أمنُ المعلُوماتْ: كيفَ تحمي مَعلُوماتكْ ببناءِ درعٍ حَوْلَهَا (نظامُ الأمنِ المعلوماتي)

في يومٍ ما جلستُ أتفكر عن المخاطر الأمنية، وما من الممكن أن يحدث إذا ما تم تهديد هذه المعلومات المهمة، بعد التفكير كتبتُ تدوينة عن أفكارٍ أساسية عن مبادئ أمن المعلومات والمخاطر المحتملة، و اليوم أردفها بتفصيل أكثر عن المخاطر التي تهددُ أمن المعلومات.

لا يخفى عليك أن الإنسان قد يُعدُّ أكبر خطرٍ مهددٍ لأمن المعلومات، لأنه عنصرٌ غيرُ قابلٍ للتحكُّم. لذا سأبدأُ هذه القائمة بالتفقيط (ب) بإعتبار أن الإنسان هو المهدد (أ).

ب . الأخطار البيئية Environmental Hazard

و هذه تشمل الزلازل و العواصف و الفيضانات و الأعاصير و المشاكل المتعلقة بأعطال التيار الكهربائي و الحرائق إضافة الى المشاكل القائمة في تعطل أنظمة التكييف و التبريد و غيرها ، و تؤدي هذه الأخطار الى تعطل عمل هذه الاجهزة و توقفها لفترات طويلة نسبيا لإجراء الإصلاحات اللازمة و استرداد البرمجيات و قواعد البيانات .

ج. الجرائم المحوسبة Computer Crime

تمثل هذه تحديا كبيرا لإدارة نظم المعلومات لما تسببه من خسارة كبيرة و بشكل عام يتم التمييز بين ثلاثة مستويات للجرائم المحوسبة و هي :

  1. سوء الإستخدام لجهاز الحاسوب : و هو الإستخدام الذي من الممكن أن يسبب خسارة للمنظمة أو تخريب لأجهزتنا بشكل منظم .
  2. الجريمة المحوسبة : و هي عبارة عن سوء استخدام لأجهزة الحاسوب بشكل غير قانوني يؤدي الى ارتكاب جريمة يعاقب عليها القانون خاصة بجرائم الحاسوب .
  3. الجرائم المتعلقة بالحواسيب : و هي الجرائم التي تستخدم فيها الحواسيب كأداة لتنفيذ الجريمة .

و يمكن أن تتم الجرائم المحوسبة سواء من قبل أشخاص خارج المنظمة يقومون باختراق نظام الحاسوب (غالبا من خلال الشبكات) أو من قبل أشخاص داخل المنظمة يملكون صلاحيات الدخول الى النظام و لكنهم يقومون بإساءة استخدام النظام لدوافع مختلفة ، و تشير الدراسات التي أجرتها دائرة المحاسبة العامة و شركة Orkand للإستشارات الى أن الخسائر الناتجة عن جرائم الكمبيوتر تقدر بحدود 1.5 مليون دولار لشركات المصارف المحوسبة في الولايات المتحدة الأمريكية ، و من ناحية أخرى يقدر المركز الوطني لبيانات جرائم الحاسوب في لوس أنجلوس بأن 70% من جرائم الكمبيوتر المسجلة حدثت من الداخل ، أي من قبل من يعملون داخل المنظمات ، هذا و أن جرائم الحاسوب تزداد بصورة واضحة مما أصبحت تشكل تحديا خطيرا يواجه الإدارات العليا عموما و إدارة نظم المعلومات على وجه الخصوص .

كيف نبني درعاً حول أمن المعلومات؟

عملية الحماية من الاخطار سابقة الذكر تعتبر مكلفة جدا في الجهد المبذول والوقت وحتي مكلفة من ناحية مادية و ذلك للأسباب التالية :

  • العدد الكبير من الأخطار التي تهدد عمل نظم المعلومات .
  • توزع الموارد المحوسبة على العديد من المواقع التي يمكن أن تكون أيضا متباعدة .
  • وجود التجهيزات المحوسبة في عهدة أفراد عديدين في المنظمة و أحيانا خارجها .
  • صعوبة الحماية من الأخطار الناتجة عن ارتباط المنظمة بالشبكات الخارجية .
  • التقدم التقني السريع يجعل الكثير من وسائل الحماية قديمة من بعد فترة وجيزة من استخدامها.
  • التأخر في اكتشاف الجرائم المحوسبة مما لا يتيح للمنظمة امكانية التعلم من التجربة و الخبرة المتاحة.
  • تكاليف الحماية يمكن أن تكون عالية بحيث لا تستطيع العديد من المنظمات تحملها .

هذا و تقع مسؤولية وضع خطة الحماية للأنشطة الرئيسية على مدير نظم المعلومات في المنظمة على أن تتضمن هذه الخطة إدخال وسائل الرقابة التي تضمن تحقيق ما يلي :

  • الوقاية من الأخطار غير المتعمدة .
  • إعاقة أو صنع الأعمال التخريبية المتعمدة .
  • اكتشاف المشاكل بشكل مبكر قدر الإمكان .
  • المساعدة في تصحيح الأعطال و استرجاع النظام .

و يمكن تصميم نظام الرقابة ضمن عملية تطوير نظام المعلومات و يجب أن يركز هذا النظام على مفهوم الوقاية من الأخطار ، و يمكن أن يصمم لحماية جميع مكونات النظام بما فيها التجهيزات و البرمجيات و الشبكات .

