نحو نظام فعال لأمن المعلومات
في ظل التهديدات والمخاطر التي تحيق بأمن نظم المعلومات تسعى الكثير من المؤسسات لإيجاد السبل والوسائل الوقائية والإجرائية التي تمكنها من مواجهة هذه التهديدات الأمنية لكي تتمكن من القيام بوظائف أمن المعلومات. كما يتزايد الاهتمام بحماية نظم المعلومات سعياً لتقليل التكاليف ولضمان استمرارية العمل، وهو ما يتطلب وجودة المعلومات المقدمة، التي من شأنها تعزيز استقرار المؤسسات للقيام بدورها في تقديم الخدمات والتي أصبح معظمها يقدم بصورة آلية في ظل التوجه العام للتحول الرقمي فى كافة المعاملات.
وعلى ما سبق، يتطرق هذا التحليل إلى مناقشة الإجراءات التنظيمية لأمن المعلومات، وكذلك السياسات الأمنية لنظم المعلومات، خطط الأمن المتعبة.
إجراءات تنظيمية:
ثمة عدة إجراءات تنظيمية يمكن اتخاذها لأمن المعلومات، هي كالتالي:
(*) تصنيف المعلومات: تصنف المعلومات حسب أهميتها وحساسيتها، وذلك بغرض معرفة درجة الحماية التي تتطلبها، فمن المعلومات ما لا يحتاج إلى حماية ويحصل عليها من يريد ومتى يشاء، ومنها ما يحتاج إلى مستوى من الحماية، ويمكن لأشخاص معينين أن يحصلوا عليها، ومنها ما يتطلب حماية قصوى ولا يتوفر إلا لشخص بعينه أو مجموعة محددة.
ويمكن للقائمين على نظم المعلومات الاستعانة بالتساؤلات الآتية لتصنيف المعلومات حسب درجة أهميتها:، وهي: هل تتعلق هذه المعلومات بسلامة وأمن الموظفين والمرافق؟، وهل تنطوي هذه المعلومات على احتمالية تعريض الغير للخطر؟، وهل تتعلق هذه المعلومات بأمن المؤسسة أو طبيعة العلاقات الدولية؟، وهل تحتوي هذه المعلومات على بيانات تتعلق بأسرار الميزة التنافسية؟، وهل تتعلق هذه المعلومات بالعمليات التجارية للمنظمة؟، وهل تتعلق هذه المعلومات بخصوصية الموظفين والعاملين الآخرين؟.
كما يجب ملائمة حماية أنظمة المعلومات بنوع المعلومات التي تحتويها هذه النظم ودرجة سريتها، فحينما تزيد الإجراءات الأمنية دون داعي، فإن ضعف وبطء النظام هو ما يحدث نتيجة لذلك مما يجعل المؤسسات تتكبد تكاليف أكبر في غير مكانها دون أن تجني الثمار التي من أجلها استثمرت في تحقيق أمن نظم المعلومات، وعلى النقيض، فإن بعض النظم التي تستدعي حماية متقنة وعالية الدرجة.
(*) استخدام الوثائق المكتوبة: في إطار أمن المعلومات فإن التوثيق يتطلب أن تكون سياسة الأمن موثقة ومكتوبة، وأن تكون إجراءاتها ومكوناتها كاملة محل توثيق، إضافة إلى خطط التعامل مع المخاطر والحوادث، والجهات المسئولة ومسؤولياتها وخطط التعافي وإدارة الأزمات وخطط الطوارئ المرتبطة بالنظام عند حدوث الخطر والحاجة إلى توثيق نظم المعلومات غايتها الاستفادة من الخبرات السابقة والمدونة وتفيد في التالي :ضمان استمرار التشغيل في حالة تعطل الأجهزة أو نقل الأفراد العاملين، وتقليل الصعوبات المرتبطة بتعديل أو إصلاح أو تطوير البرامج، وتقليل الأخطار، وتحقيق الاتصال بين الأقسام المختلفة داخل المؤسسة.
(*) تحديد المهام والواجبات الشخصية: إن مهام المتصلين بنظام أمن المعلومات تبدأ في الأساس من حسن اختيار الأفراد المؤهلين وعمق معارفهم النظرية والعملية، وبشكل رئيسي فإن المهام الإدارية أو التنظيمية تتكون من خمسة عناصر أو مجموعات رئيسة :تحليل المخاطر، وضع السياسة أو الإستراتيجية، وضع خطة الأمن، توظيف الأجهزة والمعدات والوسائل، تنفيذ الخطط والسياسات.
