أهم 3 تحديات في الامتثال لتقنية المعلومات في المملكة العربية السعودية – وكيفية التغلب عليها
تسير المملكة العربية السعودية بخطى متسارعة نحو التحول الرقمي، مدفوعة برؤية 2030 الطموحة. ومع هذا التقدم، أصبح الامتثال لتقنية المعلومات قضية استراتيجية أساسية للمؤسسات في مختلف القطاعات، وخاصة المالية والتقنية (الفنتك)، والاتصالات، والقطاع الحكومي.
Dr. Ahmad Aamer
7/22/20251 min read
أهم 3 تحديات في الامتثال لتقنية المعلومات في المملكة العربية السعودية – وكيفية التغلب عليها
بقلم د. أحمد فاروق عامر – خبير أول في الامتثال وتدقيق تقنية المعلومات
تسير المملكة العربية السعودية بخطى متسارعة نحو التحول الرقمي، مدفوعة برؤية 2030 الطموحة. ومع هذا التقدم، أصبح الامتثال لتقنية المعلومات قضية استراتيجية أساسية للمؤسسات في مختلف القطاعات، وخاصة المالية والتقنية (الفنتك)، والاتصالات، والقطاع الحكومي.
ورغم تزايد الوعي والاستثمار في هذا المجال، إلا أن العديد من المؤسسات لا تزال تواجه تحديات حقيقية في تحقيق الامتثال الكامل والفعّال. ومن خلال خبرتي العملية التي تمتد لأكثر من 15 عامًا في تطبيق أطر مثل NIST CSF، وISO 27001، وCOBIT 2019، وإطار الأمن السيبراني لمؤسسة النقد السعودي (SAMA CSF)، أستعرض لكم أبرز 3 تحديات تواجه الامتثال في السعودية، وأقترح حلولًا عملية للتغلب عليها.
1. صعوبة التعامل مع تعدد وتطور الأطر التنظيمية
🔍 التحدي:
أحد أبرز التحديات في البيئة التنظيمية السعودية هو تعدد وتداخل الأطر والتحديثات التنظيمية المستمرة. فالمؤسسات، خصوصًا في القطاعات الخاضعة للرقابة مثل البنوك والاتصالات، مطالبة بالامتثال لأكثر من إطار في آنٍ واحد، منها:
إطار الأمن السيبراني لمؤسسة النقد (SAMA CSF)
ضوابط الهيئة الوطنية للأمن السيبراني (NCA ECC / NCA Controls)
المواصفة الدولية ISO/IEC 27001
لوائح هيئة الاتصالات (CITC)
أطر حوكمة مثل COBIT وNIST
الصعوبة الحقيقية تكمن في معرفة الإطار المناسب لكل حالة، ومتى يُطبق، وكيفية تجنب التكرار والازدواجية في التنفيذ.
🛠️ الحل:
الحل يكمن في توحيد وإدارة الالتزامات التنظيمية بشكل مركزي:
بناء مصفوفة ضوابط موحدة (Unified Control Matrix) تربط وتُقارن بين مختلف الأطر التنظيمية.
استخدام أدوات GRC أو حتى جداول Excel لتتبع الالتزامات والأدلة المطلوبة.
إجراء تقييمات أثر تنظيمية (Regulatory Impact Assessments) مع كل تحديث أو تعميم من الجهات الرقابية مثل مؤسسة النقد أو الهيئة الوطنية للأمن السيبراني.
هذه الخطوات تعزز الجاهزية للتدقيق، وتمنح المؤسسة مرونة استباقية في التعامل مع التغييرات.
2. ضعف القدرات الداخلية وغياب الوعي المؤسسي
🔍 التحدي:
تعاني العديد من المؤسسات، خاصة الصغيرة والمتوسطة، من ضعف الكفاءات الداخلية المتخصصة في مجالات الامتثال وتدقيق تقنية المعلومات وإدارة المخاطر. ويزداد التحدي في القطاعات غير المالية، حيث لا تزال ممارسات الامتثال في مراحلها الأولى.
ومن أبرز مظاهر هذا التحدي:
افتقار فرق تقنية المعلومات للخبرة في صياغة السياسات، تقييم المخاطر، وتنفيذ اختبارات الضوابط.
اعتبار الامتثال مسؤولية تقنية بحتة، دون ربطه بإدارة المخاطر المؤسسية.
التعامل مع التدقيق كفعالية لمرة واحدة، بدلاً من كونه عملية مستمرة.
🛠️ الحل:
الحل يتطلب معالجة هيكلية وثقافية:
تطبيق نموذج “أبطال الامتثال” (Compliance Champions) عبر الأقسام المختلفة.
الاستثمار في برامج تدريب مستهدفة على أطر SAMA وNIST وISO تركز على التطبيق العملي وأساليب التدقيق.
دمج متطلبات الامتثال داخل عمليات تقنية المعلومات اليومية (مثل إدارة التغيير، المشتريات، الحوسبة السحابية، والتعامل مع الحوادث الأمنية).
عندما يفهم الموظفون سبب وأهمية الامتثال، يصبح الالتزام به جزءًا من ثقافة العمل وليس مجرد التزام إداري.
3. إدارة مخاطر الموردين والأطراف الثالثة
🔍 التحدي:
مع تزايد الاعتماد على الحوسبة السحابية، والموردين الخارجيين، والشركات العالمية، أصبحت مخاطر الأطراف الثالثة من أبرز نقاط الضعف في الامتثال المؤسسي داخل السعودية.
فالأطر مثل SAMA وNCA تفرض على المؤسسات تقييم ومتابعة مورديها بدقة، خصوصًا أولئك الذين يتعاملون مع بيانات مالية، أو بيانات شخصية، أو أنظمة حرجة. إلا أن أغلب المؤسسات لا تملك أدوات أو آليات فاعلة لتنفيذ ذلك.
🛠️ الحل:
لضمان امتثال الموردين، يجب وضع برنامج فعال لإدارة مخاطر الطرف الثالث:
إعداد قائمة تحقق عند التعاقد تشمل المتطلبات التنظيمية (مثل شهادات ISO 27001 أو تقارير SOC 2).
الاحتفاظ بسجل مصنّف للموردين حسب درجة الحساسية ونطاق وصولهم إلى الأنظمة أو البيانات.
تضمين بنود امتثال واضحة في العقود مثل: الالتزام بالإشعار في حال الاختراق، حق التدقيق، ومتطلبات تخزين البيانات داخل المملكة.
استخدام أطر مثل NIST SP 800-161 أو ISO 27036-2 لتوجيه الهيكلية والسياسات الخاصة بالأطراف الثالثة.
في عالم اليوم، موردك هو امتداد لبيئتك التقنية والتنظيمية، ويجب أن يخضع لنفس مستوى الحوكمة.
الخلاصة
أصبح الامتثال لتقنية المعلومات في المملكة أداة استراتيجية لبناء الثقة، واستمرارية الأعمال، ودفع التحول الرقمي. ورغم أن تحديات مثل تعدد الأطر، وضعف القدرات، ومخاطر الموردين حقيقية، إلا أنه يمكن التغلب عليها من خلال التخطيط السليم، وبناء القدرات، وتطبيق الحوكمة الذكية.
إذا كانت مؤسستك تواجه صعوبات في تحقيق الامتثال الكامل أو الاستعداد للتدقيق، فإنت تحتاج من يقدم لك الخبرة والدعم اللازم، من تقييم الفجوات، وتطوير السياسات، وبناء برامج الامتثال، وحتى إدارة المخاطر.
د. أحمد فاروق عامر، خبير أول في الامتثال وتدقيق تقنية المعلومات، يمتلك أكثر من 28 عامًا من الخبرة العملية. متخصص في تطبيق أطر مثل COBIT، NIST، ISO 27001، وإطار SAM، وقد عمل مع مؤسسات كبرى في قطاعات البنوك، الاتصالات، والقطاع الحكومي في الخليج العربي.