درس 33: إدارة ميزانية الأمن السيبراني وتبرير الاستثمار

ماذا ستتعلم في هذا الدرس

• كيف تبني ميزانية أمن سيبراني واقعية ومُهيكلة لمؤسسة مالية سعودية
• أساليب تبرير الاستثمار الأمني أمام الإدارة التنفيذية ومجلس الإدارة
• حساب العائد على الاستثمار الأمني (ROSI) وتقدير تكلفة الاختراق المحتملة
• ربط بنود الميزانية بمتطلبات SAMA CSCC و NCA ECC لتعزيز حجة التمويل

لماذا يفشل معظم مسؤولي الأمن في الحصول على الميزانية التي يحتاجونها؟

السيناريو مألوف: تطلب 3 ملايين ريال لتحديث منظومة SIEM وتوظيف محللين إضافيين، فيُقابل طلبك بسؤال واحد من المدير المالي: "ما العائد؟" تبدأ بالحديث عن التهديدات والهجمات، لكن الحاضرين في غرفة الاجتماع لا يتحدثون لغتك — هم يتحدثون لغة الأرقام والمخاطر المالية وتأثير الأعمال. المشكلة ليست في حجم الميزانية المطلوبة، بل في طريقة تقديمها. مسؤول الأمن السيبراني الذي يتقن ترجمة المخاطر التقنية إلى خسائر مالية محتملة يحصل على التمويل، والذي يتحدث فقط عن ثغرات وبرمجيات خبيثة يخرج بميزانية مقتطعة.

في المؤسسات المالية السعودية تحديداً، لديك ورقة رابحة لا يملكها نظراؤك في قطاعات أخرى: الإلزام التنظيمي. متطلبات SAMA CSCC و NCA ECC ليست اختيارية، وعدم الامتثال يعني غرامات وإيقاف خدمات وضرر سمعي لا يُحتمل. هذا الدرس يعلّمك كيف تستخدم هذه الأدوات لبناء حجة تمويل لا تُرفض.

هيكلة ميزانية الأمن السيبراني: النموذج العملي

ميزانية الأمن السيبراني ليست رقماً واحداً تطلبه من الإدارة. هي وثيقة مُهيكلة تُقسم الإنفاق إلى فئات واضحة يفهمها صانع القرار المالي. النموذج المعتمد لدى المؤسسات المالية الناضجة يقسم الميزانية إلى خمس فئات رئيسية: الأفراد (عادة 40-50% من الميزانية)، التقنيات والأدوات (25-30%)، الخدمات الاستشارية والتدقيق (10-15%)، التدريب والتوعية (5-10%)، والطوارئ والاستجابة للحوادث (5-10%).

عند تقسيم فئة الأفراد مثلاً، لا تكتب "توظيف 3 محللين أمنيين". بل اكتب: "توظيف 3 محللي SOC من المستوى الثاني لتغطية نوبات 24/7 كما يتطلب مجال 'المراقبة والكشف' في SAMA CSCC — التكلفة التقديرية 720,000 ريال سنوياً شاملة المزايا". هذا التفصيل يُظهر أنك تعرف ما تحتاج ولماذا، وأن المطلب مرتبط بإلزام تنظيمي وليس رغبة شخصية.

مثال عملي: بنك إقليمي سعودي كان ينفق 1.2% من ميزانية تقنية المعلومات على الأمن السيبراني. بعد مراجعة SAMA، تبيّن وجود 14 ثغرة امتثال في مجالات إدارة الهوية والمراقبة والاستجابة للحوادث. أعاد مسؤول الأمن هيكلة الميزانية مربوطة بكل ثغرة امتثال ورقم المتطلب في CSCC. النتيجة: الإدارة وافقت على رفع النسبة إلى 3.5% خلال سنتين لأن كل بند كان مرتبطاً بمخاطر تنظيمية محددة.

