الأمن المعلوماتي لأنظمة المعلومات

لمنظمة , الأمن , المعلومات , المعلوماتي

حمل المرجع من المرفقات

مقدمة:
ان التطورات الحديثة في تقنية المعلومات أحدثت تغيرات مستمرة و مضطردة في أساليب العمل و الميادين كافة إذ أصبحت عملية انتقال المعلومات عبر الشبكات المحلية و الدولية و أجهزة الحاسوب من الأمور الروتينية في عصرنا الحالي و إحدى علامات العصر المميزة التي لا يمكن الإستغناء عنها لتأثيرها الواضح في تسهيل متطلبات الحياة العصرية من خلال تقليل حجم الأعمال و تطوير أساليب خزن و توفير المعلومات حيث أن انتشار أنظمة المعلومات المحوسبة أدى الى أن تكون عرضة للإختراق لذلك أصبحت هذه التقنية سلاحا ذو حدين تحرص المنظمات على إقتناءه و توفير سبل الحماية له .
ان موضوع الأمن المعلوماتي يرتبط ارتباطا و ثيقا بأمن الحاسوب فلا يوجد أمن للمعلومات إذا لم يراعى أمن الحاسوب ، و في ظل التطورات المتسارعة في العالم و التي أثرت على الإمكانات التقنية المتقدمة المتاحة و الرامية الى خرق منظومات الحاسوب بهدف السرقة أو تخريب المعلومات أو تدمير أجهزة الحاسوب ، كان لا بد من التفكير الجدي لتحديد الإجراءات الدفاعية و الوقائية و حسب الإمكانات المتوفرة لحمايتها من أي اختراق أو تخريب ، و كان على إدارة المنظمات أن تتحمل مسؤولية ضمان خلق أجواء امنية للمعلومات تضمن الحفاظ عليها .
أولا : مفهوم الأمن المعلوماتي
تشكل المعلومات لمنظمات البيئة التحتية التي تمكنها من أداء مهامها ، إذ أن نوع المعلومات و كميتها و طريقة عرضها تعتبر الأساس في نجاح عملية صنع القرارات داخل المنظمات المعاصرة و عليه فإن للمعلومات قيمة عالية تستوجب وضع الضوابط اللازمة لإستخدامها و تداولها و وضع السبل الكفيلة بحيازتها ، لذا فإن المشكلة التي يجب أخذها بالحسبان هو توفير الحماية اللازمة للمعلومات و إبعادها عن الإستخدام غير المشروع لها .
و من أجل فهم الأمن المعلوماتي Information Security لا بد من تحديد معناه ، حيث عرفه (السالمي) بأنه مجموعة من الإجراءات و التدابير الوقائية التي تستخدم سواء في المجال التقني أو الوقائي للحفاظ على المعلومات و الأجهزة و البرمجيات إضافة الى الإجراءات المتعلقة بالحفاظ على العاملين في هذا المجال ، أما (المشهداني) فقد عرفه بأنه ( الحفاظ على المعلومات المتواجدة في أي نظام معلوماتي من مخاطر الضياع و التلف أو من مخاطر الإستخدام غير الصحيح سواء المتعمد أو العفوي أو من مخاطر الكوارث الطبيعية ، أما (أنور) فقد عرفه بأنه مجموعة من التدابير الوقائية المستخدمة في المجالين الإداري و الفني لحماية مصادر البيانات من أجهزة و برمجيات و بيانات من التجاوزات أو التداخلات غير المشروعة التي تقع عن طريق الصدفة أو عمدا عن طريق التسلسل أو الإجراءات الخاطئة المستخدمة من قبل إدارة المصادر المعلوماتية ، فضلا عن إجراءات مواجهة الأخطار الناتجة عن الكوارث الطبيعية المحتملة التيب تؤدي الى فقدان بعض المصادر كلا أو جزءا ، و من ثم التأثير على نوع و مستوى الخدمة المقدمة ، من كل ما سبق يمكن أن نعرف الأمن المعلوماتي بأنه ذلك الحقل الذي يهتم بدراسة طرق حماية البيانات المخزونة في أجهزة الحاسوب إضافة الى الأجهزة الملحقة و شبكات الإتصالات و التصدي للمحاولات الرامية الى الدخول غير المشروع الى قواعد البيانات المخزونة أو تلك التي ترمي الى نقل أو تغيير أو تخريب الخزين المعلوماتي لهذه القواعد .
ثانيا :مراحل تطور مفهوم الأمن المعلوماتي
إن مفهوم الأمن المعلوماتي مر بمراحل تطويرية عدة أدت الى ظهور ما يسمى بأمنية المعلومات ، ففي الستينات كانت الحواسيب هي كل ما يشغل العاملين في أقسام المعلومات ، و كان همهم هو كيفية تنفيذ البرامج و الإيعازات و لم يكونوا مشغولين بأمن المعلومات بقدر انشغالهم بعمل الأجهزة و كان مفهوم الأمنية يدور حول تحديد الوصول أو الإطلاع على البيانات من خلال منع الغرباء الخارجيين من التلاعب في الأجهزة لذلك ظهر مصطلح أمن الحواسيب Computer Security و الذي يعني حماية الحواسيب و قواعد البيانات ، و نتيجة للتوسع في استخدام أجهزة الحاسوب و ما تؤديه من منافع تتعلق بالمعالجة للحجوم الكبيرة من البيانات ، تغير الإهتمام ليمثل السيطرة على البيانات و حمايتها . و في السبعينات تم الانتقال الى مفهوم أمن البيانات (Data Security) و رافق ذلك استخدام كلمات السر البسيطة للسيطرة على الوصول للبيانات