درس 17: إدارة المخاطر السيبرانية وفق معايير SAMA و NCA

ماذا ستتعلم في هذا الدرس

• الفرق بين إدارة المخاطر في إطار SAMA CSCC وضوابط NCA ECC وكيف يكمّل كل منهما الآخر
• بناء سجل مخاطر سيبرانية (Cyber Risk Register) يلبي متطلبات الجهتين التنظيميتين
• منهجية تقييم المخاطر خطوة بخطوة: من تحديد الأصول إلى حساب درجة الخطر
• كتابة خطط معالجة مخاطر قابلة للتنفيذ والقياس مع ربطها بالضوابط التنظيمية

لماذا تحتاج إطار مخاطر مخصصاً وليس نسخة جاهزة؟

كثير من المؤسسات المالية السعودية تقع في خطأ شائع: تنسخ قالب إدارة مخاطر من الإنترنت، تملأ بعض الخانات، ثم تضعه في درج حتى يأتي وقت المراجعة. المشكلة أن SAMA لا تطلب منك وثيقة — تطلب منك عملية حية تُثبت أنك تفهم مخاطرك الفعلية وتتعامل معها بشكل مستمر. إطار SAMA CSCC يخصص مجالاً كاملاً لإدارة المخاطر (Cyber Risk Management — CRM) يتضمن 5 ضوابط فرعية تغطي من السياسة العامة إلى مراجعة فاعلية المعالجة. بالمثل، ضوابط NCA ECC في نسختها المحدّثة 2-2024 تشدّد على ربط المخاطر السيبرانية بمخاطر الأعمال الكلية للمؤسسة.

الفارق بين مؤسسة تجتاز مراجعة SAMA بسلاسة ومؤسسة تعاني لأشهر هو غالباً جودة سجل المخاطر وواقعية خطط المعالجة. في هذا الدرس سنبني الإطار من الصفر بمنهجية عملية.

فهم متطلبات SAMA و NCA لإدارة المخاطر

إطار SAMA CSCC يتعامل مع إدارة المخاطر السيبرانية عبر مجال CRM الذي يتطلب: سياسة معتمدة لإدارة المخاطر السيبرانية، منهجية موثّقة لتقييم المخاطر، سجل مخاطر محدّث ومراجَع دورياً، خطط معالجة مع مسؤوليات ومواعيد محددة، ومراجعة دورية لفاعلية ضوابط المعالجة. أما NCA ECC فتركّز على الضابط 2-2 (إدارة المخاطر السيبرانية) الذي يُلزم الجهات بتطبيق منهجية تقييم مخاطر معتمدة وربط نتائجها بعملية صنع القرار على مستوى الإدارة العليا.

مثال عملي: شركة تأمين سعودية متوسطة الحجم تخضع لرقابة SAMA وأيضاً لضوابط NCA بصفتها جهة وطنية. فريق الأمن السيبراني لديها يحتاج سجل مخاطر واحد يغطي متطلبات الجهتين، مع ترميز كل خطر بمرجعية الضابط المقابل من SAMA CSCC (مثل CRM-1) ومن NCA ECC (مثل 2-2-1). هذا يوفّر جهداً مضاعفاً ويسهّل تقديم التقارير لكلا الجهتين.

بناء سجل المخاطر السيبرانية خطوة بخطوة

سجل المخاطر ليس جدول Excel تملأه مرة واحدة. هو أداة إدارية حية تتطلب منهجية واضحة. إليك الخطوات العملية:

الخطوة 1: حصر الأصول المعلوماتية (Asset Inventory)
ابدأ بتصنيف أصولك إلى فئات: أنظمة مصرفية أساسية (Core Banking)، بيانات عملاء، بنية تحتية شبكية، أنظمة دفع إلكتروني، وتطبيقات العملاء. لكل أصل حدّد: المالك (Asset Owner)، مستوى الحساسية (Critical / High / Medium / Low)، والتبعيات مع أصول أخرى.

الخطوة 2: تحديد التهديدات والثغرات
لكل أصل، حدّد التهديدات الواقعية: هجمات تصيد تستهدف الموظفين، برمجيات فدية تستغل ثغرات غير محدّثة، تهديدات داخلية من موظفين ذوي صلاحيات واسعة، هجمات على واجهات API المكشوفة. ثم قيّم الثغرات الفعلية التي تسمح لهذه التهديدات بالنجاح.

الخطوة 3: تقييم الاحتمالية والأثر
استخدم مقياساً رقمياً موحّداً. المقياس الأكثر شيوعاً في القطاع المالي السعودي هو 5×5:

الاحتمالية (Likelihood):
  1 = نادر (مرة كل 5+ سنوات)
  2 = غير مرجح (مرة كل 2-5 سنوات)
  3 = ممكن (مرة سنوياً)
  4 = مرجح (مرة كل ربع)
  5 = شبه مؤكد (شهرياً أو أكثر)

  الأثر (Impact):
  1 = ضئيل (لا تأثير على العمليات)
  2 = منخفض (تأثير محدود، استعادة خلال ساعات)
  3 = متوسط (تعطّل جزئي، خسارة مالية معتدلة)
  4 = عالٍ (تعطّل كبير، غرامات تنظيمية محتملة)
  5 = كارثي (توقف كامل، خسارة ثقة العملاء، عقوبات من SAMA)

  درجة الخطر = الاحتمالية × الأثر
  1-6 = منخفض (أخضر) | 7-14 = متوسط (أصفر) | 15-25 = عالٍ (أحمر)

الخطوة 4: تحديد استراتيجية المعالجة
لكل خطر اختر واحدة من أربع استراتيجيات: التخفيف (Mitigate) بتطبيق ضوابط إضافية، القبول (Accept) مع توثيق مبررات القبول وموافقة الإدارة، التحويل (Transfer) عبر التأمين السيبراني أو التعاقد مع طرف ثالث، أو التجنب (Avoid) بإيقاف النشاط المسبب للخطر.

كتابة خطط معالجة قابلة للقياس

خطة المعالجة الضعيفة تقول "تحسين أمن الشبكة". خطة المعالجة الفعّالة تقول: "تطبيق تجزئة الشبكة (Network Segmentation) لعزل بيئة PCI عن شبكة المكاتب، المسؤول: مهندس الشبكات أحمد، الموعد النهائي: 30 يونيو 2026، مؤشر النجاح: عدم وجود اتصال مباشر بين الشبكتين في فحص Nmap". كل خطة معالجة يجب أن تحتوي على: وصف الإجراء المحدد، المسؤول عن التنفيذ، الموعد النهائي، الموارد المطلوبة (ميزانية، أدوات، أشخاص)، مؤشر قياس النجاح (KPI)، ومرجع الضابط التنظيمي المرتبط.

مثال عملي: بنك رقمي سعودي اكتشف أن واجهة API الخاصة بتطبيق الجوال لا تطبّق Rate Limiting. درجة الخطر: 4 (احتمالية) × 4 (أثر) = 16 (عالٍ). خطة المعالجة: تطبيق API Gateway مع Rate Limiting بحد أقصى 100 طلب/دقيقة لكل مستخدم، تفعيل WAF rules مخصصة لحماية نقاط النهاية الحساسة. المرجع: SAMA CSCC — AS-1 (Application Security)، NCA ECC — 2-7-3 (أمن التطبيقات). الموعد: 45 يوماً. بعد التنفيذ تُعاد درجة الخطر المتبقي (Residual Risk) إلى: 2 × 4 = 8 (متوسط).

أدوات عملية لإدارة المخاطر

لا تحتاج بالضرورة أداة GRC باهظة الثمن لتبدأ. إليك خيارات متدرجة حسب حجم المؤسسة:

للمؤسسات الصغيرة والمتوسطة: جدول Excel/Google Sheets منظّم بأعمدة واضحة (رقم الخطر، الأصل، التهديد، الثغرة، الاحتمالية، الأثر، الدرجة، الاستراتيجية، خطة المعالجة، المسؤول، الموعد، حالة التنفيذ، مرجع SAMA، مرجع NCA). هذا كافٍ تماماً إذا كان عدد المخاطر أقل من 100.

للمؤسسات الأكبر: منصات GRC مثل ServiceNow GRC أو Archer أو حلول سحابية مثل Vanta أو Drata. هذه توفّر تتبعاً آلياً وربطاً مباشراً بالأطر التنظيمية وتوليد تقارير جاهزة للإدارة العليا ولـ SAMA.

