لخّصلي

هما مجالان أساسيان في عالم التكنولوجيا الحديثة ومفصليان لضمان حماية وسرية المعلومات في العصر الرقمي الذي نعيش فيه. يشير أمن المعلومات إلى مجموعة من الإجراءات والسياسات والتقنيات المصممة لحماية سرية المعلومات وسلامتها وضمان توفرها، وذلك من خلال مواجهة التهديدات والمخاطر المحتملة مثل الوصول غير المصرح به، إدارة المخاطر من جانبها تُعنى بكافة الخطوات والعمليات اللازمة لتحديد وتقييم ومعالجة ومراقبة وتقليل التأثيرات السلبية للمخاطر الأمنية المحتملة. تُعتبر هذه الإدارة جزءًا حيويًا لأنها تساهم في تمكين المؤسسات من استيعاب التهديدات بشكل أفضل والحد منها عبر اتخاذ قرارات مدروسة تقلل الخسائر المتوقعة. ولا تقتصر إدارة المخاطر على الجوانب التقنية فقط، إضافة إلى تعزيز ثقافة تُقدّر أهمية التعامل المنظم والفعال مع المخاطر. بفضل الاستراتيجيات الفعالة لإدارة المخاطر، تتزايد أهمية أمن المعلومات وإدارة المخاطر سواء على مستوى الشركات أو الأفراد. هذا التكامل بين المجالين يُعد ضرورة لضمان استمرارية الأعمال وحماية البيانات والمعلومات الحساسة ضمن السياق الرقمي المتسارع. و عملية إدارة المخاطر المرتبطة باستخدام تكنولوجيا المعلومات. وهي تتضمن تحديد وتقييم ومعالجة المخاطر التي تهدد سرية المعلومات في أصول المنظمة. والهدف النهائي من هذه العملية هو معالجة المخاطر وفقًا لتحمل المنظمة للمخاطر بشكل عام. لا ينبغي للشركات أن تتوقع القضاء على جميع المخاطر؛ بل يجب عليها بدلاً من ذلك أن تسعى إلى تحديد مستوى المخاطر المقبول لمؤسستها وتحقيقه. وتوفر للمؤسسات إطارًا منظمًا للكشف عن المخاطر المحتملة على أصولها القيمة وتقييمها والتخفيف منها. مشكلة أمن المعلومات وإدارة المخاطر تمثل تحديات كبيرة تعترض طريق المؤسسات والأفراد في عصر التكنولوجيا الحديثة، 2. ضعف التوعية الأمنية بين الموظفين والأفراد يُعتبر عاملاً يزيد احتمالية التعرض للاختراقات والهجمات نتيجة لعدم اتباع ممارسات السلامة الرقمية. تبرز تحديات جديدة ترتبط بالاعتماد على التشفير الكمي وضمان الحماية الآمنة للأنظمة المتصلة. كـشركة طيران تعمل بشكل يومي في مطارات هناك بعض مشاكل المعينة التي تواجه الشركة كـنظام تقني في المنظومات الخاصة بها. منها منظومة قبول ركاب أو خدمات الركاب حيث تعمل بنظام (أماديوس) كـمنظومة (Customer management) و المشكلة التي تواجه هذه منظومة هي آلية الربط بين (أماديوس) و أجهزة خاصة بها فيتم استخدام (VPN) خاص بـعملية ربط لـتشغيل منظومات خاصة بهم. و (VPN: Virtual Private Network) هو شبكة خاصة افتراضية، و لـتشغيل هذه أنظمة يجب توفير شركة خاصة تقوم بهذه عملية كـمزود خدمة لـشركة خطوط ليبية في بنغازي، و (VPN) متواجد في طرابلس فـأي ضعف في شبكة أنترنت يسبب في تعطيل رحلات المتواجدة لدينا. و يمكن أن يسبب مشاكل لنظام الشركة عن طريق فتح رابط أو استخدام مواقع أو غيرها. تتمثل مشكلة الدراسة في عدم وجود إدارة للمخاطر وأمن في المطارات الدولية ذات كفاءة وفاعلية في مواجهة المخاطر التي تؤدي إلى خسائر مادية حيث يتولد عن قبول المخاطر في المطارات خسائر كبيرة مما يتطلب وجود نظام وبرامج لإدارة هذه المخاطر والسيطرة عليها وان عدم وجود إدارة للمخاطر قد يزيد من احتمالات تحقيق المخاطر في المطارات الدولية. 1.3. 1.حماية السرية و الخصوصية ضمان عدم وصول أي شخص غير مخول إلى المعلومات الحساسة أو الخاصة بشركة أو معلومات الافراد و بيانات الشخصية، و يستخدم جدار الحماية (Firewall) لحماية بيانات شركة، و من أهم مزايا جدار الحماية هو السيطرة على أي (IP) يدخل من خارج على أي موقع و يتحكم في تتبع معلومات و أي ثغره موجوده يغلقها و يستطيع معرفة أي جهاز يوجد بيه مشكلة، 2. توفير و مراقبة الوصول وتثقيف و التوعية ضمان توفر النظم والمعلومات في الأوقات المطلوبة دون تعطيلات غير مبرمجة أو هجمات و مراقبة منح الوصول فقط للأشخاص المصرح لهم، تعزيز الوعي بأمن المعلومات وتعليم المستخدمين كيفية التصرف بأمان في استخدام التقنيات الحالية و الجديدة لأن جدار الحماية يوجد له أنواع متعددة و يجب من الخبرة لتعامل معه لحماية نظام الشركة و هذا الهدف من الدراسة تجنب أي مشكلة في الشركة و تسارع في حلها. 3. و يجب توفير (VPN) خاص لمدينة بنغازي لـضمان عدم حصول عطل أو تأخير في رحلات الركاب، و عمل دورات توعية لهم و توظيف موظفين ذو خبرة من كلية تقنية المعلومات لإعطاء طابق تقني جديد للشركة. 4. كلا من أمن المعلومات وإدارة المخاطر يساهمان في تعزيز استدامة ونجاح المؤسسات والأفراد، من خلال حماية البيانات الحساسة، وتحقيق مزيد من الشفافية والمساءلة. 2. يستعرض أهمية تعزيز أمن المعلومات داخل الشركة والتخلي عن الطرق التقليدية المستخدمة في حماية البيانات. وتقييم البرامج وأنواع الأجهزة المستخدمة ضمن الشبكة، بالإضافة إلى استعراض آراء الموظفين بشأن هذه العمليات. 1.5. كما قام الباحث بعمل الاتي قمنا بإنشاء دراسة كاملة عن أمن معلومات الشركة و كيفية التعامل مع المخاطر و إدارتها و معرفة اراء الموظفين و المُدراء في إدارة، بالإضافة إلى ابحث عن دراسات سابقة حديثة تتحدث عن عنوان البحث.  الجانب العلمي تم استخدام برنامج (Excel Microsoft) في توزيع و حساب نتائج الاستبيان احصائيا و تم حساب كلا من (المتوسط الحسابي/ الانحراف المعياري/ النسبة المئوية/ اتجاه العينة)، و تم شرح كل سؤال و عمل جدول خاص لكل سؤال لتوضيح النسب المئوية و من ثم عمل جدول و شرح اتجاه العينة و تمت مناقشة و شرح الأسئلة بصفة عامة. 1.6. 1.6. و يتضمن أمن المعلومات تطبيق تقنيات وأساليب مثل التشفير، والتحقق من الهوية، وتقييم تأثيرها، 3.2. يتطلب دمج المعرفة التقنية والإدارية مع استراتيجيات واضحة مثل تطوير استراتيجيات قائمة على البيانات جمع وتحليل البيانات و التحليل الإحصائي، و الاستفادة من الخبرات والأبحاث أي الاستفادة والاستعانة بخبراء أمان المعلومات وإدارة المخاطر للحصول على رؤى متعمقة وتوجيهات و مراجعة الأبحاث الاطلاع على أحدث الأبحاث والتطورات في مجال الأمن وإدارة المخاطر، و تحسين التواصل مع إدارات العليا و الموظفين و فريق لعمل في حالة العمل على مشروع. و تطبيق منهجيات اتخاذ القرارات مثل تحليل تكلفة فائدة، والتحليل الاستراتيجي لـتطبيق التحليل الاستراتيجي لتقييم الخيارات المختلفة وتحديد الخيار الأنسب بناءً على الأهداف والمخاطر. و كما يجب توفير التدريب والتطوير المستمر أي تقديم التدريب المستمر للموظفين على أحدث الممارسات والتقنيات في مجال الأمان وإدارة المخاطر، و تحديث المهارات لـتشجيع التعلم المستمر وتحديث المهارات لمواكبة التغيرات في التهديدات والتقنيات. مما يؤدي إلى حماية أفضل للأصول وتقليل المخاطر بشكل أكثر فعالية. 3.3. هو مهندس من كلية تقنية المعلومات من قسم الشبكات و اتصالات الحاسوب ليكون على درايه كافية بكافة المعلومات و يكون هناك خبير لإستخدام البرمجة و يجب توفير موظفين ذو خبرة من كافة الأقسام لتعامل مع جميع المشاكل التي قد تحدث مستقبلياً. 3.4. 3.4. والتي تشكل بدورها أساس البنية الأساسية الأمنية للمؤسسة. تعمل تلك العناصر الثلاثة بمثابة مبادئ توجيهية لتنفيذ خطة أمان المعلومات. يمثل تشفير البيانات والمصادقة متعددة العوامل وتفادي فقدان البيانات جزءاً من الأدوات التي يمكن للمؤسسات استخدامها للمساعدة في ضمان سرية البيانات. 3.4. ستدرك الشركات التي تتمتع بميزة أمان المعلومات الفعالة أهمية البيانات الدقيقة والموثوقة، ولن تسمح لأي مستخدم غير مُخوَّل بالوصول إليها أو تغييرها أو التدخل فيها بأي طريقة أخرى. تساعد أدوات مثل أذونات الوصول إلى الملفات وإدارة الهوية وعناصر التحكم في وصول المستخدم في ضمان تكامل البيانات. 3.4. صورة رقم 1. 3.4. وتقيّم مدى احتمالية وتأثير كل خطر. 3.4. 3.4. تقييم المخاطر، يجب إتمام كل مرحلة قبل الانتقال إلى المرحلة التالية. تلعب كل من هذه الخطوات دورًا حيويًا في صياغة استراتيجية شاملة لحماية المعلومات من خروقات الأمن المحتملة واختراق البيانات. الخطوة 1. بما في ذلك الأجهزة والأنظمة والتطبيقات والبيانات. بعد ذلك، مثل جدران الحماية ومراجعة السجلات. يتضمن ذلك رسم خرائط وتصنيف التهديدات والثغرات الأمنية بناءً على احتمالية حدوثها وتأثيرها. الخطوة 3. ومن المثالي أن تشمل خطة معالجة المخاطر العناصر التالية

