pic
| | | |
pic





الكاتب: أ.زكريا خالد ساق الله
أهمية التخطيط الاستراتيجي لأمن المعلومات

مع التطور المذهل في تكنولوجيا المعلومات المتقدمة واعتماد المؤسسات والشركات عليها، أصبح من المهم تأمين هذه التكنولوجيا سريعة النمو بإحكام بالغ لضمان التنمية المستدامة لهذه المؤسسات والشركات.

فنظم المعلومات الحديثة تزداد تطوراً وتعقيداً يوماً بعد يوم وحماية هذه النظم يمثل تحدياً هاماً، فأمن المعلومات يقصد به البحث عن سبل واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة الاعتداء عليها. من خلال استخدام الوسائل والأدوات وعمل الإجراءات اللازمة لضمان حماية المعلومات من الأخطار الداخلية والخارجية، والقدرة على التعامل مع المخاطر المحيطة بالمؤسسة تعتبر من الأمور بالغة الأهمية لنجاح أي عملية لتأمين المعلومات.

ما الذي يجب أن نحميه ؟

إن من المهم معرفة العناصر التي يجب أن نركز على حمايتها في نظم المعلومات وهي:

1. Confidentiality (السرية والموثوقية):
ونعني بها أن المعلومات لا تكشف ولا يطلع عليها من قبل أشخاص غير مخولين بذلك. الخطوة الأولى: تشكيل فريق العمل من المتخصصين في التصميم التعليمي والإداريين والفنيين .

2. Integrity (التكاملية وسلامة المحتوى):
وهي التحقق من أن محتوى المعلومات صحيح، ولم يتم العبث به أو تعديله ولن يتم تدميره في أية مرحلة من مراحل المعالجة، أو التبادل سواء في مرحلة التعامل الداخلي مع المعلومات أو عن طريق تدخل غير مشروع.

3. Availability (الاستمرارية):
وهي التحقق من استمرار عمل النظام المعلوماتي واستمرار تقديم الخدمة المعلوماتية.

من المهم أن نلاحظ أن وضع خطة فعالة وناجحة لأمن المعلومات يتطلب فعلياً عملية متابعة دورية مستمرة تشمل الأمور التالية:

أولاً: تحديد متطلبات أمن المعلومات وتصنيفها حسب أهميتها وتحديد المخاطر.

ثانياً: تثقيف وتوعية الموظفين حول مسؤولياتهم تبعاً لتلك المتطلبات.

ثالثاً: وضع السياسات الأمنية وسن القوانين والأنظمة وتحديد الآليات والأساليب التي يجب اتباعها.

رابعاً: عملية المراقبة وكتابة التقارير الأمنية.

أمن المعلومات وإدارة المخاطر:

يبدأ الجهد الحقيقي لأمن المعلومات بحصر وتصنيف المعلومات الخاصة بالمؤسسة حسب أهميتها ومن ثم تحديد المخاطر وتحديد احتمالية حدوثها وحجم كل خطر ومدى تأثيره وتحديد الثغرات والهجمات المتوقعة والمحتملة.

ويمكن قياس حجم الخطر من خلال توقع دقيق لحجم الخسارة المتوقعة، وهناك أمثلة عديدة مثل تعطل النظام أو فقد للبيانات أو حدوث اختراق أو إصابة فيروس أو حدوث كوارث طبيعية أو تلف في الأجهزة ...إلخ من هذه الأمثلة.

ويمكن انشاء خطة لإدارة المخاطر استناداً إلى هذا الحصر، والتصنيف للمعلومات والمخاطر، والبدء بتحديد وسيلة العلاج الأفضل من خلال طرق الحماية الثلاثة المعروفة:

     1.‌المنع: مثل تحديد صلاحيات الدخول للأنظمة ومنع ولوج غير المصرح لهم وتعيين حراس...الخ.

     2.‌ الكشف: مثل برامج كشف الفيروسات ووضع شاشات للمراقبة.

     3. سرعة الاستجابة: عند حدوث اختراق أو عطل في الأنظمة.

كما يمكن تصنيف الإجراءت التي يجب إتباعها لإدارة المخاطر داخل المؤسسة إلى عدة إجراءات يمكن من خلالها تحديد طريقة الحماية الأنسب وهذه الإجراءات هي:

أولاً: إجراءات تقنية:
مثل تحديد صلاحيات الدخول للأنظمة، واستخدام جدار حماية، ومضادات للفيروسات، والنسخ الاحتياطي للبيانات، ووضع آليات رقابة.

ثانياً: إجراءات إدارية:
مثل تعيين حراس وكذلك عمل تقييم دوري لنظم الحماية.

ثالثاً: إجراءات تشغيلية:
تدريب وتوعية الموظفين لأهمية أمن المعلومات، حماية الأجهزة وربطها بالمكاتب مثلاً ووضع شاشات مراقبة...إلخ.

التخطيط الاستراتيجي لأمن المعلومات:

من المسلم به أنه لا يمكن توفير الحماية الكاملة لأي نظام معلومات، حتى تكون عملية إدارة المخاطر فعالة وناجحة يجب أن يكون هناك رؤية استراتيجية فيما يتعلق بمستويات الأمان المطلوبة لنظام المعلومات داخل المؤسسة.

فالتخطيط الاستراتيجي يسمح للمؤسسة باتخاذ القرارات الضرورية واللازمة التي تساعد في تكوين الرؤية المستقبلية للمؤسسة، من خلال خطة مرنة وفعالة لتوجيه موارد المؤسسة من أجل توفير الحماية اللازمة للمعلومات من المخاطر التي تهددها من خلال حماية العناصر الثلاثة التي تحدثنا عنها (CIA).

إذن فهذه العناصر الثلاثة (CIA) هي العناصر الأساسية التي يتم تطوير كافة البرامج الأمنية بناءً عليها، والفكرة الرئيسية هي أن المعلومات هي الأصول التي تتطلب حمايتها.

ويقترح لبناء خطة إستراتيجية فعالة داخل مؤسسة يتوفر لديها الخبرات والإمكانيات والأدوات اللازمة أن تكون خطة متوسطة المدى يمكن لها تحقيق أهدافها الرئيسية (يشرف على إنجاز كل هدف مجموعة من الخبراء) التي يمكن أن نحددها على النحو التالي:

     1. إنشاء برنامج مركزي لأمن المعلومات لمتابعة إنجاز المبادرات الخاصة بكل هدف من الأهداف.

     2.إنشاء خطة لعملية إدارة المخاطر.

     3. إنشاء خطة استجابة للحوادث الأمنية الطارئة.

     4.إنشاء برنامج تدريب شامل لنشر الوعي الأمني لدى العاملين.

     5.تطوير آليات استمرار العمليات وخطة للتعافي من الكوارث.

     6. إنشاء خطة للتغذية الراجعة والتقييم المستمر.

جميع الحقوق محفوظة لجامعة القدس المفتوحة - مركز التعليم المفتوح