 العناصر الأساسية لنظام الأمن المعلوماتي 

إن النظام الأمني الفعال يجب أن يشمل جميع العناصر ذات الصلة بنظام المعلومات المحوسبة و يمكن تحديد هذه العناصر بما يلي :

  • (1) منظومة الأجهزة الإلكترونية و ملحقاتها :

إن أجهزة الحواسيب تتطور بشكل سريع بالمقابل هناك تتطور في مجال السبل المستخدمة لإختراقها مما يتطلب تطوير المهارات للعاملين في أقسام المعلومات لكي يستطيعوا مواجهة حالات التلاعب و العبث المقصود في الأجهزة أو غير المقصود .

  • (2) الأفراد العاملين في أقسام المعلومات :

يلعب الفرد دورا أساسيا و مهما في مجال أمن المعلومات و الحواسيب و له تأثير فعال في أداء عمل الحواسيب بجانبيه الإيجابي و السلبي ، فهو عامل مؤثر في حماية الحواسيب و المعلومات و لكن في الوقت نفسه فإنه عامل سلبي في مجال تخريب الأجهزة و سرقة المعلومات سواء لمصالح ذاتية أو لمصالح الغير ، إن من متطلبات أمن الحواسيب تحديد مواصفات محددة للعاملين و وضع تعليمات واضحة لاختيارهم و ذلك للتقليل من المخاطر التي يمكن أن يكون مصدرها الأفراد إضافة الى وضع الخطط لزيادة الحس الأمني و الحصانة من التخريب ، كما يتطلب الأمر المراجعة الدورية للتدقيق في الانماط الشخصية و السلوكية للأفراد العاملين من وقت لآخر و ربما يتم تغيير مواقع عملهم و محاولة عدم احتكار المهام على موظفين محدودين .

  • (3) البرمجيات المستخدمة في تشغيل النظام :

تعتبر البرمجيات من المكونات غير المادية و عنصر أساس في نجاح استخدام النظام ، لذلك من الأفضل اختيار حواسيب ذات أنظمة تشغيل لها خصائص أمنية و يمكن أن تحقق حماية للبرامج و طرق حفظ كلمات السر و طريقة إدارة نظام التشغيل و أنظمة الإتصالات ، إن أمن البرمجيات يتطلب أن يؤخذ هذا الأمر بعين الإعتبار عند تصميم النظام و كتابة برامجه من خلال وضع عدد من الإجراءات كالمفاتيح و العوائق التي تضمن عدم تمكن المستفيد من التصرف خارج الحدود المخول بها و تمنع أي شخص من إمكانية التلاعب و الدخول الى النظام و ذلك من خلال أيضا تحديد الصلاحيات في مجال قراءة الملفات أو الكتابة فيها ، و محاولة التمييز بين اللذين يحق لهم الإطلاع حسب كلمات السر الموضوعة ، و هناك أسلوبان للتمييز إما عن طريق البرمجيات أو استخدام الأجهزة المشفرة.

  • (4) شبكة تناقل المعلومات :

تعتبر شبكة تناقل المعلومات المحلية أو الدولية ثمرة من ثمرات التطور في مجالات الإتصالات كما أنها سهلت عملية التراسل بين الحواسيب و تبادل و استخدام الملفات ، و لكن من جهة أخرى إتاحة عملية سرقة المعلومات أو تدميرها سواء من الداخل كإستخدام الفيروسات أو من خلال الدخول عبر منظومات الاتصال المختلفة ، لذلك لا بد من وضع إجراءات حماية و ضمان أمن الشبكات من خلال إجراء الفحوصات المستمرة لهذه المنظومات و توفير الأجهزة الخاصة بالفحص ، كما أن نظم التشغيل المستخدمة و المسؤولة عن إدارة الحواسيب يجب أن تتمتع بكفاءة و قدرة عالية على الكشف عن التسلل الى الشبكة و ذلك من خلال تصميم نظم محمية بإقفال معقد أو عن طريق المشفرات و ربطها بخطوط الإتصال و التي هي عبارة عن استخدام الخوارزميات الرياضية أو أجهزة و معدات لغرض تشفير تناقل المعلومات أو الملفات .

  • (4) مواقع منظومة الأجهزة الإلكترونية و ملحقاتها :

يجب أن تعطى أهمية للمواقع و الأبنية التي تحوي أجهزة الحواسيب و ملحقاتها ، و حسب طبيعة المنظومات و التطبيقات المستخدمة يتم إتخاذ الإجراءات الإحترازية لحماية الموقع و تحصينه من أي تخريب أو سطو و حمايته من الحريق أو تسرب المياه و الفيضانات ، و محاولة إدامة مصدر القدرة الكهربائية و انتظامها و تحديد أساليب و إجراءات التفتيش و التحقق من هوية الأفراد الداخلين و الخارجيين من الموقع و عمل سجل لذلك .

سؤالي لك: هل تعتقدُ أن بناء نظام الأمن المعلوماتي كافٍ لحماية البيانات، أم هناك شيءٌ آخر تستطيعُ فعله؟
ضع إجابتك بالتعليقات ?

أم ريان محمود

شخصية بسيطة أُحب الضحك والمرح جداً، دَرَستُ الحاسب وتقنية المعلومات بمحض الصدفة و تخرجت من قسم تقنية المعلومات عام 2008، درّستُ بعض المواد بالجامعات كما أدرس حالياً تطبيقات الحاسوب ببعض المعاهد المتخصصة. omryanmahmoud@gmail.com

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *