أمن المعلومات في المؤسسات – الحلقة المفقودة
- أهداف المؤسسة
- مسؤوليات الإدارة والموظفين
- معرفة الهدف : المؤسسة ذات الأمنية واسعة
- الأساسيات الأربعة للتهديدات الأمنية
- أهداف السياسة الأمنية للمعلومات
- بيان سياسة الأمن المعلوماتي
- تنفيذ خطة وبرنامج الأمن المعلوماتي
مقدمة
ان الانضمام الرسمي لمعايير أمنية مفصلة لنظم التجهيز والتخزين الالكتروني للمعلومات في المؤسسات أمر حتمي كما ان معايير الأمن مطلوبة من قبل المنظمات والمؤسسات وذلك بسبب كمية المعلومات ، وقيمة المعلومات ، والسهولة التي يمكن فيها التلاعب بالبيانات أثناء عمليات النقل والتراسل باستخدام الشبكات المحلية والواسعة.
في حين أن برامج وأنظمة أمن المعلومات في بعض الأحيان تنفذ بعد خسارة فعلية أو حادثة وبعد ان يكون الفأس قد وقع في الرأس ، ان من الحكمة معالجة الأمن المعلوماتي في وقت مبكر من حياة المنظمات والمؤسسات.
ويضع أمن المعلومات التركيز على حماية المعلومات المخزنة أو معالجتها من قبل النظام بدلا من التركيز على مجرد حماية المعدات والحرص على الأمن المادي فقط ولذلك فأن برنامج الحوسبة الشاملة يجب أن يتبع .
أهداف المؤسسة
الربحية والبقاء على قيد الحياة للمؤسسة يعتمد على المعلومات وهي من الأهداف الدافعة والأساسية لضمان بقائها في بيئة الأعمال الحديثة ، بغض النظر عن المشاريع والأعمال التجارية .وحيث ان مسارات الاتصالات الالكترونية اليوم والمشاريع التجارية واسعة النطاق (الشبكات الحاسوبية ونظم الهاتف على سبيل المثال) تمتد إلى ما وراء الحدود المادية للعملية التجارية ، فقد تستغل نقاط الضعف في الشبكات الداخلية إلى جانب التهديدات الخارجية . وقد تكون العواقب فقدان أو تعديل بيانات الأعمال الحساسة ، وتعطل الخدمات ، والسطو على خطط الملكية التجارية أو العمليات.
ان طالب في مدرسة ثانوية ، و من غرفة نومه تمكن بسهولة من مسح كل سجلات الفواتير ، وسبب توقف التدفق النقدي لأسابيع أو شهور لشركة فرطت في أمنها المعلوماتي و حتى الشركات (وكذلك المنظمات الحكومية) المحمية جيدا قد تكون مواقعها على الويب عرضة للهجمات.
فهناك هجمات تافهة من شأنها أن تمكن من الوصول إلى مصدر صفحة الشركة على شبكة الإنترنت إلى أي متسلل. و ليست له قيمة جوهرية ، فإن الخسارة التي قد تحدث إذا كان المتسلل هو المنافس أو من يعمل لصالحة من الهكر غير الأخلاقي ، قد يكون التعديل بإضافة صورا جنسية أو تشويه البيانات وتعديلها أو تملكها وحرمان الشركة المستهدفة من الوصول إلى بياناتها .
اليوم وفي بيئة الشركات هناك وفي كثير من الأحيان وجود تعارض بين الأهداف الأمنية والاحتياجات التشغيلية. التسويق والتمويل ، والهندسة ، وإدارة إنتاج واستخدام جميع البيانات ذات الأهمية الحاسمة لتلك المنظمة لأنشطة الأعمال التجارية.
بالإضافة إلى ذلك ، داخل الحكومة أو في صناعة الدفاع ، وبعض هذه البيانات يمكن أن تعتبر سرية أو غير سرية ، وقد تكون حساسة (امن الدولة) ، الأمر الذي يتطلب تطبيق معايير وضوابط أكثر صرامة لحمايتها.