ومن المهم إدراك أن نجاح الواجبات الفردية أو الجماعية للمنشأة يتوقف على إدراك كافة المعنيين في الإدارة بمهامهم التقنية والإدارية والمالية والاستراتيجية وخطة وواجبات الأمن والتزامات المؤسسة باعتبار مسائل الأمن واحدة من الموضوعات التي يدركها الكافة ويتمكن الكل من التعامل مع ما يخص واجباتهم من بين عناصر الأمن.
وعلى مستوى المستخدمين، فإن على المؤسسة أن تضع التوجيهات الكافية لضمان وعي عام ودقيق بمسائل الأمن، بل المطلوب بناء ثقافة الأمن لدى العاملين والتي تتوزع بين وجوب مراعاة أخلاقيات واستخدام التقنية وبين الإجراءات المتطلبة من الكل لدى ملاحظة أي خلل.
(*) خطط الطوارئ: لابد من وضع الخطط لاستمرارية عمل نظم المعلومات في حالة المشاكل الكبيرة كتعطل أجهزة الحاسب تعطلا طويلا أو غير ذلك من الحالات الطارئة، ولابد من قياس المشاكل التي سيواجهها مستخدم النظام في هذه الحالات ووضع البدائل على ضوء ذلك.
نظم المعلومات وأمنها:
تتطلب نظم المعلومات مجموعة من الإجراءات، أهمها:
(&) إنشاء إدارة خاصة بأمن نظم المعلومات يناط بها تحديد السياسة الأمنية للنظام من حيث الإدخال، التعديل ومن حيث ضمان استمرارية العمل بالكفاءة المطلوبة، وبعد تحديد هذه السياسة يجب توثيقها ودعمها من قبل الإدارة العليا للمؤسسة، والعمل على تعزيز وعي العاملين والمستخدمين.
(&) يحدد مشرفا للأمن بمركز نظم المعلومات يقع على عاتقه التأكد من التزام العاملين بالسياسة الأمنية المرسومة وتنسيق التدريب الفني في هذا المجال والمساعدة في التصميم والبرمجة لتنفيذ المتطلبات الفنية لهذه السياسة.
(&) تحديد مسئول أمن يمثل المستخدمين ويكون مسئولاً لدى الجهة المستخدمة للنظام عن ضمان التزام إدارة نظام المعلومات بالسياسة الأمنية المحددة وتحديد مستوى الصلاحية لكلا لمتعاملين مع النظام.
(&) إجراء مراجعات منتظمة لعمليات إدارة أمن نظم المعلومات، بما يلزمها من تنفيذ نظام دقيق لمراجعة مستلزمات تشغيل نظام المعلومات يشمل أجهزة وملحقات وأقراص وتوثيق ومكتبات برمجية وقطع غيار وأوراق طباعة…الخ
سياسة أمن المعلومات:
عرف البعض سياسة أمن المعلومات بأنها مجموعة منال توجيهات واللوائح والقواعد والممارسات التي ترشد إلى كيفية قيام المنظمة بإدارة وحماية وتوزيع المعلومات. ويرى آخرون أنها تطبيق وسائل تقنية وإجراءات إدارية لحيازة مصادر المعلومات (المادية، البرمجية، البيانات) بهدف الحفاظ على نظم المعلومات وأصول المنظمة بشكل عام وضمان خصوصية المؤسسة.
وتنبثق السياسة الأمنية من قواعد وتوجيهات تضعها إدارة المنظمة وفقا لثقافة العامة في المنظمة، لتوضح كيفية قيام الأشخاص بأداء أعمالهم المتعلقة بنظم المعلومات بما يضمن تحقيق الغايات الأمنية(السرية – السلامة – التوفر) وتزداد صرامة السياسات الأمنية باطراد بتزايد مستوى المخاطر التي تتعرض لها المؤسسة. وتتمثل المراحل التمهيدية لتحقيق سياسات أمن المعلومات في المؤسسات، فيما يلي:
($) مرحلة التقييم: إنّ تقييم المخاطر الممكنة في أفق عمل المؤسسة أمر ضروري وذلك من خلال الالتقاء
بالعاملين ومعرفة الوضع الأمني والأخذ بتوصياتهم وإرشاداتهم ووضعها بعين الاعتبار .
