والهياكل التنظيمية والعمليات المشاركة فى حماية الأصول المعلوماتية، ومن خلالها يمكن للشركات معالجة قضايا أمن المعلومات من منظور حوكمة الشركات" (IT Governance Institute, 2006).
وتهدف حوكمة أمن المعلومات إلى إنشاء وصيانة بيئة رقابية مناسبة للحفاظ على سرية وسلامة (تكامل) وتوافر المعلومات، ودعم العمليات والنظم الخاصة بها، وأيضًا حماية المعلومات من مختلف المخاطر التى يمكن أن تواجهها (Abu-Musa, 2010). ومن ثم تحقق حوكمة أمن المعلومات العديد من المنافع للشركات التى تقوم بتطبيقها، وتتمثل أهم تلك المنافع فيما يلى (Whitman & Mattord, 2013):
زيادة قيمة أسهم الشركات التى تطبق ممارسات الحوكمة.
زيادة القدرة على التنبؤ، وتخفيض حالة عدم التأكد من خلال تحديد المخاطر المتعلقة بأمن المعلومات والعمل على تخفيضها إلى مستويات مقبولة.
الحماية من إمكانية زيادة المسئولية المدنية أو القانونية؛ والناتجة عن عدم دقة المعلومات أو عدم بذل العناية الواجبة.
تحسين وتعزيز تخصيص الموارد الأمنية المحدودة.
ضمان وضع سياسة فعالة لأمن المعلومات، والالتزام بتلك السياسة.
إدارة المخاطر بكفاءة وفعالية، وتحسين العمليات، والاستجابة السريعة للحوادث المتعلقة بأمن المعلومات.
توفير مستوى من التأكيد على أن اتخاذ القرارات الحاسمة والهامة لا يستند على معلومات غير صحيحة ومضللة.
وبالإضافة إلى ما سبق فإن حوكمة أمن المعلومات تؤدى إلى إضافة قيمة للشركة (ITGI, 2006) من خلال: تحسين الثقة فى العلاقات مع العملاء، وحماية سمعة الشركة، وتقليل احتمالات انتهاك الخصوصية، وتوفير قدر أكبر من الثقة عند التعامل مع الأطراف الخارجية، وإيجاد وتوفير طرق جديدة وأفضل لمعالجة المعاملات الإلكترونية، وتقليل التكاليف التشغيلية عن طريق توفير نتائج يمكن التنبؤ بها، والتقليل من عوامل الخطر التى قد تؤدى إلى إيقاف العمليات.
ومما سبق يرى الباحثان أن حوكمة أمن المعلومات الجيدة تحقق العديد من الفوائد للشركات التى تقوم بتطبيقها، وأن تلك الفوائد ليست مجرد تخفيض المخاطر أو الحد من تأثير إجراءات خاطئة، ولكن حوكمة أمن المعلومات يمكن أن تؤدى إلى تحسين الثقة داخل وخارج الشركة، وتحسين سمعة الشركة، وكذلك تحسين الكفاءة فى أداء المهام المختلفة من خلال تجنب إهدار الوقت والجهد اللازمين لخروج الشركة من أى حادث أمنى.
وتنبع أهمية حوكمة أمن المعلومات من قيام أمن المعلومات بتغطية جميع عمليات المعلومات المادية والإلكترونية؛ حيث تقوم بحماية المعلومات وسرية وتوافر (الإتاحة) ونزاهة المعلومات فى جميع مراحل دورة حياة المعلومات واستخدامها داخل الشركة. ويتطلب ذلك استراتيجية أمنية شاملة مرتبطة بشكل مباشر وصريح بعمليات الأعمال واستراتيجية الشركة، وبحيث تحتوى على عناصر وبنود شاملة لكل العمليات والسياسات المتعلقة بالنواحى التكنولوجية والمادية داخل الشركة (ITGI, 2006).