حساب العائد على الاستثمار الأمني (ROSI)

العائد على الاستثمار الأمني لا يُحسب مثل العائد على مشروع تجاري. أنت لا تولّد إيرادات من جدار ناري، لكنك تمنع خسائر. المعادلة الأساسية هي: ROSI = (الخسارة المتوقعة السنوية قبل الاستثمار − الخسارة المتوقعة بعد الاستثمار − تكلفة الاستثمار) ÷ تكلفة الاستثمار. لتطبيق هذه المعادلة تحتاج ثلاثة مدخلات: الخسارة المتوقعة لكل حادث (Single Loss Expectancy - SLE)، معدل تكرار الحادث سنوياً (Annualized Rate of Occurrence - ARO)، ونسبة تقليل المخاطر التي يوفرها الحل المقترح.

لنفترض أنك تطلب 800,000 ريال لنظام EDR متقدم. الخسارة المتوقعة من هجمة فدية واحدة على مؤسستك تُقدّر بـ 5 ملايين ريال (تشمل توقف العمليات، تكاليف الاستعادة، الغرامات التنظيمية، والضرر السمعي). معدل التكرار المتوقع بدون EDR هو 0.4 حادثة سنوياً (أي حادثة كل 2.5 سنة). الخسارة المتوقعة السنوية = 5,000,000 × 0.4 = 2,000,000 ريال. نظام EDR يقلل الاحتمالية بنسبة 70%. إذاً: ROSI = (2,000,000 − 600,000 − 800,000) ÷ 800,000 = 75%. هذا يعني أن كل ريال تنفقه يوفّر 1.75 ريال من الخسائر المحتملة — رقم يفهمه أي مدير مالي.

ثلاث استراتيجيات لتبرير الميزانية أمام مجلس الإدارة

الاستراتيجية الأولى هي "التأطير التنظيمي": اربط كل بند بمتطلب تنظيمي محدد. لا تقل "نحتاج حل DLP"، بل قل "متطلب SAMA CSCC رقم 3.3.4 يُلزمنا بمنع تسرب البيانات الحساسة — عدم الامتثال يعرّضنا لغرامة تصل إلى [المبلغ] وإيقاف خدمات رقمية". هذا يحوّل القرار من "هل نشتري هذا الحل؟" إلى "هل نتحمل عواقب عدم الامتثال؟"

الاستراتيجية الثانية هي "المقارنة القطاعية": استخدم بيانات الإنفاق الأمني في القطاع المالي السعودي والخليجي. تقارير مثل IBM Cost of a Data Breach و Gartner Security Spending Benchmarks توفر أرقاماً يمكنك مقارنة مؤسستك بها. إذا كان متوسط إنفاق البنوك السعودية 4% من ميزانية IT على الأمن ومؤسستك تنفق 2%، فهذه فجوة يراها مجلس الإدارة بوضوح.

الاستراتيجية الثالثة هي "سيناريو الأثر": قدّم ثلاثة سيناريوهات — الحد الأدنى (ميزانية الامتثال فقط)، المتوسط (الامتثال + تحسينات تشغيلية)، والمثالي (برنامج أمني ناضج). لكل سيناريو وضّح المخاطر المتبقية والثغرات التنظيمية. هذا يمنح مجلس الإدارة خيارات بدل وضعهم أمام قرار "نعم أو لا"، وعادةً يختارون السيناريو المتوسط على الأقل.

بناء لوحة مؤشرات الأداء المالي للأمن السيبراني

بعد الحصول على الميزانية، تحتاج إثبات أنك تنفقها بحكمة. لوحة مؤشرات ربع سنوية تقدمها لمجلس الإدارة يجب أن تتضمن: نسبة تنفيذ الميزانية مقابل الخطة، عدد ثغرات الامتثال المُغلقة مقابل المكتشفة، متوسط وقت الكشف والاستجابة (MTTD/MTTR) وتحسّنه، تكلفة الحادث الواحد مقارنة بالربع السابق، ونسبة تغطية الأصول الحرجة بالحلول الأمنية. المفتاح هو تقديم هذه المؤشرات بصيغة "الاتجاه" — هل نتحسن أم نتراجع — وليس كأرقام مطلقة منفصلة عن السياق.

# مثال: حساب ROSI باستخدام Python
def calculate_rosi(sle, aro, mitigation_rate, annual_cost):
    """
    sle: الخسارة المتوقعة لكل حادث (ريال)
    aro: معدل التكرار السنوي
    mitigation_rate: نسبة تقليل المخاطر (0-1)
    annual_cost: التكلفة السنوية للحل (ريال)
    """
    ale_before = sle * aro  # الخسارة السنوية المتوقعة قبل
    ale_after = ale_before * (1 - mitigation_rate)  # بعد
    rosi = (ale_before - ale_after - annual_cost) / annual_cost
    return {
        "ale_before": f"{ale_before:,.0f} SAR",
        "ale_after": f"{ale_after:,.0f} SAR",
        "annual_savings": f"{ale_before - ale_after:,.0f} SAR",
        "rosi_percentage": f"{rosi * 100:.1f}%"
    }

# مثال: نظام EDR بتكلفة 800,000 ريال
result = calculate_rosi(
    sle=5_000_000,
    aro=0.4,
    mitigation_rate=0.70,
    annual_cost=800_000
)
print(result)
# {'ale_before': '2,000,000 SAR', 'ale_after': '600,000 SAR',
#  'annual_savings': '1,400,000 SAR', 'rosi_percentage': '75.0%'}

الربط بالواقع السعودي

البنك المركزي السعودي (SAMA) لا يطلب فقط تطبيق ضوابط أمنية — بل يتوقع أن تكون هناك ميزانية مخصصة ومعتمدة من الإدارة العليا لبرنامج الأمن السيبراني. مجال "الحوكمة" في SAMA CSCC ينص صراحة على مسؤولية مجلس الإدارة عن ضمان كفاية الموارد. كذلك، ضوابط NCA ECC تتطلب توثيق خطة الإنفاق الأمني ضمن الاستراتيجية السيبرانية للمؤسسة. عدم وجود ميزانية مُهيكلة ومعتمدة هو بحد ذاته ملاحظة تدقيق. المؤسسات التي تستثمر في حساب ROSI وربطه بمتطلبات تنظيمية محددة تمر بمراجعات SAMA بسلاسة أكبر وتحصل على تقييمات نضج أعلى.

أخطاء شائعة يجب تجنبها

• طلب الميزانية بلغة تقنية بحتة: عبارة "نحتاج Next-Gen SIEM بقدرات UEBA وSOAR" لا تعني شيئاً لمجلس الإدارة. ترجمها إلى: "نحتاج نظام كشف ذكي يقلّل وقت اكتشاف الاختراق من 45 يوماً إلى ساعتين، ما يوفّر تقديرياً 3.2 مليون ريال من تكاليف الاستجابة سنوياً".
• عدم تقديم سيناريوهات بديلة: تقديم رقم واحد يضع الإدارة في موقف "قبول أو رفض". قدّم ثلاثة مستويات مع توضيح المخاطر المتبقية لكل مستوى — هذا يمنحهم شعوراً بالسيطرة على القرار ويزيد احتمالية الموافقة.
• إهمال تتبع الأداء بعد الحصول على الميزانية: إذا حصلت على 4 ملايين ريال هذا العام ولم تستطع إثبات تحسّن ملموس في مؤشرات الأداء، فلن تحصل على نفس المبلغ في العام القادم. ضع مؤشرات قابلة للقياس منذ اليوم الأول وقدّم تقارير ربع سنوية تُظهر العائد.

ملخص الدرس

• ميزانية الأمن السيبراني يجب أن تكون مُهيكلة في خمس فئات واضحة، وكل بند مرتبط بمتطلب تنظيمي أو خطر مالي محدد
• حساب ROSI يحوّل الإنفاق الأمني من "تكلفة" إلى "استثمار" يمنع خسائر محددة ومقاسة بالأرقام
• تقديم ثلاثة سيناريوهات (حد أدنى / متوسط / مثالي) مع ربط كل منها بمتطلبات SAMA و NCA يمنح مجلس الإدارة أدوات اتخاذ القرار بدل وضعهم أمام خيار واحد

الدرس القادم

في الدرس التالي سنتناول: Building a Cybersecurity Team: Hiring and Development — كيف تبني فريق أمن سيبراني متكامل في السوق السعودي، من تحديد الأدوار المطلوبة إلى استراتيجيات استقطاب الكفاءات في سوق يعاني من نقص حاد في المتخصصين.

هل تريد تطبيق ما تعلمته على مؤسستك؟ تواصل مع فريق فنترالينك للحصول على تقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.