لذا وعلى الرغم من بعض الضغوط المالية للتغاضي عن الاحتياجات الأمنية للمعلومات ، فأن المنظمات الناجحة والمسئولة والمنظمات التابعة لها تطبق سياسة أمنية مكتوبة تضع الخطط الأمنية الرسمية وتنفذ الإجراءات المعيارية لتوجيه موظفيها ، فضلا عن الأعمال التجارية ، وذلك لحماية ممتلكاتهم من المعلومات.
قياس فوائد برنامج الأمن المعلوماتي
ومن المهم جدا أن تكون الإدارة قادرة على قياس فوائد برنامج الأمن المعلوماتي بوصفها تكلفة من التكاليف. وهذه الفوائد ، و بعد مقارنة البدائل نجدها تكلفة ضرورية إذا أراد المرء أن يكون قادرا على تبرير برنامج الأمن المعلوماتي من أجل إضفاء الطابع الرسمي على تحليل هذه العملية ، يجب النظر في بعض المفاهيم وهي :
- المخاطر وتمثل أي شيء يمكن أن يضر العملية التجارية ، والأصول ، أو الربحية للمنظمة.
- تحليل المخاطر هي عملية رسمية لتحديد ما هي المعلومات الخاصة بك كأصول و قيمتها ، وتحديد نقاط الضعف من حيث اكتشاف التهديدات / التعرض اللذي يمكن أن يحدث ، ومن ثم تحديد مقدار الضرر المحتمل وقد يكون السبب في حالة الضعف التي تم تحديدها واستغلالها.
- لكل نقاط الضعف التي تم تحديدها ، وتحليل المخاطر ونتائج تحليل التكاليف والمنافع لتحديد ما إذا كانت تكلفة تنفيذ إصلاحات أو زيادة الحماية له ما يبرره.
وبالتالي ، فأن السياسة الأمنية والمخاطر متلازمان : السياسة أمر مطلوب للحد من المخاطر ، وتحليل المخاطر هي التي تستخدم لتبرير وخلق سياسة أمنية.
مسؤوليات الإدارة والموظفين
إذا كان كل من الإدارة والموظفين على فهم لمسؤوليات كل منهما لحماية المعلومات والبيانات الحاسوبية وما ويترتب على ذلك مع وجوب الاعتراف أيضا بالمشاكل التي يواجهونها في تطوير وتنفيذ برنامج الأمن المعلوماتي … فان الإدارة تتحمل المسؤولية الأساسية و النهائية عن تنفيذ برنامج أمن المعلومات على أساس تقييم المخاطر التجارية (الشركات التكلفة / المنفعة المتبادلة) ونظام للمعلومات يشمل تقييم المخاطر الأمنية. .
يجب على جميع مستويات الإدارة أن تشارك (تساهم) و للتأكد من ان هذا البرنامج هو ماتم إقراره وان التنفيذ تم على النحو الصحيح. على الإدارة أيضا أن نفهم أن تكون مسئولة قانونيا عن سلامة المعلومات كأصول للشركة كما هو الحال مع غيرها من موجودات الشركة.
التدريب على الوعي الأمني
الموظفين يجب أن يحافظوا على أي معلومات للشركة على أجهزة الكمبيوتر الخاصة بهم نظرا لما تمثله هذه المعلومات من قيمة لهم وللشركة وعليهم أن يفهموا أيضا مسؤولياتهم القانونية فيما يتعلق بألافشاء والنسخ غير المصرح به للبيانات الحساسة علما بأن البيانات الحساسة ( البيانات التي تتطلب الحماية بسبب المخاطر وحجم الخسائر أو الأضرار التي يمكن أن تنجم عن الكشف والتغيير أو الإتلاف لهذه البيانات) هي المستهدفة من تنفيذ برنامج او خطة سياسة الأمن المعلوماتي في المؤسسات.
ويختلف الشعور بالمسئولية من مستخدم إلى آخر ولكن التدريب على الوعي الأمني هي واحدة من أكثر الوسائل المتاحة لتحقيق الشعور بالمسؤولية عن المعلومات كأصول لها قيمة .