• التخفيف يركز على تقليل احتمالية حدوث المخاطر أو تأثيرها. - النقل يتم هنا نقل المخاطر إلى جهة أخرى، مثل شراء التأمين السيبراني، - القبول يتيح للمؤسسات اتخاذ قرار مدروس بقبول المخاطر، وهو مناسب للمخاطر ذات التأثير أو الاحتمالية المنخفضة، أو تلك التي تكون تكلفتها مرتفعة ويصعب تخفيفها. الخطوة 4. فإنه من الضروري مراقبة المخاطر المحددة والانتباه إلى الثغرات والتهديدات الجديدة. ولذات السبب، 3.6. إدارة مخاطر تكنولوجيا المعلومات هي عملية إدارة المخاطر والتخفيف من حدتها من خلال التخطيط الدقيق والأنظمة المتخصصة والمبادئ التوجيهية والسياسات والقرارات عبر مختلف القطاعات ، وليس الأمن السيبراني فقط. يركز طاقم تكنولوجيا المعلومات بشكل كامل على التخفيف من مخاطر تكنولوجيا المعلومات. من ناحية أخرى ، كلا المصطلحين، عبارة عن كلمات طنانة غالبًا ما يتم طرحها في نفس السياق. ولا ينبغي استخدامهما بالتبادل. الأمن السيبراني هو مجموعة فرعية من أمن المعلومات، تشمل إدارة مخاطر أكثر بكثير من مجرد الجوانب الرقمية والفضائية الإلكترونية لحماية بيانات المؤسسة. وهو يشمل ويغطي أنواعًا أخرى من المخاطر، مثل عيوب الأجهزة والبرامج، والخطأ البشري، ومع ذلك، وهو الجانب الرئيسي لإدارة مخاطر. 3.7. لا تقتصر فوائد إدارة مخاطر أمن المعلومات على الحماية من التهديدات الإلكترونية فحسب، بل تسهم أيضًا في تعزيز ثقافة الوعي والمساءلة داخل مؤسستك. يمكن لاستراتيجية فعالة في إدارة مخاطر أمن المعلومات أن تلعب دورًا حيويًا في نجاح عملك واستمراريته. بدءًا من حماية المعلومات الحساسة للعملاء وصولاً إلى ضمان استمرارية الأعمال، تشمل الفوائد جوانب متعددة من عملياتك. 3.7. يلعب التشفير دورًا أساسيًا في هذه الاستراتيجية، مما يقلل من التهديدات الداخلية والخارجية. تضمن الحماية الاستباقية للبيانات الكشف الفوري والاستجابة السريعة للحوادث الأمنية، مما يعزز الثقة بين جميع الأطراف المعنية. من خلال تنفيذ عملية إدارة المخاطر المتعلقة بالمعلومات (ISRM) بشكل فعال، يمكن لشركتك الامتثال لمتطلبات الصناعة وتفادي أي عواقب قانونية. مما يتيح الاستجابة السريعة للحوادث الأمنية. مما يجعل الموظفين أكثر استعدادًا للمشاركة في جهود التخفيف من التهديدات. 3.7. يمكن لشركتك تجنب التكاليف المالية المرتبطة بالحوادث الأمنية وانتهاكات البيانات. مما يساعد في تقليل النفقات المتعلقة بالاستجابة للحوادث، بالإضافة إلى العواقب القانونية والأضرار التي قد تلحق بالسمعة. 3.7. بل تشمل أيضًا التعامل مع التهديدات المحتملة بشكل استباقي، مما يساهم في بناء أساس قوي من الثقة مع العملاء والشركاء وأصحاب المصلحة. في النهاية، هناك العديد من الأطر والأساليب لهذا، ولكنك ستستخدم على الأرجح بعض الاختلافات في هذه المعادلة المخاطر= (التهديد × الثغرة الأمنية (احتمالية الاستغلال × تأثير الاستغلال) × قيمة الأصول) - ضوابط الأمان. وهو ما يثير استياء الجميع. حيث عبّر معظم المشاركين عن رضاهم بشأن وجود هذه السياسات ومدى وضوحها. غياب التحديث الدوري يشكل خطرًا حقيقيًا في ظل التطورات السريعة في أساليب الهجمات الإلكترونية. علاوة على ذلك، خاصة فيما يتعلق بالتدريب الدوري على التهديدات الأمنية مثل التصيد الاحتيالي. أظهرت النتائج أن نسبة كبيرة من الموظفين لا يدركون أهمية تغيير كلمات المرور بانتظام أو الإبلاغ الفوري عن الحوادث الأمنية. هذه النتائج تشير إلى ضرورة تعزيز الثقافة الأمنية داخل المؤسسة من خلال برامج تدريب متقدمة وشاملة. حيث يشكل الذكور النسبة الأكبر من الموظفين مقارنة بالإناث. كما تبين أن نسبة حملة الدكتوراه منخفضة جدًا، مما يعكس نقصًا في استقطاب الكفاءات الأكاديمية ذات الخبرة العالية. هذه الفجوة قد تؤثر على قدرة الشركة على مواجهة التحديات الأمنية بأسلوب أكثر استراتيجية وابتكارًا. 4. مستوى الاعتماد على التقنيات الأمنية توضح النتائج أن الشركة تعتمد على تقنيات مثل برامج مكافحة الفيروسات وشبكات (الـVPN)، إلا أن هناك مؤشرات على وجود نقاط ضعف في هذه الأدوات. يشكلان تحديات حقيقية تعيق أداء الشركة. مما يشير إلى الحاجة لتحديث هذه البرامج باستمرار وضمان كفاءتها. 5. تقييم المخاطر وإدارة الحوادث الأمنية بيّنت النتائج أن الشركة تواجه تحديات في تقييم المخاطر الأمنية بشكل منتظم. المشاركون أشاروا إلى أن الشركة تحتاج إلى تحسين آليات اكتشاف الثغرات ومعالجتها، إضافة إلى ضرورة وجود خطط واضحة لإدارة الحوادث الأمنية. 6. رضا الموظفين عن السياسات الأمنية على الرغم من وجود رضا عام عن السياسات الأمنية، الخلاصة مع التركيز على شركة الخطوط الجوية الليبية كمثال عملي لدراسة تطبيقات هذه المبادئ في قطاع حساس ومهم. تم استعراض الجوانب النظرية لإدارة المخاطر وأمن المعلومات، إلى جانب تحليل البيانات العملية المستخلصة من استبيان استهدف تقييم الوضع الحالي للشركة فيما يتعلق بتلك القضايا. ويمكن تلخيص النتائج الرئيسية في النقاط التالية ومع ذلك، مثل تحديثها بشكل دوري أو تدريب الموظفين عليها، أشار العديد من المشاركين إلى أن تلك السياسات تُطبّق بفعالية، ضعف الوعي الأمني لدى بعض الموظفين، هذا الضعف يمثل خطرًا كبيرًا، 3. التنوع الوظيفي أظهرت البيانات فجوة كبيرة في التوزيع النوعي للقوى العاملة، حيث تمثل النساء نسبة صغيرة جدًا من العاملين مقارنة بالذكور. بالإضافة إلى ذلك، هناك نقص واضح في الكوادر الأكاديمية ذات الخبرة العالية (حملة الدكتوراه)، مما قد يؤثر سلبًا على قدرة الشركة على تطوير استراتيجيات متقدمة لإدارة المخاطر وأمن المعلومات. 4. التقنيات المستخدمة الشركة تعتمد على تقنيات مثل شبكات (الـ VPN) لحماية البيانات وربط المواقع البعيدة، ولكن تم الإبلاغ عن تحديات متعلقة بضعف الإنترنت وتأثيره على كفاءة الأنظمة. كما أن بعض المشاركين أعربوا عن قلقهم بشأن عدم وجود آليات فعالة للتعامل مع الأجهزة القديمة وضمان حذف البيانات منها بشكل آمن. 5. تخصيص الموارد أظهرت النتائج أن هناك نقصًا في تخصيص ميزانيات كافية لتحسين أدوات وتقنيات إدارة المخاطر. هذا النقص ينعكس سلبًا على قدرة الشركة على مواجهة التهديدات الأمنية المتزايدة، خاصة مع تطور التكنولوجيا وزيادة التعقيد في الهجمات السيبرانية. 5.2. 1. الفجوة بين النظرية والتطبيق على الرغم من وجود سياسات أمنية واضحة، إلا أن التنفيذ العملي لها يواجه تحديات مرتبطة بضعف الموارد والتدريب. 2. التأثير البشري يظهر البحث أن العامل البشري يظل أحد أهم الجوانب التي تحتاج إلى تحسين في الشركة. ضعف الوعي الأمني لدى الموظفين يجعلهم هدفًا سهلًا للهجمات الإلكترونية، مما يستدعي استراتيجيات شاملة للتدريب والتوعية. أي تأخير في تحديث الأنظمة أو تخصيص موارد إضافية قد يزيد من احتمالية وقوع حوادث أمنية. خاصة تلك التي تعمل في قطاعات حيوية مثل الطيران. 2. تخصيص ميزانيات ملائمة لأمن المعلومات وإدارة المخاطر يمثل استثمارًا استراتيجيًا طويل الأمد. 3. التطوير المستمر للأنظمة والتقنيات ضروري لمواجهة التحديات الأمنية المتزايدة. 5.4. 3. تعزيز التنوع في الهيكل الوظيفي من خلال استقطاب الكوادر الأكاديمية والخبرات النسائية. 4. اعتماد آليات دورية لتقييم المخاطر الأمنية واختبار الأنظمة. في الختام،

المقدمة
1.1التمهيد
أمن المعلومات وإدارة المخاطر
هما مجالان أساسيان في عالم التكنولوجيا الحديثة ومفصليان لضمان حماية وسرية المعلومات في العصر الرقمي الذي نعيش فيه.
يشير أمن المعلومات إلى مجموعة من الإجراءات والسياسات والتقنيات المصممة لحماية سرية المعلومات وسلامتها وضمان توفرها، وذلك من خلال مواجهة التهديدات والمخاطر المحتملة مثل الوصول غير المصرح به، الاختراقات السيبرانية، البرمجيات الضارة، التسريبات البياناتية، والهجمات الإلكترونية المختلفة، إدارة المخاطر من جانبها تُعنى بكافة الخطوات والعمليات اللازمة لتحديد وتقييم ومعالجة ومراقبة وتقليل التأثيرات السلبية للمخاطر الأمنية المحتملة. تُعتبر هذه الإدارة جزءًا حيويًا لأنها تساهم في تمكين المؤسسات من استيعاب التهديدات بشكل أفضل والحد منها عبر اتخاذ قرارات مدروسة تقلل الخسائر المتوقعة. ولا تقتصر إدارة المخاطر على الجوانب التقنية فقط، بل تتطلب دعمًا من القيادات العليا والتزامًا واسع النطاق داخل المنظمة، إضافة إلى تعزيز ثقافة تُقدّر أهمية التعامل المنظم والفعال مع المخاطر. بفضل الاستراتيجيات الفعالة لإدارة المخاطر، تتمكن المؤسسات من تحقيق أهدافها بكفاءة أعلى، مع الحد من التعرض لأحداث غير متوقعة قد تكون مدمرة. وفي ظل التزايد المستمر للتهديدات السيبرانية، تتزايد أهمية أمن المعلومات وإدارة المخاطر سواء على مستوى الشركات أو الأفراد. هذا التكامل بين المجالين يُعد ضرورة لضمان استمرارية الأعمال وحماية البيانات والمعلومات الحساسة ضمن السياق الرقمي المتسارع. و عملية إدارة المخاطر المرتبطة باستخدام تكنولوجيا المعلومات. وهي تتضمن تحديد وتقييم ومعالجة المخاطر التي تهدد سرية المعلومات في أصول المنظمة. والهدف النهائي من هذه العملية هو معالجة المخاطر وفقًا لتحمل المنظمة للمخاطر بشكل عام. لا ينبغي للشركات أن تتوقع القضاء على جميع المخاطر؛ بل يجب عليها بدلاً من ذلك أن تسعى إلى تحديد مستوى المخاطر المقبول لمؤسستها وتحقيقه. فهي بمثابة حارس ضد التهديدات السيبرانية المتطورة باستمرار، وتوفر للمؤسسات إطارًا منظمًا للكشف عن المخاطر المحتملة على أصولها القيمة وتقييمها والتخفيف منها.

1.2. مشكلة البحث بصفة عامة
مشكلة أمن المعلومات وإدارة المخاطر تمثل تحديات كبيرة تعترض طريق المؤسسات والأفراد في عصر التكنولوجيا الحديثة، وتتضمن هذه التحديات عدة جوانب، منها

1. الهجمات الإلكترونية تتضمن الاختراقات والبرمجيات الخبيثة التي تستهدف الأنظمة والبيانات بهدف الوصول غير المشروع، السرقة، أو الإضرار بها.


2. ضعف التوعية الأمنية بين الموظفين والأفراد يُعتبر عاملاً يزيد احتمالية التعرض للاختراقات والهجمات نتيجة لعدم اتباع ممارسات السلامة الرقمية.


3. التهديدات الداخلية تمثل المخاطر الناشئة من داخل المؤسسة، سواء كان ذلك بسبب الإهمال أو التصرفات الخبيثة من قبل الموظفين أو العاملين الآخرين.


4. مع ظهور التقنيات المتقدمة مثل الذكاء الاصطناعي وتطور الإنترنت، تبرز تحديات جديدة ترتبط بالاعتماد على التشفير الكمي وضمان الحماية الآمنة للأنظمة المتصلة.
   1.2.2. المشاكل التي واجهتها شركة (الخطوط الجوية الليبية)
   كـشركة طيران تعمل بشكل يومي في مطارات هناك بعض مشاكل المعينة التي تواجه الشركة كـنظام تقني في المنظومات الخاصة بها.
   منها منظومة قبول ركاب أو خدمات الركاب حيث تعمل بنظام (أماديوس) كـمنظومة (Customer management) و المشكلة التي تواجه هذه منظومة هي آلية الربط بين (أماديوس) و أجهزة خاصة بها فيتم استخدام (VPN) خاص بـعملية ربط لـتشغيل منظومات خاصة بهم.
   و (VPN: Virtual Private Network) هو شبكة خاصة افتراضية، يتم استخدامه لربط منظومات والشبكات البعيدة ببعضها بطريقة آمنة، يُعدّ (الـVPN) حلًا فعالًا لربط المواقع البعيدة (مثل الفروع، ومراكز البيانات، والشبكات المنزلية للموظفين) مع شبكة الشركة الرئيسية، مما يُتيح للموظفين الوصول إلى الموارد والبيانات الداخلية بشكل آمن عبر الإنترنت.
   و لـتشغيل هذه أنظمة يجب توفير شركة خاصة تقوم بهذه عملية كـمزود خدمة لـشركة خطوط ليبية في بنغازي، و (VPN) متواجد في طرابلس فـأي ضعف في شبكة أنترنت يسبب في تعطيل رحلات المتواجدة لدينا.
   ولأن ليس لديه الدراية الكافية على أمن المعلومات، و يمكن أن يسبب مشاكل لنظام الشركة عن طريق فتح رابط أو استخدام مواقع أو غيرها. تتمثل مشكلة الدراسة في عدم وجود إدارة للمخاطر وأمن في المطارات الدولية ذات كفاءة وفاعلية في مواجهة المخاطر التي تؤدي إلى خسائر مادية حيث يتولد عن قبول المخاطر في المطارات خسائر كبيرة مما يتطلب وجود نظام وبرامج لإدارة هذه المخاطر والسيطرة عليها وان عدم وجود إدارة للمخاطر قد يزيد من احتمالات تحقيق المخاطر في المطارات الدولية.
   1.3. أهداف البحث
   يوجد أهداف عديدة لهذه الدراسة و لكن من أهم أهداف أمن المعلومات وإدارة المخاطر في أنظمة المعلومات و التي تشمل عدة جوانب مهمة و هي
   1.حماية السرية و الخصوصية ضمان عدم وصول أي شخص غير مخول إلى المعلومات الحساسة أو الخاصة بشركة أو معلومات الافراد و بيانات الشخصية، و يستخدم جدار الحماية (Firewall) لحماية بيانات شركة، و من أهم مزايا جدار الحماية هو السيطرة على أي (IP) يدخل من خارج على أي موقع و يتحكم في تتبع معلومات و أي ثغره موجوده يغلقها و يستطيع معرفة أي جهاز يوجد بيه مشكلة، و يستطيع غلق أي موقع و يوجد بيه حماية عالية.


5. توفير و مراقبة الوصول وتثقيف و التوعية ضمان توفر النظم والمعلومات في الأوقات المطلوبة دون تعطيلات غير مبرمجة أو هجمات و مراقبة منح الوصول فقط للأشخاص المصرح لهم، تعزيز الوعي بأمن المعلومات وتعليم المستخدمين كيفية التصرف بأمان في استخدام التقنيات الحالية و الجديدة لأن جدار الحماية يوجد له أنواع متعددة و يجب من الخبرة لتعامل معه لحماية نظام الشركة و هذا الهدف من الدراسة تجنب أي مشكلة في الشركة و تسارع في حلها.


6. و يجب توفير (VPN) خاص لمدينة بنغازي لـضمان عدم حصول عطل أو تأخير في رحلات الركاب، كما يجب توفير كوادر تقنية جيدة للموظفين قادرة على تلبية احتياجاتهم الأمنية، و عمل دورات توعية لهم و توظيف موظفين ذو خبرة من كلية تقنية المعلومات لإعطاء طابق تقني جديد للشركة.


7. كلا من أمن المعلومات وإدارة المخاطر يساهمان في تعزيز استدامة ونجاح المؤسسات والأفراد، من خلال حماية البيانات الحساسة، وتقليل التعرض للهجمات السيبرانية، وتحقيق مزيد من الشفافية والمساءلة. تجمع الأهداف الأساسية لكل منهما على تحقيق الأمان الرقمي والاستعداد للتحديات التي قد تواجهها المؤسسات في عصر الرقمنة المتسارع.

1.4. أهمية الدراسة
تمكن هذا البحث في طبيعة المشكلة التي تتناولها، و ترتيب أهمية خاصة فيما يأتي

1. يعد هذا البحث من الدراسات الحديثة في الشركة التي تجمع بين مجال أمن المعلومات وإدارة المخاطر في بيئة عمل الشركات.


2. يستعرض أهمية تعزيز أمن المعلومات داخل الشركة والتخلي عن الطرق التقليدية المستخدمة في حماية البيانات.


3. تركز الدراسة أيضًا على تحليل أساليب العمل في الشركة، وتقييم البرامج وأنواع الأجهزة المستخدمة ضمن الشبكة، بالإضافة إلى استعراض آراء الموظفين بشأن هذه العمليات.
   1.5. منهجية البحث
   تم الأعتماد في هذا البحث على معلومات شركة (الخطوط الجوية الليبية) و التي تقوم بإدارة المخاطر و سيطرة عليها بطريقة جيده و تأمن معلومات الشركة، كما قام الباحث بعمل الاتي
    الجانب النظري
   
   1.5.1. دراسة لـ أمن المعلومات و إدارة المخاطر في الشركة
   قمنا بإنشاء دراسة كاملة عن أمن معلومات الشركة و كيفية التعامل مع المخاطر و إدارتها و معرفة اراء الموظفين و المُدراء في إدارة، بالإضافة إلى ابحث عن دراسات سابقة حديثة تتحدث عن عنوان البحث.
    الجانب العلمي
   1.5.2. انشاء الاستبيان
   تم عمل مجموعة من الأسئلة و اختيار عينة من المُدراء و موظفين الشركة لمعرفة مدى جودة الأمن و الأجهزة و البرامج المستخدمة في الشركة، و استخدم جدول (Likert Scale) الخماسي.
   1.5.3. طريقة حساب و مناقشة نتائج الاستبيان
   تم استخدام برنامج (Excel Microsoft) في توزيع و حساب نتائج الاستبيان احصائيا و تم حساب كلا من (المتوسط الحسابي/ الانحراف المعياري/ النسبة المئوية/ اتجاه العينة)، و تم شرح كل سؤال و عمل جدول خاص لكل سؤال لتوضيح النسب المئوية و من ثم عمل جدول و شرح اتجاه العينة و تمت مناقشة و شرح الأسئلة بصفة عامة.
   1.6. حدود الدراسة
   كانت حدود دراسة هذه الرسالة في مدينة بنغازي و تقتصر على شركة (الخطوط الجوية الليبية) و تشمل
   1.6.1. الحدود المكانية ليبيا في مدينة بنغازي.
   1.6.2. الحدود البشرية أقتصرت على موظفي شركة (الخطوط الجوية الليبية) في مدينة بنغازي.
   1.6.3. الحدود التقنية و الأدوات المستخدمة (Cisco Catalyst) أو (hp)، و سيطرة تكون عن طريق (Mikrotik)، و يوجد عدة خطوط أنترنت في شركة.
   1.6.4. الحدود الزمنية 2024_2025

. مفهوم أمن المعلومات و إدارة المخاطر
أمن المعلومات و إدارة المخاطر يركزان على حماية البيانات والمعلومات و تهدف إلى تحديد المخاطر التي قد تؤثر على أصول المعلومات من الوصول غير المصرح به، و يتضمن أمن المعلومات تطبيق تقنيات وأساليب مثل التشفير، والتحقق من الهوية، وإجراءات الأمان المادية والرقمية لضمان سرية المعلومات وسلامتها وتوافرها و تتضمن إدارة المخاطر تحليل المخاطر المحتملة، وتقييم تأثيرها، وتطوير استراتيجيات للتقليل من هذه المخاطر أو التخفيف من آثارها.
3.2. تحسين اتخاذ القرارات في إدارة أمن المعلومات وإدارة المخاطر
يتطلب دمج المعرفة التقنية والإدارية مع استراتيجيات واضحة مثل تطوير استراتيجيات قائمة على البيانات جمع وتحليل البيانات و التحليل الإحصائي، و الاستفادة من الخبرات والأبحاث أي الاستفادة والاستعانة بخبراء أمان المعلومات وإدارة المخاطر للحصول على رؤى متعمقة وتوجيهات و مراجعة الأبحاث الاطلاع على أحدث الأبحاث والتطورات في مجال الأمن وإدارة المخاطر، و تحسين التواصل مع إدارات العليا و الموظفين و فريق لعمل في حالة العمل على مشروع. و تطبيق منهجيات اتخاذ القرارات مثل تحليل تكلفة فائدة، وتحليل القرار متعدد المعايير، لضمان اتخاذ قرارات مبنية على أسس متينة. والتحليل الاستراتيجي لـتطبيق التحليل الاستراتيجي لتقييم الخيارات المختلفة وتحديد الخيار الأنسب بناءً على الأهداف والمخاطر.
و كما يجب توفير التدريب والتطوير المستمر أي تقديم التدريب المستمر للموظفين على أحدث الممارسات والتقنيات في مجال الأمان وإدارة المخاطر، و تحديث المهارات لـتشجيع التعلم المستمر وتحديث المهارات لمواكبة التغيرات في التهديدات والتقنيات.
باستخدام هذه الاستراتيجيات، يمكن تحسين عملية اتخاذ القرارات في إدارة أمن المعلومات وإدارة المخاطر، مما يؤدي إلى حماية أفضل للأصول وتقليل المخاطر بشكل أكثر فعالية.
3.3. المسؤول عن أمن المعلومات و إدارة المخاطر بصفة عامة
هو مهندس من كلية تقنية المعلومات من قسم الشبكات و اتصالات الحاسوب ليكون على درايه كافية بكافة المعلومات و يكون هناك خبير لإستخدام البرمجة و يجب توفير موظفين ذو خبرة من كافة الأقسام لتعامل مع جميع المشاكل التي قد تحدث مستقبلياً.

3.4. الخطوات الرئيسية التي تتبعها في أمن المعلومات و إدارة المخاطر
3.4.1. تمثل عناصر السرية والتكامل والتوافر الركائز الأساسية حماية البيانات، والتي تشكل بدورها أساس البنية الأساسية الأمنية للمؤسسة. تعمل تلك العناصر الثلاثة بمثابة مبادئ توجيهية لتنفيذ خطة أمان المعلومات.
3.4.1.1. السرية تمثل الخصوصية مكوناً رئيسياً لأمان المعلومات، ويجب على المؤسسات أن تضع إجراءات تسمح فقط للمستخدمين المصرح لهم بالوصول إلى المعلومات. يمثل تشفير البيانات والمصادقة متعددة العوامل وتفادي فقدان البيانات جزءاً من الأدوات التي يمكن للمؤسسات استخدامها للمساعدة في ضمان سرية البيانات.
3.4.1.2. التكامل يجب أن تحافظ المؤسسات على تكامل البيانات طوال دورتها بالكامل. ستدرك الشركات التي تتمتع بميزة أمان المعلومات الفعالة أهمية البيانات الدقيقة والموثوقة، ولن تسمح لأي مستخدم غير مُخوَّل بالوصول إليها أو تغييرها أو التدخل فيها بأي طريقة أخرى. تساعد أدوات مثل أذونات الوصول إلى الملفات وإدارة الهوية وعناصر التحكم في وصول المستخدم في ضمان تكامل البيانات.
3.4.1.3. التوافر تتضمن سياسة أمان المعلومات صيانة الأجهزة المادية باستمرار واستكمال ترقيات النظام بانتظام لضمان حصول المستخدمين المعتمدين على وصول متسق يمكن الاعتماد عليه إلى البيانات التي يحتاجون إليها.

صورة رقم 1.4.3 لعناصر الأساسية لأمن المعلومات

3.4.2. تمثل إدارة المخاطر عدة خطوات أو ركائز مهمه منها
3.4.2.1. تحديد وتحليل المخاطر تحدد المخاطر في رحلتك، وتقيّم مدى احتمالية وتأثير كل خطر.
3.4.2.2. تقييم المخاطر تحدد مدى تحملك لهذه المخاطر وترتيبها حسب الأولوية.
3.4.2.3. تقييم ومراقبة المخاطر تحدد مدى تحملك لهذه المخاطر وترتيبها حسب الأولوية تتابع تنفيذ الاستراتيجيات وتعديلها حسب الحاجة.
3.5. كيفية إدارة مخاطر أمن المعلومات
تتكون عملية إدارة المخاطر الأمنية عادةً من أربع خطوات رئيسية تحديد المخاطر، تقييم المخاطر، معالجة المخاطر، ومراقبة المخاطر ومراجعتها. نظرًا لأن إدارة المخاطر الأمنية تتبع نهجًا خطيًا، يجب إتمام كل مرحلة قبل الانتقال إلى المرحلة التالية. تلعب كل من هذه الخطوات دورًا حيويًا في صياغة استراتيجية شاملة لحماية المعلومات من خروقات الأمن المحتملة واختراق البيانات.
الخطوة 1. تحديد المخاطر
تتمثل الخطوة الأولى في تحديد جميع أصول المعلومات الخاصة بالمنظمة، بما في ذلك الأجهزة والأنظمة والتطبيقات والبيانات. بعد ذلك، يتم تحديد التهديدات والثغرات الأمنية (سواء كانت تقنية أو إجرائية) بالإضافة إلى الضوابط المتاحة، مثل جدران الحماية ومراجعة السجلات.
الخطوة 2. تقييم المخاطر
بعد الانتهاء من تحديد المخاطر، تبدأ عملية تقييمها. يتضمن ذلك رسم خرائط وتصنيف التهديدات والثغرات الأمنية بناءً على احتمالية حدوثها وتأثيرها. بناءً على هذا التصنيف، يتم تحديد أولويات المخاطر، مما يساعد المؤسسات على تركيز جهودها على التخفيف من المخاطر الأكثر خطورة.
الخطوة 3. معالجة المخاطر
تتضمن الخطوة التالية تطوير وتنفيذ استراتيجيات لمعالجة المخاطر. ومن المثالي أن تشمل خطة معالجة المخاطر العناصر التالية

• الإصلاح يتضمن إزالة الثغرات التي تؤدي إلى المخاطر.


• التخفيف يركز على تقليل احتمالية حدوث المخاطر أو تأثيرها.


• النقل يتم هنا نقل المخاطر إلى جهة أخرى، مثل شراء التأمين السيبراني، مما يساعد في تقليل المخاطر المالية الناتجة عن خروقات البيانات.


• القبول يتيح للمؤسسات اتخاذ قرار مدروس بقبول المخاطر، وهو مناسب للمخاطر ذات التأثير أو الاحتمالية المنخفضة، أو تلك التي تكون تكلفتها مرتفعة ويصعب تخفيفها.