# مثال على هيكل سجل مخاطر بصيغة CSV
Risk_ID,Asset,Threat,Vulnerability,Likelihood,Impact,Risk_Score,Strategy,Treatment_Plan,Owner,Deadline,Status,SAMA_Ref,NCA_Ref
R-001,Core Banking System,Ransomware,Unpatched OS,4,5,20,Mitigate,"Deploy EDR + 72hr patch cycle",IT Security Lead,2026-06-30,In Progress,CRM-3,2-5-2
R-002,Customer Mobile App,API Abuse,No Rate Limiting,4,4,16,Mitigate,"Implement API Gateway + WAF",App Security Lead,2026-05-15,Not Started,AS-1,2-7-3
R-003,Employee Email,Phishing,No MFA on Email,3,4,12,Mitigate,"Enable MFA + security awareness",IAM Lead,2026-04-30,Completed,IAM-2,2-3-1
R-004,Cloud Infrastructure,Data Breach,Misconfigured S3,3,5,15,Mitigate,"CSPM tool + quarterly review",Cloud Engineer,2026-07-15,Not Started,TSM-4,2-6-1

الربط بالواقع السعودي

SAMA تُجري مراجعات دورية على المؤسسات المالية وتطلب تقديم سجل المخاطر السيبرانية كجزء أساسي من التقييم. المؤسسات التي تفشل في إثبات وجود عملية إدارة مخاطر فعّالة تواجه ملاحظات جوهرية قد تؤثر على تصنيفها. ضوابط NCA ECC 2-2024 رفعت سقف التوقعات بإلزام الجهات بربط المخاطر السيبرانية بسجل مخاطر المؤسسة الكلي (Enterprise Risk Register)، مما يعني أن فريق الأمن السيبراني يجب أن يتحدث بلغة الأعمال وليس فقط بلغة التقنية. كذلك، نظام PDPL يضيف بُعداً جديداً: مخاطر انتهاك خصوصية البيانات الشخصية يجب أن تظهر في سجل المخاطر مع تقييم الأثر التنظيمي والغرامات المحتملة.

أخطاء شائعة يجب تجنبها

• نسخ سجل مخاطر جاهز دون تخصيص: كل مؤسسة لها بيئة فريدة. سجل مخاطر بنك رقمي يختلف جذرياً عن شركة تأمين. خصّص التهديدات والثغرات لبيئتك الفعلية واستخدم نتائج اختبارات الاختراق وتقييمات الثغرات الحقيقية كمدخلات.
• تقييم المخاطر مرة واحدة سنوياً فقط: SAMA تتوقع مراجعة ربع سنوية على الأقل، مع تحديث فوري عند حدوث تغييرات جوهرية (نظام جديد، ثغرة حرجة، حادثة أمنية). اجعل مراجعة سجل المخاطر بنداً ثابتاً في اجتماع لجنة أمن المعلومات الشهري.
• خطط معالجة بدون مؤشرات قياس: عبارة "تحسين الأمن" ليست خطة معالجة. كل إجراء يحتاج مؤشر نجاح قابل للقياس (مثل: نسبة الأنظمة المحدّثة خلال 72 ساعة ≥ 95%)، ومسؤول محدد بالاسم، وموعد نهائي واقعي. بدون ذلك، ستجد أن المخاطر تبقى "قيد المعالجة" لأشهر دون تقدم حقيقي.

ملخص الدرس

• إدارة المخاطر السيبرانية وفق SAMA و NCA تتطلب عملية مستمرة وليس وثيقة ثابتة — سجل مخاطر حي يُراجَع دورياً ويرتبط بقرارات الإدارة العليا
• منهجية التقييم 5×5 (الاحتمالية × الأثر) مع ربط كل خطر بمرجعية الضوابط من SAMA CSCC و NCA ECC تسهّل الامتثال وتوحّد لغة التقارير
• خطط المعالجة الفعّالة تحتوي خمسة عناصر لا غنى عنها: الإجراء المحدد، المسؤول، الموعد، الموارد، ومؤشر قياس النجاح

الدرس القادم

في الدرس التالي سنتناول: تقييم النضج السيبراني — كيف تقيس وضعك الحالي — ستتعلم كيف تستخدم نماذج النضج لتحديد موقع مؤسستك على سلم القدرات السيبرانية وتحديد أولويات التحسين بناءً على الفجوات الفعلية.

هل تريد تطبيق ما تعلمته على مؤسستك؟ تواصل مع فريق فنترالينك للحصول على تقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.