(3/3) معايير حوكمة أمن المعلومات:
تم وضع العديد من المعايير الأمنية لتوفير التوجيه اللازم وضمان وجود مستوى معين من الحماية للمعلومات، بالإضافة إلى التأكد من أن كافة العناصر ذات الصلة بالأمن تتم معالجتها فى استراتيجية الأمن داخل الشركة؛ والتأكد من أن الموارد الإلكترونية للشركة يتم استخدامها بشكل مسئول. ومن المعايير الدولية الأكثر استخدامًا فى مجال أمن المعلومات ما يلى:
(3/3/1) معايير الأيزو ISO/IEC 27K:
هى سلسلة من المعايير التى أصدرتها المنظمة الدولية للمعايير (ISO) وتم تطويرها بالتعاون مع اللجنة الكهروتقنية الدولية (IEC)، وهى معايير متعلقة بأمن المعلومات وتعمل على تقديم الإرشادات المقبولة عامة بشأن الممارسات الجيدة لأنظمة إدارة أمن المعلومات المصممة لحماية سرية وسلامة وتوافر محتوى المعلومات ونظم المعلومات (حب الله، 2009). ومن أهم تلك المعايير والتى صدرت حديثًا (ISS, 2014):
معيار (ISO/IEC 27001:2013): تم تعديل هذا المعيار وأُصدِرَ فى سبتمبر 2013، وهو يحدد بشكل رسمى المتطلبات الإلزامية لنظام إدارة أمن المعلومات، كما يوفر هذا المعيار إطارًا للإدارة الشاملة الذى تقوم الشركة من خلاله بتحديد ومعالجة المخاطر الأمنية للمعلومات، ويضمن أن الترتيبات الأمنية تم ضبطها بدقة لمواكبة التغييرات الأمنية التى تحدث واكتشاف نقاط الضعف.
معيار (ISO/IEC 27002:2013): يُعَرف هذا المعيار فى السابق بـISO 17799، وتم تعديله فى عام 2005 ثم فى عام 2013 ليظهر بهذه الصورة، وهو معيار يوضح الممارسات الجيدة لأمن المعلومات، ويعمل على تقديم إرشادات توجيهية مفصلة حول كيفية تنفيذ إطار إدارة الأمن، وكيفية الالتزام بالقوانين واللوائح والمعايير. ويتعلق هذا المعيار بأمن جميع أشكال المعلومات مثل بيانات الكمبيوتر والوثائق والمعرفة والملكية الفكرية، وليس فقط أمن تكنولوجيا المعلومات (Nemati, 2013).
معيار (ISO/IEC 27016:2014): أُصدِرَ هذا المعيار فى 2014، ويهدف إلى تقديم المبادئ التوجيهية القائمة على الممارسات الجيدة المقبولة عمومًا، والتى يمكن استخدامها وفهمها من قِبَل أصحاب الخبرة فى مجال أمن المعلومات والمديرين، وذلك لمناقشة الخطوات الإجرائية والبدائل المتاحة لبرنامج أمن المعلومات من حيث النتائج المالية المتوقعة. وبمعنى آخر فإن هذا المعيار يهدف إلى تقديم مبادئ توجيهية حول كيفية قيام الشركات باتخاذ قرارات لحماية أمن المعلومات وفهم النتائج الاقتصادية لهذه القرارات فى إطار متطلبات التنافس على الموارد.
معيار (ISO/IEC 27038:2014): أُصدِرَ هذا المعيار فى مارس 2014، ويسمى أيضًا بمعيار التنقيح "Redaction" ويعنى إبعاد المعلومات الحساسة – مثل أسماء ومواقع يجب أن تظل مجهولة، ومختلف المعلومات الشخصية أو الملكية الأخرى التى يجب أن تبقى سرية للغاية – من داخل الملفات الأصلية حتى لا يتم نشرها لأطراف ثالثة أو لعامة الناس. ويهدف هذا المعيار إلى تحديد الخصائص التكنولوجية للقيام بعملية التنقيح الرقمى على الوثائق الرقمية، كما يحدد متطلبات أدوات برامج التنقيح، وطرق الفحص والاختبار التى تمت على عمليات التنقيح الرقمى التى تم الانتهاء منها بشكل آمن.
(3/3/2) معيار COBIT 5:
يعتبر COBIT (أهداف الرقابة على المعلومات والتكنولوجيا ذات الصلة) مجموعة من أفضل الممارسات لإدارة تكنولوجيا المعلومات والتى تم إنشاؤها بواسطة معهد حوكمة تكنولوجيا المعلومات (ITGI) وتطويرها بالتعاون مع جمعية الرقابة والمراجعة على أنظمة المعلومات ISACA، ويهدف COBIT إلى دعم مجموعة من الأدوات تتيح للمديرين سد الفجوة بين متطلبات الرقابة والقضايا التكنولوجية ومخاطر الأعمال، كما يتيح تطوير سياسة واضحة وممارسات جيدة للرقابة على تكنولوجيا المعلومات، ويؤكد على الالتزام بالقوانين التنظيمية ويساعد الشركات على زيادة القيمة التي تحصل عليها من استخدام تكنولوجيا المعلومات، وأخيرًا يعمل على المواءمة وتبسيط تنفيذ تكنولوجيا المعلومات وإطار الرقابة عليها (ISACA).
وبعد إصدار النسخة الخامسة من COBIT من قِبَل ISACA فى عام 2013، والتى تعتبر أداة فعالة لإدارة المقاييس الأمنية والعمليات والمراقبة الأمنية والمؤشرات اللازمة لدعم برامج الحماية، وتشتمل النسخة الخامسة COBIT 5 على مجموعة من الإصدارات لتوفير توجيهات وإرشادات إضافية حول العوامل المساعدة ضمن إطار الـCOBIT، وكيفية قيام المتخصصين باستخدام الـCOBIT فى توصيل خدمات تكنولوجيا المعلومات (Stroud, 2012)، وتنقسم تلك الإصدارات إلى مجموعتين هما:
COBIT 5 دليل المساعدة: وتحتوى هذه المجموعة على COBIT 5 لتمكين العمليات، COBIT 5 لتمكين المعلومات.
COBIT 5 دليل المتخصصين: وتحتوى هذه المجموعة على:
COBIT 5 للتطبيق، COBIT 5 لأمن المعلومات، COBIT 5 للتأكيد، COBIT 5 للمخاطر، COBIT 5 لتقييم البرنامج.
ويقدم معيار COBIT 5 لأمن المعلومات إطارًا يحتوى على جميع جوانب التأكد من معقولية ومناسبة موارد أمن المعلومات التى يتم إنشاؤها على مجموعة من المبادئ التى يجب أن تقوم الشركة بوضعها، واختبار سياسات الأمن والمعايير والإرشادات والعمليات والرقابة عليها، كما يوفر إطارًا شاملاً لإجراء تكامل بين الأمن والعمليات التجارية بالشركة (الأمن المادى)، ويقدم مجموعة من العوامل التى تساعد على التأكد من رضا أصحاب المصالح، وعلى تشغيل الأعمال بكفاءة داخل الشركة (Olzak, 2013).
(3/3/3) معيار (ITIL) Information Technology Infrastructure Library:
يعتبر معيار ITIL (مكتبة البنية التحتية لتكنولوجيا المعلومات) من أكثر المناهج قبولاً فى العالم لإدارة خدمات تكنولوجيا المعلومات، تم وضعه من قِبَل مكتب التجارة الحكومى فى المملكة المتحدة، وهو عبارة عن مجموعة من الإرشادات لأفضل الممارسات فى مجال إدارة خدمات تكنولوجيا المعلومات؛ فهو يصف العمليات والوظائف والهياكل التى تعمل على تدعيم خدمات تكنولوجيا المعلومات من وجهة نظر مقدمى الخدمة. ويعتبر أمن المعلومات واحدًا من العديد من العمليات التى يصفها معيار ITIL (Clinch, 2009).
ويتكون معيار ITIL من ثمانية جوانب رئيسية هى: دعم الخدمة، وتوصيل الخدمة، وإدارة البنية التحتية لتكنولوجيا المعلومات والاتصالات، وإدارة الأمن، وإدارة التطبيقات، وإدارة الأصول (البرمجيات)، والتخطيط لتنفيذ إدارة الخدمات، والتنفيذ على نطاق صغير (Susanto et al., 2011).