بعض المنظمات تطلب من الموظفين التوقيع على إقرار يتضمن التزام الموظف بحماية أصول المعلومات كشرط للتوظيف ، في حين أن أخرى تطلب إقرار وتوقيع الموظفين كشرط للسماح لهم بالاتصال بالشبكة الحاسوبية للمنظمة او المؤسسة .
من الوسائل التي كثيرا ما تنفذ في الشركات هو استخدام توثيق وإشعار بتسجيل الدخول الأمنية للشبكات، والتي يتم عرضها عندما يقوم المستخدم بتسجيل الدخول إلى شبكة الشركة وتحديد الفترات الزمنية التي يسمح للموظف باستخدام موارد الشركة المعلوماتية وتوثيق وتسجيل كل عمليات التعديل والحذف والطباعة … الخ التي يقوم بها المستخدم وبحسب الصلاحيات الممنوحة له من مدير الشبكة وبما يتلاءم ويتناسب مع طبيعة عمله داخل الشركة .
نقاط الضعف في نظام المعلومات العامة
عند الحديث عن نقاط الضعف في نظام المعلومات العامة في المؤسسات حيث تتصل نقاط الضعف في الموجودات الملموسة هي المعلومات في المؤسسة ، وإمكانية تعرض هذه الموجودات للاستغلال غير المشروع . نقاط الضعف هذه يمكن أن تختلف اختلافا كبيرا اعتمادا على الشبكة أو قائمة بذاتها وبحسب البيئة التي تستخدمها المؤسسة. ومن الواضح أن أضعف حلقة في سلسلة الأمن هو أيضا النقطة الأكثر ضعفا وهو العنصر البشري . ان الأهداف الثلاثة الأساسية لأمن المعلومات هي ضمان السرية والنزاهة وتوافر البيانات ، كما يمكن أن يكون الضعف في المكونات المادية من الأجهزة أوالبرامج وملفات البيانات والوثائق ، وقواعد البيانات ، والعنصر البشري ، والاتصالات الخارجية.
تحفيز الموظفين من السمات الرئيسية لأمن المعلومات. حيث ان الموظفين الساخطين الذين يقوموا بتطوير برامج الفيروسات عموما يفعلون ذلك من أجل الانتقام. لذلك فالتحفيز شيء مهم للشعور بالمسئولية . التنافس أو لمجرد التسلية يحفز الهواة إلى اختراق الشبكات المحمية واستهداف الملفات الحساسة. التجسس للحصول على المعلومات التصنيعية يمكن أن يكون الدافع وراءها أسباب سياسية أو مالية أو بيئة تنافسيه سيئة.
وبغض النظر عن الدوافع ، من وجهة النظر الشخصية فأن الأفراد الذين لديهم إمكانية الوصول إلى المعلومات التي تعتبر أصل من أصول الشركات يجب ان يؤخذوا بعين الاعتبار عند منح الصلاحيات والتوثيق والمراقبة .
وفي نهاية المطاف ، يجب أن تكون الدوافع قوية لدى الموظفين لأهمية التعرف على الحاجة والأهمية لحماية معلومات المؤسسة وتقديم تقرير عن المحاولات من قبل الغرباء (هواة الاختراق أو المخربين ) للحصول على المعلومات عن طريق الوصول غير المصرح به لتلك المعلومات.
هؤلاء الأفراد الذين لديهم إمكانية الحصول على صلاحية الوصول إلى معلومات الشركات هم أولئك الذين لديهم فرصة لخلق المشاكل. وهذه الفرصة لا تتعلق فقط بالموظفين ، ولكن أيضا لأولئك الذين هم من خارج المؤسسة بشرط ان تكون تقنيات حماية الشبكة ضعيفة حتى يتمكنوا من الوصول غير المصرح للمعلومات ،وان العمل بشكل صحيح لمراقبة الدخول للمستخدمين هو الأساس لأمن نظم المعلومات. إذا كان كل من الإدارة والموظفين على فهم لمسؤوليات كل منهما لحماية المعلومات والبيانات الحاسوبية ، فسيترتب على الكثير من الجهد والوقت والشعور بالمسئولية . كما ما يجب التعرف أيضا التعرف على المشاكل التي يواجهونها عند تطوير وتنفيذ برنامج الأمن المعلوماتي .
الأساسيات الأربعة للتهديدات الأمنية
بشكل عام ، هناك أربعة أنواع من التهديدات الأمنية للمعلومات : الانقطاع ، والاعتراض والتعديل والتلفيق (التزوير).
- الانقطاع (الحرمان من الخدمة) وتشمل أي تأخير أو تعطل العمليات التجارية العادية وتدفق البيانات بين الإدارات المختلفة في المؤسسة . مثل مشاكل فيروسات الحاسوب المستمرة وإزالتها و وهي مشكلة شائعة جدا اليوم. ان الانقطاع حتى لبضع دقائق لكل موظف يمكن أن تضيف ما يصل إلى فقدان كثير من الموظفين لساعات أو لأيام ويؤدي إلى تراجع من الإنتاجية للموظفين.
- المعترض (الكشف) هي أي عملية دخول غير مصرح به للمعلومات ، والتي قد تكون أو لا تؤدي إلى الاستخدام غير المشروع للبيانات.
- من خلال تصفح الملفات المخزنة ومراقبة شبكة الهاتف أو التحويلات. هناك المئات من أساليب الوصول غير المصرح به عن بعد لأنظمة الكمبيوتر عبر الشبكة.
- إذا كانت هذه الشبكة هي شبكة الانترنت العامة ، أي شخص في العالم يمكن الوصول اليها.
- في الشبكات الخاصة ، لا تزال معظم حوادث الاختراق مايزيد عن 70% ذات طبيعة داخلية ، ومعظم حوادث الاحتيال الكمبيوتر تتم بواسطة المطلعين على معلومات الشركة وإمكانياتها من شبكات ونظم الهاتف والاستفادة منها بسهولة ، مما يتيح الوصول إلى البيانات الحساسة كثيرا أو المعرفة اللازمة للحصول على الوصول مباشرة إلى الخادم الرئيسي للمؤسسة أو نظم المعلومات فيها.
- ويشمل التعديل العبث بمجرد الوصول للمعلومات ويتم تحقيقه من خلال تغيير في البرامج أو الأجهزة أو تعديل في ضوابط البيانات نفسها. لابد من التفكير في العواقب إذا تمكن متسلل من تغير المبالغ المستحقة على الشركة من قبل الموردين الخارجيين. او التعديل في جميع الفواتير الخاصة بالعملاء فأن ذلك سوف يؤدي إلى الاعتماد على بيانات غير صحيحة وتعطيل التدفق النقدي خاصة إذا تأخر الكشف المبكر لما قام به المتسلل من التعديل في البيانات التي تعتمد عليها الشركة.
- تزوير وتحوير والتلفيق هو تعديل في بطريقة ما في البيانات لصالح المخترق او من يعمل لصالحه مما يسبب مشاكل للمؤسسة فإنه يمكن أن ينطوي على التعديل بمهارة بإضافة بيانات أو تعرض لنظام الحوسبة مثل تعديل في المعاملات أو إدخال ملفات إضافية على قاعدة بيانات. مثال على العبث والتزوير في البيانات هي عملية الوصول إلى قاعدة بيانات الجامعة لتغيير العلامات أو التقديرات.
أهداف السياسة الأمنية
عندما عندما يتم اعتماد برنامج شامل لأمن المعلومات فأنه يجب ان يشمل كل من العنصر البشري والمعلومات. والنشاطات المعتادة في مثل هذا البرنامج هي :
- الوقاية
- الحماية
- الاكتشاف / التحقيق
- تقييم الأضرار / الاستجابة ومعالجة الحوادث أو الإبلاغ
- الانتعاش والنهوض بعد الكوارث المعلوماتية
بشكل عام ، هناك أربعة أنواع من التهديدات الأمنية للمعلومات : الانقطاع ، والاعتراض والتعديل والتلفيق (التزوير )
بيان السياسة الأمنية للمعلومات
أهداف السياسة العامة في السياسة الأمنية للمعلومات البيان ، التي هو حجر الزاوية في أي برنامج فعال لإدارة ومراقبة وتنظيم أصول المعلومات.
السياسات يجب ان تكون على مستوى عال من إرشادات أو توجيهات بالرؤية الثاقبة للمنظمة. وتوفر بيان السياسات الأمنية للمعلومات يضع الفلسفة الأساسية للمنظمة ويحدد المجالات الوظيفية ، حيث يجب أن تكون الضوابط المعمول بها فعاله . والتي تنفذها الإدارة لتوفير المعلومات والمراقبة والتوجيه ، والتي تستخدم لدعم تطوير البرنامج الأمني لاحقا. A good ولتحقيق الأمن المعلوماتي فأن السياسة العامة يجب أن تشمل:
- تحديد وتثمين أصول المعلومات.
- تعريف من هو المسئول عن تصنيف وتقييم أصول المعلومات (المالك) والذين يجب يشملهم التصنيف.
- وصف دور كل موظف / مستخدم في حماية المعلومات.
- توفير الكشف المبكر والإنفاذ في حالة الكوارث وانتهاك الأمن المعلوماتي.
توصيف ما ينبغي حمايته
في التفاصيل الخاصة بسياسة أمن المعلومات ينبغي توصيف ما ينبغي حمايته وكذلك مدى توزيع الصلاحيات المسموح بها والمسؤوليات التي ينبغي أن تصل إلى جميع المستويات للهيكل التنظيمي ، مع ذكر من هو المسئول عن الامتثال للسياسة الأمنية والجهة المسئولة عن التأكد والمتابعة من أن السياسات تم تفعيلها وإنفاذها. كل موظف يجب ان يمارس لدورة في سياسة الأمن المعلوماتي ؛ وبيان عواقب عدم الامتثال يجب أن ترتبط بتلك الأدوار والمسؤوليات.
ان عملية الرصد والمتابعة ، والتصدي لسياسة الإنفاذ للسياسية الأمنية للمعلومات بحيث تصبح نافذة، وكيفية فرض هذه السياسة ، وكيف سيتم متابعة الامتثال لهذه السياسية الأمنية .
تفاصيل السياسة يجب أن تكون قصيرة وسهلة القراءة ، ومقلة من حيث المصطلحات التقنية. كما يجب أن يكون لا لبس فيها ، بحيث لا يمكن لأحد أن يعفى من المتطلبات والالتزامات.
طريقة واحدة لضمان تحمل كل موظف مسؤولياته هو إضافة وثيقة القبول بالسياسات الأمنية للمعلومات والتي يجب ان توقع من قبل الموظف وتعود إلى شئون الموظفين كجزء من وثائق القبول للعمل. هذا النموذج يمكن أيضا أن يصبح مطلبا سنويا يسلم كجزء من التدريب السنوي للتوعية الأمنية
لا ننسى أن العنصر البشري يمكن ان يكون الحلقة الأضعف في تنفيذ السياسة الأمنية .
- الاحتراس من الإفصاح (بشكل عرضي او متعمد) للمعلومات وبما يتعارض مع مسئوليات الموظف الموقع عليها وبما يؤدي الإخلال بمسئولياته في تنفيذ السياسية الأمنية للمعلومات .
- ضمان إدارة الوعي بالحاجة للأمن ، والمشاركة من الجميع في وضع وتنفيذ السياسات الأمنية.
- ضمان حماية البيانات الحساسة والسرية .
- توفير الحماية من الأفعال التي من شأنها أن تسبب الأعطال ، الخطأ والسهو ، وعدم الدقة ، والكشف غير المصرح به أو تدمير البيانات.
- ضمان تنفيذ للضوابط والإجراءات المعمول بها التي تتيح الكشف الفوري عن تنفيذ التهديدات للمعلومات.
- إدارة الحماية في حالة التنصل عن المسئولية من قبل شركات ومزودي خدمات نقل المعلومات.
- التأكد من قدرة المنظمة على البقاء على قيد الحياة نتيجة التوقف والانقطاع للأعمال والعمل على نحو مناسب بعد ذلك (الاسترداد) والنهوض بعد حدوث ومعالجة الكوارث المعلوماتية.
تطوير وتنفيذ خطة برنامج الأمن
المناطق النموذجية لبرنامج الأمن يمكن تحديدها فيما يلي :
الأمن المادي. الإجراءات الحكيمة لتوفير الأمن المادي وتشمل تركيب جدران ناريه مناسبة ، ووضع ضوابط الوصول المادي إلى المرفق والمناطق الحساسة مثل غرف الخادمات الرئيسية ، التلقائي كشف الحرائق ونظم إطفاء الحرائق.
خطة الطوارئ (خطة التعافي من الكوارث ، أو خطة استمرارية الأعمال). هذا الجانب من خطة امنية تقوم على إدراك أنه إذا وقعت كارثة ، يتعين على المنظمة أن تكون قادرة على استئناف تجهيز حرجة. ويتطلب التعرف على تلك التطبيقات الهامة لبقاء المنظمة على قيد الحياة ، على سبيل المثال وتعليمات التشغيل ، والتخزين من أنظمة التشغيل ذات الصلة والبرامج والبيانات في التخزين خارج الموقع منشأة. وأهم جانب من جوانب هذا البرنامج هو اختبار الخطة باستخدام موقع محدد كموقع للتجهيز البديل. العديد من خطة التعافي من الكوارث قد فشلت لأنها لم تختبر ، وعندما كانت هناك حاجة ، لم يكن احد يعرف ماذا يفعل.
حماية البيانات التحكم جانبا الموظفين (المستخدمين) ، وكذلك وهو الأكثر أهمية شبكة الكمبيوتر و الأصول ذات الصلة با البرامج والبيانات. يجب أن تكون محمية بواسطة بطاقة هوية صحيحة مع التوثيق على مستوى الصلاحية للمستخدم. يجب ان تكون هناك رقابة على النحو الصحيح ، وسوف يضمن هذا أن المستخدم و الهدف من ذلك أن يكون المستخدم مخول من الوصول إلى البيانات. في نهاية المطاف السيطرة لا تكون على مستوى وسيط التخزين فقط، وإنما تشمل جميع التهديدات الأمنية الكمبيوتر : الانقطاع ، والاعتراض والتعديل ، والاحتيال.
شبكة الأمن. لقد تطورت نظم الشبكات والمعلومات لتصبح عالية التقنية. العديد من المنظمات تعتمد اعتمادا كبيرا على هذه النظم للاتصال وجمع المعلومات. وبسبب هذه التبعية ، هناك أنظمة شبكية تتطلب عادة عمليات أمنية خاصة ، واستمرار التجارب كأجراء استباقي لتحقيق الأمن المعلوماتي شيء مهم وحيوي ، وإعداد خطط للطوارئ ، وتطبيق الضوابط المفروضة على الشركات والضوابط أعلاه للوصول إلى البيانات تتطلب تكاتف وتعاون الجميع.
برنامج التدريب والتوعية. تدوين التوجيهات على مستوى المستخدم المناسب بشأن التدابير الوقائية والإجراءات ، وذلك لأن أفضل الخطط الأمنية تصورا لن تغطي كل شيء يمكن ان يحدث، التدريب أصبح جزءا أساسيا من ضمان استخدام الموظف المسئول عن الأمن. الإجراءات الحكيمة لتوفير الأمن المادي وتشمل تركيب وتقييم جدران النار المناسبة ، وضوابط الوصول المادي إلى المرفق وتجهيز المناطق ، كشف الحرائق التلقائي ونظم الإطفاء.
- كل منظمة لديها احتياجات مختلفة وفريدة للحوسبة والأهداف المشتركة. بوضع الاحتياجات للحوسبة والأهداف نصب العين وبالقبول بالسماح للضوابط الأمنية تحقق المنظمه جزء من أمنها المعلوماتي، بينما توفير حماية كاملة لأصول المعلومات للمنظمة ليست بالمهمة السهلة.