حين يتوقف الخطر السيبراني عن كونه تذكرة لتكنولوجيا المعلومات
لفترة طويلة، كان تسرّب البيانات أمراً يتولّاه فريق تكنولوجيا المعلومات بهدوء، ويُعالجه خلال عطلة نهاية أسبوع، ونادراً ما يُذكر في الطوابق العليا. هذا العصر ينتهي. في مختلف أنحاء أفريقيا، أُعيد تصنيف الخطر السيبراني بوصفه خطراً مؤسسياً ينتمي إلى جدول أعمال مجلس الإدارة نفسه الذي يضم السيولة وسلاسل التوريد والتعرّض التنظيمي — وهذا التحوّل تسنده أرقام صلبة.
وجد تقرير «Africa Risk in Focus 2026» الصادر عن Internal Audit Foundation، الذي استطلع قادة التدقيق عبر القارة، أن 62% من قادة التدقيق الأفارقة يصنّفون الحوادث السيبرانية في المرتبة الأولى بين المخاطر التي تواجه الأعمال في القارة — متقدّمةً على المخاطر المالية والبشرية والتنظيمية. وفي شمال أفريقيا تحديداً، أشار 64% إلى الأمن السيبراني بوصفه مصدر قلق رئيسي. وحلّت مرونة الأعمال ثانياً بنسبة 49%، وقفز «الاضطراب الرقمي» إلى 44% مقارنةً بـ10% فقط في الاستطلاع السابق — وهي أكبر زيادة بين جميع فئات المخاطر. وقدّرت شركة الأمن السيبراني Serianu خسائر الجريمة السيبرانية عبر أفريقيا بنحو 10 مليارات دولار في 2023.
تندرج الجزائر تماماً ضمن هذا الاتجاه. فقد سجّلت البلاد أكثر من 70 مليون هجمة سيبرانية في 2024، وفقاً لبيانات Kaspersky التي صنّفتها الدولة السابعة عشرة الأكثر استهدافاً عالمياً، إلى جانب اعتراض أكثر من 13 مليون محاولة تصيّد احتيالي. بالنسبة لعضو مجلس إدارة جزائري، لم يعد السؤال هو ما إذا كانت الشركة ستُختبر — بل ما إذا كان المجلس سيعلم بحادثة خطيرة من لوحة معلوماته الخاصة أم من عميل أو جهة تنظيمية أو الصحافة.
كيف تبدو الحوكمة السيبرانية على مستوى المجلس فعلاً
يأتي أقوى دليل على أن إشراف المجلس يغيّر النتائج من تقرير Global Cybersecurity Outlook 2026 الصادر عن World Economic Forum بالتعاون مع Accenture. فبين المؤسسات التي يصنّفها التقرير عالية المرونة، يفيد 99% بمشاركة فعّالة للمجلس في الأمن السيبراني. وهذه المشاركة ملموسة لا شكلية: إذ يتلقّى 52% من هذه المجالس تحديثات منتظمة عن الأمن السيبراني، ويشارك 48% بفاعلية مع وظيفة الأمن، ويملك 45% دوراً محدّداً بوضوح في الإشراف على الخطر السيبراني. ومشاركة المجلس هي أحد المؤشرات المحدّدة — إلى جانب مراجعات أمن الذكاء الاصطناعي، ودمج مخاطر سلسلة التوريد، والاستثمار المستدام في المهارات — التي تميّز الشركات المرنة عن الشركات الهشّة.
كذلك يتغيّر مشهد التهديدات الذي يتعيّن على المجلس تتبّعه. فالمديرون التنفيذيون في دراسة World Economic Forum يصنّفون الآن الاحتيال المدعوم سيبرانياً بوصفه شاغلهم الأول، مزيحين برامج الفدية، بينما عدّلت 91% من كبرى المؤسسات استراتيجيتها للأمن السيبراني استجابةً للتقلّبات الجيوسياسية. ولخّص Boland Lithebe، مسؤول الأمن في Accenture بجنوب أفريقيا، هذا التحوّل القاري بوضوح في تحليل حول انتقال المرونة السيبرانية من قضية تقنية إلى خطر يخصّ المجلس: إذ باتت الهجمات «جيدة التمويل، ومستمرة، ومصمّمة لاستغلال الثغرات»، وتترسّخ المساءلة على مستوى المجلس بوصفها ممارسة معيارية لا مجرّد ميزة إضافية.
وهناك نموذج للحوكمة قريب منا. فقد تحرّكت المؤسسات العمومية الجزائرية أولاً: إذ يُلزم المرسوم الرئاسي 26-07 الصادر في يناير 2026 كل هيئة عمومية بإنشاء وحدة أمن سيبراني مخصّصة — منفصلة عن إدارة تكنولوجيا المعلومات — ترفع تقاريرها مباشرةً إلى رئيس المؤسسة. لا تخضع مجالس إدارة الشركات الخاصة لهذا التكليف، لكن بإمكانها أن تتبنّى طوعاً المبدأ الذي يمنحه قوّته: رفع الإشراف السيبراني فوق قسم تكنولوجيا المعلومات، وجعل شخص رفيع المستوى مسؤولاً عنه في قمة المؤسسة. المجالس التي تتبنّى هذا الهيكل الآن، قبل أن تصل إليها أي قاعدة قطاعية، تحوّل عبء الامتثال إلى ميزة السبق.
إعلان
النقطة العمياء للتأمين التي تواصل المجالس تجاهلها
ثمة رقم ينبغي أن يوقف كل مجلس جزائري للتأمل. فقد وجد استطلاع لشركة GlobalData شمل أكثر من 2000 مؤسسة صغيرة ومتوسطة في 14 دولة أن 34.7% من هذه المؤسسات تعرّضت لحادثة سيبرانية خلال السنوات الثلاث الماضية، في حين لا يملك سوى 16.8% منها تأميناً سيبرانياً مستقلاً. الفجوة بين التعرّض والحماية المالية مسألة حوكمة لا مسألة شراء: فمن مهمة المجلس أن يسأل عمّا إذا كان الخطر السيبراني المتبقّي للشركة قد نُقل، أو احتُفظ به عن عِلم، أو جرى تجاهله ببساطة. وفي سوق لا يزال التأمين السيبراني فيه في طور النضج، يستطيع أعضاء المجلس الذين يفهمون فجوة التغطية اتخاذ قرارات مدروسة لنقل الخطر بدلاً من اكتشاف النقص أثناء حادثة قائمة.
ما الذي ينبغي لمجالس إدارة الشركات الجزائرية فعله الآن
لا يتطلّب إشراف المجلس على الخطر السيبراني أن يصير الأعضاء مهندسين. بل يتطلّب عدداً محدوداً من الممارسات المنضبطة القابلة للتكرار. وفي ما يلي أربع ممارسات يمكن لمجالس إدارة الشركات الخاصة في الجزائر تبنّيها هذا العام.
1. أدرِج بنداً سيبرانياً دائماً في كل جدول أعمال للمجلس، لا بعد الحادثة فقط
تتعامل المجالس المرنة مع الأمن السيبراني بوصفه بنداً متكرّراً، كما تتعامل مع التدفّق النقدي — لا بوصفه تدريباً طارئاً تُطلقه ثغرة. برمِج إحاطة سيبرانية موجزة في كل اجتماع للمجلس أو لجنة التدقيق، مع لوحة معلومات متّسقة من صفحة واحدة: عدد الحوادث وخطورتها، ومهل الترقيع والكشف، ونتائج اختبارات التصيّد، وحالة أبرز ثلاثة مخاطر. وتُعدّ نتيجة World Economic Forum بأن 52% من مجالس المؤسسات المرنة تتلقّى تحديثات منتظمة هي المعيار الواجب بلوغه. فالتعرّض المنتظم يعزّز إلمام الأعضاء، بحيث يطرحون في الأزمة أسئلة دقيقة بدل تعلّم المصطلحات.
2. عيّن مسؤولاً تنفيذياً واحداً وامنح المجلس خط اتصال مباشر به
الغموض في المسؤولية هو حيث تفشل الحوكمة السيبرانية. عيّن مسؤولاً كبيراً واحداً — CISO، أو في الشركة الأصغر مسؤولاً تنفيذياً معنياً بالأمن — وامنح المجلس أو لجنة المخاطر التابعة له خط رفع تقارير مباشراً إلى هذا الشخص، لا مُرشّحاً بالكامل عبر تكنولوجيا المعلومات العامة. وهذا يعكس مبدأ الرفع إلى القمة المكرّس أصلاً في المرسوم 26-07 للقطاع العام الجزائري. الجوهر هو المساءلة: فحين يستطيع المجلس تسمية من يمتلك الخطر السيبراني ومساءلته مباشرةً، يصبح الإشراف حقيقياً لا اسمياً.
3. تَرجِم الأمن السيبراني إلى مال وقرارات يفهمها المجلس أصلاً
يحكم أعضاء المجلس بلغة التعرّض المالي، لا بأرقام الثغرات (CVE). اطلب من الإدارة التعبير عن الخطر السيبراني بمصطلحات الأعمال: الإيرادات المعرّضة للخطر إذا تعطّلت منصة التجارة الإلكترونية 48 ساعة، وتكلفة اختراق بيانات العملاء، وخسارة الاحتيال من تدفّق دفع مخترَق. وبما أن الاحتيال المدعوم سيبرانياً صار الشاغل الأول للمديرين التنفيذيين عالمياً، يتيح هذا التأطير للمجلس موازنة إنفاق الأمن مقابل خطر هبوطي مُقدّر — واتخاذ قرار واعٍ بشأن حجم الخطر المتبقّي المقبول قبوله أو التخفيف منه أو نقله عبر التأمين.
4. تدرّب على الاستجابة للحوادث قبل أن تحتاج إليها
خطة المرونة التي لم تُختبر قط وثيقةٌ لا قدرة. كلّف بإجراء تمرين محاكاة واحد على الأقل سنوياً يقوم فيه الأعضاء ومسؤول الأمن والشؤون القانونية والاتصالات بمعالجة سيناريو اختراق واقعي — هجمة برامج فدية، أو اختراق سلسلة توريد، أو احتيال عبر اختراق البريد المهني. يكشف التمرين اختناقات القرار (من يأذن بالدفع؟ من يتحدث إلى الجهات التنظيمية؟ من يُخطر العملاء؟) بينما لا تزال تصحيحها زهيدة التكلفة. وتُجري المؤسسات المرنة لدى World Economic Forum محاكاة حوادث على نطاق المنظومة لهذا السبب بالذات: فأول مرة يناقش فيها مجلس هذه الأسئلة يجب ألّا تكون أبداً أثناء هجمة قائمة.
أين يندرج ذلك في مشهد الجزائر لعام 2026
اتجاه الحركة لا لبس فيه. فالخطر السيبراني يُعاد تصنيفه من مركز تكلفة تقني إلى خطر مؤسسي محوري، والمؤسسات التي تتقدّم هي تلك التي يتعامل معها مجلسها على هذا النحو. وبالنسبة للشركات الخاصة الجزائرية، هذه لحظة فرصة لا ضغط. فقد أرسى القطاع العام سابقةً للحوكمة عبر وحدات سيبرانية مخصّصة ترفع تقاريرها إلى القمة؛ وتُظهر البيانات القارية نظراء عبر أفريقيا يصنّفون الأمن السيبراني بوصفه خطرهم الأول؛ والأدوات — بند دائم على جدول الأعمال، ومسؤول مُعيّن، وتقارير بلغة اقتصادية، وتمارين سنوية — زهيدة ومتاحة اليوم.
المجالس التي تبني هذه العضلة في 2026 لن تكون أكثر جاهزية عند وقوع حادثة فحسب؛ بل ستكون في موقع أفضل لكسب كبار العملاء والشركاء والمقرضين الذين يسألون على نحو متزايد عن الحوكمة السيبرانية قبل التوقيع. لقد وصلت المرونة السيبرانية إلى مجلس الإدارة. والشركات الجزائرية التي ترحّب بها هناك، بدل انتظار أن تُدفع إليها، ستقود قطاعها.
الأسئلة الشائعة
لماذا يُعدّ الخطر السيبراني الآن قضية على مستوى المجلس بدل كونه مشكلة تقنية؟
لأن الأثر بات على نطاق المؤسسة بأكملها: الخسارة المالية والاحتيال والتعرّض التنظيمي والإضرار بالسمعة تقع كلها على الأعمال، لا على فريق تكنولوجيا المعلومات فحسب. وقد وجد World Economic Forum أن 99% من المؤسسات عالية المرونة تُشرك مجالسها مباشرةً في الأمن السيبراني، ويصنّف 62% من قادة التدقيق الأفارقة الأمن السيبراني كخطرهم الأول. والإشراف على هذا المستوى من الخطر مسؤولية حوكمة تقع على عاتق أعضاء المجلس.
ما الحدّ الأدنى الذي ينبغي لمجلس الإدارة فعله بشأن الخطر السيبراني؟
كحدٍّ أدنى، ينبغي للمجلس إدراج إحاطة سيبرانية دائمة في كل جدول أعمال، وتلقّي لوحة مخاطر متّسقة من صفحة واحدة، وتعيين مسؤول أمن واحد بخط رفع تقارير مباشر، وإجراء تمرين محاكاة واحد على الأقل للاستجابة للحوادث سنوياً. لا تتطلّب هذه الممارسات الأربع أي تقنية جديدة ويمكن بدؤها فوراً — وهي تعكس العادات التي يربطها World Economic Forum بالمؤسسات المرنة.
هل يتعيّن على الشركات الخاصة الجزائرية اتّباع مرسوم الأمن السيبراني الخاص بالقطاع العام؟
يسري المرسوم الرئاسي 26-07 (يناير 2026) على المؤسسات العمومية، ويُلزم كلاً منها بإنشاء وحدة أمن سيبراني مخصّصة ترفع تقاريرها إلى رئيس المؤسسة. لا تلتزم الشركات الخاصة به، لكن بإمكانها تبنّي المبدأ نفسه طوعاً — رفع الإشراف السيبراني فوق قسم تكنولوجيا المعلومات وجعل شخص رفيع المستوى مسؤولاً في القمة. والقيام بذلك مبكراً يضع الشركة في موقع متقدّم على أي متطلّب قطاعي مستقبلي.
المصادر والقراءات الإضافية
- Cyber Resilience Moves From IT Issue to Board Risk — IT News Africa
- Cyber Risks: Top Concerns for African Businesses in 2026 — Ecofin Agency
- Global Cybersecurity Outlook 2026: The Trends Reshaping Cybersecurity — World Economic Forum
- Low Cyber Insurance Uptake Leaves SMEs Exposed — Insurance Journal
- Algeria Strengthens Cybersecurity Framework to Protect National Infrastructure — TechAfrica News