ومما سبق يرى الباحثان أن قيام الشركات بتطبيق معايير حوكمة أمن المعلومات متمثلة فى معايير الأيزو (ISO/IEC 27K)، ومعيار COBIT 5، ومعيار ITIL كإطار عمل متكامل لحوكمة أمن المعلومات – حيث لا يمكن لأحد تلك المعايير منفردًا أن يفى باحتياجات ومتطلبات الشركة فى تحقيق أهدافها – سوف يحقق لها العديد من الفوائد والمميزات وتحقيق للأهداف الاستراتيجية المرجوة من تطبيق حوكمة أمن المعلومات وهى الحد من المخاطر التى تتعرض لها أنظمة المعلومات الإلكترونية بصفة عامة وأنظمة المعلومات المحاسبية الإلكترونية على وجه التحديد، وتحقيق رؤية وأهداف الشركة الاستراتيجية.
وبناءًا على ما سبق يقوم الباحثان بإجراء دراسة ميدانية على البيئة المصرية لاستطلاع الآراء حول مدى إمكانية تأثير معايير حوكمة أمن المعلومات فى الحد من المخاطر التى تتعرض لها نظم المعلومات المحاسبية الإلكترونية.
(4) القسم الرابع: الدراسة الميدانية:
تتمثل مقومات الدراسة الميدانية فيما يلى:
(4/1) هدف الدراسة:
يتمثل الهدف الرئيسى من هذه الدراسة فى تحليل أثر استخدام المعايير المختلفة لحوكمة أمن المعلومات على الحد من المخاطر التى تتعرض لها نظم المعلومات المحاسبية الإلكترونية، ويتطلب تحقيق هذا الهدف التوجه نحو الكشف عما يلى:
الأهمية النسبية للمخاطر المختلفة التى تهدد أمن نظم المعلومات المحاسبية الإلكترونية فى المنظمات المصرية.
أسباب حدوث المخاطر المختلفة التى تهدد أمن المعلومات المحاسبية الإلكترونية.
مدى استخدام المنظمات المصرية لحوكمة أمن المعلومات فى الحد من مخاطر نظم المعلومات المحاسبية الإلكترونية.
التعرف على أكثر معايير حوكمة أمن المعلومات تأثيرًا على الحد من المخاطر.
(4/2) فروض الدراسة:
لتحقيق أهداف الدراسة يتم اختبار الفروض التالية:
تختلف الأهمية النسبية للمخاطر التى تتعرض لها نظم المعلومات المحاسبية الإلكترونية.
يؤدى عدم وجود سياسات وبرامج محددة لأمن المعلومات إلى زيادة المخاطر التى تتعرض لها نظم المعلومات المحاسبية الإلكترونية.
تعمل المنظمات المصرية على تطبيق حوكمة أمن المعلومات فى الحد من مخاطر نظم المعلومات المحاسبية الإلكترونية.
يوجد اختلاف معنوى فى تأثير معايير حوكمة أمن المعلومات بشكل مستقل على الحد من مخاطر نظم المعلومات المحاسبية الإلكترونية.
(4/3) تصميم الدراسة:
تقوم الدراسة على استخدام ثلاثة متغيرات مستقلة يتوقع أن يكون لها تأثير على مخاطر أمن نظم المعلومات المحاسبية الإلكترونية، تتمثل فى معايير حوكمة أمن المعلومات وهى: معايير الأيزو، ومعيار COBIT، ومعيار ITIL، بينما تتمثل المتغيرات التابعة فى المخاطر المختلفة لأمن نظم المعلومات المحاسبية الإلكترونية، ويحاول الباحثان دراسة تأثير كل متغير مستقل (معايير حوكمة أمن المعلومات) على المتغيرات التابعة (المخاطر المختلفة لنظم المعلومات المحاسبية الإلكترونية).
وقد قام الباحثان باستخدام قائمة استقصاء كأداة لجمع البيانات اللازمة لاختبارات الفروض احصائيًا، وذلك من خلال المقابلات الشخصية لمفردات العينة، كما تم شرح طبيعة مشكلة الدراسة والهدف منها فى بعض الحالات التى استلزمت ذلك، وقد راعى الباحثان عند تصميم القائمة تنوع الأسئلة؛ فبعض الأسئلة يتم الإجابة عليها بـ(نعم) أو (لا)، والبعض الأخر يتم الإجابة عنها باستخدام مقياس ليكرت الخامسى، كما اشتملت القائمة على بعض الأسئلة المفتوحة لمعرفة المزيد من آراء المستقصى منهم والتوجهات الاستراتيجية للشركات التى يعملون بها.
(4/4) مجتمع وعينة الدراسة:
يتكون مجتمع الدراسة من شركات الاتصالات، وشركات تكنولوجيا المعلومات، والبنوك العاملة فى القرية الذكية بجمهورية مصر العربية. وقد تم اختيار عينة عشوائية ممثلة لمجتمع الدراسة من تلك الشركات والبنوك بلغ عددها خمس شركات لتكنولوجيا المعلومات بواقع 80 استمارة، وسبع شركات اتصالات بواقع 100 استمارة، وأربعة بنوك بواقع 120 استمارة، وقد تم توزيع استمارات الاستقصاء داخل تلك الشركات والبنوك على الفئات الآتية:
المديرين الماليين والمحاسبين بإعتبارهم القائمين على التعامل مع نظم المعلومات المحاسبية الإلكترونية.
الموظفين فى إدارة تكنولوجيا المعلومات من متخصصين، ومراجعى نظم معلومات إلكترونية، ومديرى إدارات.
المراجعين الخارجيين الذين يقومون بمراجعة أنظمة تلك الشركات والبنوك.
ويمكن توضيح التوزيع النسبى لمفردات العينة من خلال الجدول التالى:
جدول رقم (1) التوزيع النسبى لاستمارات الاستقصاء على مفردات العينة
مفردات العينة العدد النسبة
شركات تكنولوجيا المعلومات 80 27%
شركات الاتصالات 100 33%
البنوك 120 40%
الإجمالى 300 100%
(4/5) إدخال ومعالجة البيانات:
قام الباحثان بمراجعة استمارات الاستقصاء للتأكد من اكتمالها وصلاحيتها لإدخال البيانات والتحليل الإحصائى، وتم استبعاد الاستمارات التى لا تتوافر فيها الشروط اللازمة. ويوضح الجدول التالى عينة الدراسة ومعدلات الإجابة الصحيحة القابلة للتحليل من بين مفردات العينة.
جدول رقم (2) عدد الاستمارات المرسلة، والواردة والمستبعدة والصحيحة
مفردات العينة المرسل الوارد المستبعد الصحيح
العدد النسبة العدد النسبة العدد النسبة
شركات تكنولوجيا المعلومات 80 67 84% 17 21% 50 63%
شركات الاتصالات 100 78 78% 20 20% 58 58%
البنوك 120 98 82% 9 7,5% 89 74%
الإجمالى 300 243 81% 46 15% 197 66%
(4/6) أساليب التحليل الإحصائى للبيانات:
قام الباحثان بتفريغ الإجابات على الأسئلة بجداول البيانات، وتم تحليلها بهدف تحديد مدى تحقق فروض الدراسة واستخلاص النتائج من خلال تطبيق بعض الأساليب الإحصائية الواردة بمجموعة البرامج الإحصائية للعلوم الاجتماعية (SPSS) وتحديدًا تم الاستعانة بالأساليب التالية:
أساليب الإحصاء الوصفى:
الوسط الحسابى Mean
الانحراف المعيارى Standard Deviation
التكرار والنسبة Frequency & Percent
أساليب الإحصاء الاستدلالى:
اختبار المصداقية والاعتمادية Reliability Analysis
اختبار "ت" T. Test
اختبار فريدمان Friedman Test
اختبار كروسكال والاس Kruskal-Wallis Test
اختبار "كا2" Chi Square
(4/7) نتائج الاختبارات الإحصائية لفروض الدراسة:
(4/7/1) اختبار الثبات |