($) مرحلة التصميم: إنّ استخدام أحدث تقنيات الحماية الأمنية كالجدران النارية وأنظمة كشف التطفل لا تحقق الحماية الكاملة، وخاصة عندما لا يتم تحديثها باستمرار، لذلك لابدّ من اعتماد هيكل أمني صلب أثناء تصميم البنية الأساسية للأمن المعلوماتي للمؤسسة .
($) مرحلة التنفيذ: يتم تفعيل كل الضوابط التقنية كالجدران النارية وأنظمة كشف التطفل وغيرها.
($) مرحلة المراقبة و المتابعة: لابدّ من مراقبة جميع التقنيات والإجراءات الأمنية التي تمّ وضعها في المنشأة للتأكد من استمرارية عملها على الوجه المطلوب و إصلاح الأعتاب حال التعرض لها واستمرار تحديثها عند توفر تحديثات جديدة .
وتتمثل متطلبات السياسة الأمنية لنظم المعلومات، في الأتي: أن تكون تكلفتها معقولة أو مناسبة، وأن تتوافق مع أسلوب أداء الموظفين لأعمالهم وتعاملهم مع العالم الخارجي، وأن تلبي المتطلبات القانونية في بيئة المؤسسة، وأن تراعي العوامل الإجرائية ولذلك ففي أحيان كثيرة يتم التضحية ببعض المتطلبات الأمنية اليسيرة في مقابل تيسير سير العمل في المؤسسة، وأن تكون القيود معقولة بحيث لا تمنع المستفيدين من استخدام أجهزة الحاسب لديهم بشكل يخدم المؤسسة بطريقة غير مباشرة.
أما الصفات المطلوبة فى وثيقة الأمن المكتوبة (خطة الأمن)، فيمكن حصر أهمها كما يلي:
1-استخدام لغة بسيطة: حيث أن المستخدمين في المؤسسة ليسوا كلهم من خبراء أمن المعلومات، ومن ثم فلابد أن تكون اللغة المكتوبة بها السياسة الأمنية لغة بسيطة لا تحتوي على الكثير من المفردات، وأن يكون هناك شرح واضح لكل مفردة.
2- الوضوح الكامل: يجب أن تكون السياسة الأمنية واضحة ومفهومة، وأن تكون مجموعة القيود والإجراءات والقواعد التي تحتويها مبررة ومقنعة، حتى يتبعها الجميع عن اقتناع.
3-تحديد مسئوليات كل شخص فيجب أن تحدد السياسة الأمنية بكل وضوح المسئوليات والواجبات الملقاة على عاتق كل موظف وكل مسئول وكل مستفيد، فلا يجب أن تركز على شخص مسئولي أمن المعلومات، فإن ذلك سيعطي انطباعاً بأن هناك من يتولي مسئولية الأمن، وأن دور مستخدم نظم المعلومات هو دور هامشي
4-سلطة فرض السياسة: أهم شيء هو فرض تنفيذ السياسة الأمنية وليس فقط كتابتها وتوزيعها، لذلك يجب أن تتضمن وثيقة السياسة الأمنية تحديد من لديهم صلاحية حرمان المستفيد من الخدمة عند المخالفة، وتحديد من لديهم صلاحية إيقاف بعض الخدمات المقدمة إذا كانت تؤثر على أداء الشبكة أو أمن المعلومات فيها .
5- إتاحة المجال للحالات الاستثنائية والخاصة: لأنه لا توجد سياسة أمنية تغطي كل احتمالات الحاضر والمستقبل معاً، فيحب تحديد أسلوب تعديلها للسماح بالاستثناءات،عندما تظهر حالات خاصة تستدعي ذلك .
6-إتاحة مجال للمراجعة: لا بد من إتاحة المجال لمراجعة السياسة الأمنية وتنقيحها عبر الزمن، كظهور مستجدات جديدة، وتقنيات جديدة
في النهاية، يمكن تحديد اعتبارات نظام امن المعلومات في عدم وجود أمن معلوماتي محقق بالكامل، حيث أن جميع برامج وأجهزة مكافحة الفيروسات لا تصل لنسبة كفاءة 100%، بالإضافة إلى ضرورة الموازنة بين المخاطر وتكلفة الحماية حيث إن إجراءات الأمن تشتمل على نفقات مستمرة لتحديث البرامج لتواكب المخاطر المحتملة.