• التجنب يتضمن القضاء على المخاطر من خلال تعديل العمليات أو التكنولوجيا أو الممارسات.
  الخطوة 4. مراقبة المخاطر ومراجعتها
  نظرًا لأن إدارة المخاطر الأمنية هي عملية مستمرة، فإنه من الضروري مراقبة المخاطر المحددة والانتباه إلى الثغرات والتهديدات الجديدة. ولذات السبب، يعد تحديث خطط المعالجة بشكل دوري أمرًا بالغ الأهمية. تشمل عملية المراجعة في هذه الحالة تقييم ما إذا كانت تدابير الأمان لا تزال كافية لمواجهة أي تهديدات.
  3.6. مقارنة بين إدارة مخاطر و الأمن السيبراني
  إدارة مخاطر تكنولوجيا المعلومات هي عملية إدارة المخاطر والتخفيف من حدتها من خلال التخطيط الدقيق والأنظمة المتخصصة والمبادئ التوجيهية والسياسات والقرارات عبر مختلف القطاعات ، وليس الأمن السيبراني فقط. مع إدارة مخاطر تكنولوجيا المعلومات ، يركز طاقم تكنولوجيا المعلومات بشكل كامل على التخفيف من مخاطر تكنولوجيا المعلومات. من ناحية أخرى ، يتعامل الأمن السيبراني مع حماية الأنظمة والأجهزة والبرامج والشبكات من الهجمات الإلكترونية. كلا المصطلحين، بالإضافة إلى أمن المعلومات، عبارة عن كلمات طنانة غالبًا ما يتم طرحها في نفس السياق. على الرغم من ارتباط مصطلحي الأمن السيبراني و أمن تكنولوجيا المعلومات ارتباطًا وثيقًا، إلا أن هناك اختلافات كبيرة بينهما، ولا ينبغي استخدامهما بالتبادل.
  يتمثل الاختلاف الرئيسي بين إدارة مخاطر والأمن السيبراني في أن الأمن السيبراني يتعامل مع تأمين وتقييم واختبار بيئة تكنولوجيا المعلومات الخاصة بالمؤسسة ضد البرامج الضارة والمهاجمين عبر الإنترنت.
  الأمن السيبراني هو مجموعة فرعية من أمن المعلومات، وله تركيز أضيق على حماية الأنظمة والأجهزة والبيانات من مخاطر الجهات الفاعلة السيئة والبرامج الضارة والتصيد الاحتيالي وبرامج الفدية والوصول غير المصرح به.
  تشمل إدارة مخاطر أكثر بكثير من مجرد الجوانب الرقمية والفضائية الإلكترونية لحماية بيانات المؤسسة. وهو يشمل ويغطي أنواعًا أخرى من المخاطر، مثل عيوب الأجهزة والبرامج، والامتثال المتعلق بتكنولوجيا المعلومات والمخاطر التنظيمية، والخطأ البشري، والكوارث الطبيعية، من بين أمور أخرى. يعد جانب صنع القرار في الأمن السيبراني جزءًا مهمًا من إدارة مخاطر تكنولوجيا المعلومات. ومع ذلك، فإن الأمن السيبراني نفسه لا يشارك في تنفيذ القرارات المتعلقة بالتعامل مع المخاطر، وهو الجانب الرئيسي لإدارة مخاطر.
  3.7. كيف يمكن لإدارة مخاطر أمن المعلومات أن تعزز عملك
  لا تقتصر فوائد إدارة مخاطر أمن المعلومات على الحماية من التهديدات الإلكترونية فحسب، بل تسهم أيضًا في تعزيز ثقافة الوعي والمساءلة داخل مؤسستك. يمكن لاستراتيجية فعالة في إدارة مخاطر أمن المعلومات أن تلعب دورًا حيويًا في نجاح عملك واستمراريته. بدءًا من حماية المعلومات الحساسة للعملاء وصولاً إلى ضمان استمرارية الأعمال، تشمل الفوائد جوانب متعددة من عملياتك.
  3.7.1. تحسين أمان البيانات تسهم تدابير إدارة المخاطر في تعزيز أمان البيانات من خلال تحديد ومعالجة نقاط الضعف المحتملة بشكل منهجي. يلعب التشفير دورًا أساسيًا في هذه الاستراتيجية، بينما تساهم عناصر التحكم في الوصول في إدارة وتقييد أذونات المستخدمين، مما يقلل من التهديدات الداخلية والخارجية. بالإضافة إلى ذلك، تضمن الحماية الاستباقية للبيانات الكشف الفوري والاستجابة السريعة للحوادث الأمنية، مما يعزز الثقة بين جميع الأطراف المعنية.
  3.7.2. الامتثال القانوني والتنظيمي تتطلب البيئة التجارية المعقدة من الصناعات وجود إطار تنظيمي صارم ينظم معالجة وحماية البيانات الحساسة. من خلال تنفيذ عملية إدارة المخاطر المتعلقة بالمعلومات (ISRM) بشكل فعال، يمكن لشركتك الامتثال لمتطلبات الصناعة وتفادي أي عواقب قانونية.
  3.7.3. الوعي بالمخاطر والتخفيف من التهديدات تركز عملية (ISRM)على اكتشاف التهديدات، مما يتيح الاستجابة السريعة للحوادث الأمنية. تلعب الطبيعة الاستباقية في تقليل المخاطر دورًا حيويًا في تعزيز الوضع الأمني. يساهم هذا النهج في خلق ثقافة الوعي بالمخاطر داخل مؤسستك، مما يجعل الموظفين أكثر استعدادًا للمشاركة في جهود التخفيف من التهديدات.
  3.7.4. توفير التكاليف من خلال التعرف على التهديدات الأمنية المحتملة والتعامل معها بشكل استباقي، يمكن لشركتك تجنب التكاليف المالية المرتبطة بالحوادث الأمنية وانتهاكات البيانات. تعمل تدابير إدارة المخاطر الفعالة على تحقيق ذلك، مما يساعد في تقليل النفقات المتعلقة بالاستجابة للحوادث، بالإضافة إلى العواقب القانونية والأضرار التي قد تلحق بالسمعة.
  3.7.5. الثقة والسمعة لا تقتصر فوائد حماية البيانات الحساسة على تأمين المعلومات فحسب، بل تشمل أيضًا التعامل مع التهديدات المحتملة بشكل استباقي، مما يساهم في بناء أساس قوي من الثقة مع العملاء والشركاء وأصحاب المصلحة. هذا يضمن لهم أن بياناتهم في أمان، مما يعزز العلاقات طويلة الأمد. في النهاية، يسهم ذلك في نجاح عملك واستمراريته.

3.8. تقييم مخاطر أمن المعلومات
هذه هي عملية الجمع بين المعلومات التي جمعتها حول الأصول والثغرات والضوابط لتحديد المخاطر. هناك العديد من الأطر والأساليب لهذا، ولكنك ستستخدم على الأرجح بعض الاختلافات في هذه المعادلة
المخاطر= (التهديد × الثغرة الأمنية (احتمالية الاستغلال × تأثير الاستغلال) × قيمة الأصول) - ضوابط الأمان.

ملاحظة هذا تشبيه مبسط للغاية. فحساب المخاطر الاحتمالية ليس بهذه البساطة، وهو ما يثير استياء الجميع.

المناقشة
1.تحليل مستوى تطبيق سياسات أمن المعلومات أظهرت نتائج البحث أن شركة الخطوط الجوية الليبية تطبق سياسات واضحة لأمن المعلومات، حيث عبّر معظم المشاركين عن رضاهم بشأن وجود هذه السياسات ومدى وضوحها. ومع ذلك، أظهرت البيانات أن التحدي الأكبر يكمن في تحديث هذه السياسات بشكل دوري لمواكبة التهديدات المتزايدة. غياب التحديث الدوري يشكل خطرًا حقيقيًا في ظل التطورات السريعة في أساليب الهجمات الإلكترونية. علاوة على ذلك، ورغم تعريف الموظفين بسياسات الأمن عند بدء العمل، إلا أن هناك فجوة في وعي الموظفين واستمرارية التدريب، مما قد يؤدي إلى إضعاف الفعالية الإجمالية لهذه السياسات.
2. وعي الموظفين بالأمن السيبراني كشف البحث عن نقاط ضعف في وعي الموظفين بالممارسات الأمنية الصحيحة، خاصة فيما يتعلق بالتدريب الدوري على التهديدات الأمنية مثل التصيد الاحتيالي. أظهرت النتائج أن نسبة كبيرة من الموظفين لا يدركون أهمية تغيير كلمات المرور بانتظام أو الإبلاغ الفوري عن الحوادث الأمنية. كما أن هناك نقصًا في التثقيف حول المخاطر المرتبطة باستخدام الأجهزة الشخصية والبريد الإلكتروني الشخصي في العمل. هذه النتائج تشير إلى ضرورة تعزيز الثقافة الأمنية داخل المؤسسة من خلال برامج تدريب متقدمة وشاملة.
3. فجوة التوازن الوظيفي والخبرات أظهرت النتائج فجوة واضحة في التوزيع النوعي للقوى العاملة، حيث يشكل الذكور النسبة الأكبر من الموظفين مقارنة بالإناث. كما تبين أن نسبة حملة الدكتوراه منخفضة جدًا، مما يعكس نقصًا في استقطاب الكفاءات الأكاديمية ذات الخبرة العالية. هذه الفجوة قد تؤثر على قدرة الشركة على مواجهة التحديات الأمنية بأسلوب أكثر استراتيجية وابتكارًا.
4. مستوى الاعتماد على التقنيات الأمنية توضح النتائج أن الشركة تعتمد على تقنيات مثل برامج مكافحة الفيروسات وشبكات (الـVPN)، إلا أن هناك مؤشرات على وجود نقاط ضعف في هذه الأدوات. ضعف الإنترنت وتأثيره على كفاءة تشغيل الأنظمة الأمنية، بالإضافة إلى غياب آليات فعالة لإدارة الأجهزة القديمة، يشكلان تحديات حقيقية تعيق أداء الشركة. كما أن نسبة رضا المشاركين عن استخدام برامج مكافحة الفيروسات كانت متوسطة، مما يشير إلى الحاجة لتحديث هذه البرامج باستمرار وضمان كفاءتها.
5. تقييم المخاطر وإدارة الحوادث الأمنية بيّنت النتائج أن الشركة تواجه تحديات في تقييم المخاطر الأمنية بشكل منتظم. المشاركون أشاروا إلى أن الشركة تحتاج إلى تحسين آليات اكتشاف الثغرات ومعالجتها، إضافة إلى ضرورة وجود خطط واضحة لإدارة الحوادث الأمنية. غياب هذه الخطط قد يؤدي إلى تباطؤ في الاستجابة للحوادث الأمنية، مما يزيد من تأثيرها السلبي على العمليات اليومية للشركة.
6. رضا الموظفين عن السياسات الأمنية على الرغم من وجود رضا عام عن السياسات الأمنية، فإن الأرقام أظهرت وجود حيادية أو عدم رضا لدى بعض المشاركين في بعض الجوانب مثل تدريب الموظفين أو تخصيص ميزانيات كافية لتحسين أمن المعلومات. هذه النسب تعكس أن الشركة تحتاج إلى إعادة تقييم أولوياتها وضمان توفير الموارد اللازمة لتعزيز بنيتها الأمنية.

الخلاصة
تناول هذا البحث أهمية أمن المعلومات وإدارة المخاطر في سياق المؤسسات الحديثة، مع التركيز على شركة الخطوط الجوية الليبية كمثال عملي لدراسة تطبيقات هذه المبادئ في قطاع حساس ومهم. تم استعراض الجوانب النظرية لإدارة المخاطر وأمن المعلومات، إلى جانب تحليل البيانات العملية المستخلصة من استبيان استهدف تقييم الوضع الحالي للشركة فيما يتعلق بتلك القضايا. ويمكن تلخيص النتائج الرئيسية في النقاط التالية

1. سياسات أمن المعلومات أظهرت النتائج أن الشركة تطبق سياسات أمنية واضحة تهدف إلى حماية البيانات الحساسة وضمان سلامة العمليات. ومع ذلك، فإن مستوى التطبيق الفعلي لتلك السياسات، مثل تحديثها بشكل دوري أو تدريب الموظفين عليها، يحتاج إلى تحسين. أشار العديد من المشاركين إلى أن تلك السياسات تُطبّق بفعالية، ولكنها تحتاج إلى مزيد من التطوير لمواكبة التحديات والتهديدات الحديثة.


2. الوعي الأمني من أبرز التحديات التي واجهتها الشركة، ضعف الوعي الأمني لدى بعض الموظفين، خاصة فيما يتعلق بمخاطر التصيد الاحتيالي واستخدام الأجهزة الشخصية في العمل. هذا الضعف يمثل خطرًا كبيرًا، حيث يمكن أن يكون العامل البشري مدخلًا رئيسيًا للهجمات الإلكترونية.


3. التنوع الوظيفي أظهرت البيانات فجوة كبيرة في التوزيع النوعي للقوى العاملة، حيث تمثل النساء نسبة صغيرة جدًا من العاملين مقارنة بالذكور. بالإضافة إلى ذلك، هناك نقص واضح في الكوادر الأكاديمية ذات الخبرة العالية (حملة الدكتوراه)، مما قد يؤثر سلبًا على قدرة الشركة على تطوير استراتيجيات متقدمة لإدارة المخاطر وأمن المعلومات.


4. التقنيات المستخدمة الشركة تعتمد على تقنيات مثل شبكات (الـ VPN) لحماية البيانات وربط المواقع البعيدة، ولكن تم الإبلاغ عن تحديات متعلقة بضعف الإنترنت وتأثيره على كفاءة الأنظمة. كما أن بعض المشاركين أعربوا عن قلقهم بشأن عدم وجود آليات فعالة للتعامل مع الأجهزة القديمة وضمان حذف البيانات منها بشكل آمن.


5. تخصيص الموارد أظهرت النتائج أن هناك نقصًا في تخصيص ميزانيات كافية لتحسين أدوات وتقنيات إدارة المخاطر. هذا النقص ينعكس سلبًا على قدرة الشركة على مواجهة التهديدات الأمنية المتزايدة، خاصة مع تطور التكنولوجيا وزيادة التعقيد في الهجمات السيبرانية.

5.2. النتائج
نتائج الدراسة اظهرت لنا بعض المعوقات والتي يمكن تلخيصها كالتالي

1. الفجوة بين النظرية والتطبيق على الرغم من وجود سياسات أمنية واضحة، إلا أن التنفيذ العملي لها يواجه تحديات مرتبطة بضعف الموارد والتدريب. يشير هذا إلى الحاجة إلى تعزيز الربط بين السياسات المعلنة والعمليات اليومية.


2. التأثير البشري يظهر البحث أن العامل البشري يظل أحد أهم الجوانب التي تحتاج إلى تحسين في الشركة. ضعف الوعي الأمني لدى الموظفين يجعلهم هدفًا سهلًا للهجمات الإلكترونية، مما يستدعي استراتيجيات شاملة للتدريب والتوعية.


3. التحديات التقنية تعتمد الشركة على تقنيات متقدمة ولكنها تحتاج إلى تحديث دوري ودعم مستمر. أي تأخير في تحديث الأنظمة أو تخصيص موارد إضافية قد يزيد من احتمالية وقوع حوادث أمنية.
   5.3. الأهمية العملية
   يبرز هذا البحث أهمية أمن المعلومات وإدارة المخاطر كركيزة أساسية لاستدامة الأعمال في الشركات، خاصة تلك التي تعمل في قطاعات حيوية مثل الطيران. يوضح البحث أن تطبيق السياسات بشكل فعال يتطلب دعمًا تنظيميًا وثقافة أمنية تتبناها جميع المستويات الوظيفية. وعليه كانت الدروس المستفادة كالتالي


4. لا يكفي وضع السياسات دون تعزيز وعي الموظفين وتدريبهم على تنفيذها.


5. تخصيص ميزانيات ملائمة لأمن المعلومات وإدارة المخاطر يمثل استثمارًا استراتيجيًا طويل الأمد.


6. التطوير المستمر للأنظمة والتقنيات ضروري لمواجهة التحديات الأمنية المتزايدة.
   5.4. التوصيات


7. تنفيذ برامج تدريب دورية وشاملة لجميع الموظفين لرفع وعيهم الأمني.


8. تخصيص مزيد من الموارد المالية لتحديث الأنظمة الأمنية وتحسين البنية التحتية التقنية.


9. تعزيز التنوع في الهيكل الوظيفي من خلال استقطاب الكوادر الأكاديمية والخبرات النسائية.


10. اعتماد آليات دورية لتقييم المخاطر الأمنية واختبار الأنظمة.
    في الختام، يؤكد هذا البحث أن إدارة المخاطر وأمن المعلومات ليست مجرد عملية تقنية بل ثقافة مؤسسية شاملة تتطلب التزامًا ودعمًا من جميع الأطراف لتحقيق النجاح والاستدامة في ظل التحديات الحديثة.