إضافة الى وضع إجراءات الحماية لمواقع الحواسيب من الكوارث و اعتماد خطط لخزن نسخ اضافية من البيانات و البرمجيات بعيدا عن موقع الحاسوب ، و في مرحلة الثمانينات و التسعينات ازدادت أهمية استخدام البيانات ، و ساهمت التطورات في مجال تكنولوجيا المعلومات بالسماح لأكثر من مستخدم للمشاركة في قواعد البيانات ، كل هذا أدى الى الإنتقال من مفهوم أمن البيانات الى أمن المعلومات ، و أصبح من الضروري المحافظة على المعلومات و تكاملها و توفرها و درجة موثوقيتها ، حيث أن الإجراءات الأمنية المناسبة يمكن أن تساهم في ضمان النتائج المرجوة و تقلص اختراق المعلومات و التلاعب بها ، و كانت شركة IBM الأمريكية أول من وضع تعريف لأمن المعلومات ، و كانت تركز على حماية البيانات من حوادث التزوير ، و التدمير أو الدخول غير المشروع على قواعد البيانات و أشارت الشركة الى أن أمنا تام للبيانات لا يمكن تحقيقه و لكن يمكن تحقيق مستوى مناسب من الأمنية ، و السؤال الذي يطرح هنا ماذا سيكون بعد أمن المعلومات ؟ البعض يقول أمن المعرفة (knowledge Security) و ذلك لإنتشار أنظمة الذكاء الإصطناعي و ازدياد معدلات تناقل البيانات بسرعة الضوء أو التفاعل بين المنظومات و الشبكات و صغر حجم أجهزة الحاسوب المستخدمة .
ثالثا : الأخطار التي يمكن أن تتعرض لها أنظمة المعلومات المعتمدة على الحاسب
لقد أصبح اختراق أنظمة المعلومات و نظم الشبكات و المواقع المعلوماتية خطراً يقلق العديد من المنظمات في السنوات الأخيرة و مع مرور الزمن نجد أن على الرغم من سبل الحماية التي تتبعها المنظمات ، الى أن هناك ارتفاعا واضحا في معدل الإختراقات مع تنوع الوسائل المستخدمة في الإختراق أما عن طبيعة الأخطار التي يمكن أن تواجهها نظم المعلومات فهي عديدة ، فالبعض منها قد يكون مقصود كسرقة المعلومات أو ادخال الفيروسات و غيرها و هي الأشد ضررا على نظم المعلومات و يكون مصدرها أحيانا من داخل أو خارج المنظمة ، و قد يصعب أحيانا التنبؤ بالدوافع العديدة للأشخاص الذين يقومون بها ، أما البعض الآخر فقد يكون غير مقصود كالأخطاء البشرية و الكوارث الطبيعية و يمكن تصنيف الأخطار المحتملة التي يمكن أن تتعرض لها نظم المعلومات الى ثلاث فئات :
أ . الأخطاء البشرية Humane Errors
و هي التي يمكن أن تحدث أثناء تصميم التجهيزات أو نظم المعلومات أو خلال عمليات البرمجة أو الاختبار أو التجميع للبيانات أو اثناء ادخالها الى النظام ، أو في عمليات تحديد الصلاحيات للمستخدمين ، و تشكل هذه الأخطاء الغالبية العظمى للمشاكل المتعلقة بأمن و سلامة نظم المعلومات في المنظمات .
ب . الأخطار البيئية Environmental Hazard
و هذه تشمل الزلازل و العواصف و الفيضانات و الأعاصير و المشاكل المتعلقة بأعطال التيار الكهربائي و الحرائق إضافة الى المشاكل القائمة في تعطل أنظمة التكييف و التبريد و غيرها ، و تؤدي هذه الأخطار الى تعطل عمل هذه التجهيزات و توقفها لفترات طويلة نسبيا لإجراء الإصلاحات اللازمة و استرداد البرمجيات و قواعد البيانات .
ج. الجرائم المحوسبة Computer Crime
تمثل هذه تحديا كبيرا لإدارة نظم المعلومات لما تسببه من خسارة كبيرة و بشكل عام يتم التمييز بين ثلاثة مستويات للجرائم المحوسبة و هي :
1. سوء الإستخدام لجهاز الحاسوب : و هو الإستخدام المقصود الذي يمكن أن يسبب خسارة للمنظمة أو تخريب لأجهزتنا بشكل منظم .
2. الجريمة المحوسبة : و هي عبارة عن سوء استخدام لأجهزة الحاسوب بشكل غير قانوني يؤدي الى ارتكاب جريمة يعاقب عليها القانون خاصة بجرائم الحاسوب .
3. الجرائم المتعلقة بالحواسيب : و هي الجرائم التي تستخدم فيها الحواسيب كأداة لتنفيذ الجريمة .
و يمكن أن تتم الجرائم المحوسبة سواء من قبل أشخاص خارج المنظمة يقومون باختراق نظام الحاسوب (غالبا من خلال الشبكات) أو من قبل أشخاص داخل المنظمة يملكون صلاحيات الدخول الى النظام و لكنهم يقومون بإساءة استخدام النظام لدوافع مختلفة ، و تشير الدراسات التي أجرتها دائرة المحاسبة العامة و شركة Orkand للإستشارات الى أن الخسائر الناتجة عن جرائم الكمبيوتر تقدر بحدود 1.5 مليون دولار لشركات المصارف المحوسبة في الولايات المتحدة الأمريكية ، و من ناحية أخرى يقدر المركز الوطني لبيانات جرائم الحاسوب في لوس أنجلوس بأن 70% من جرائم الكمبيوتر المسجلة حدثت من الداخل ، أي من قبل من يعملون داخل المنظمات ، هذا و أن جرائم الحاسوب تزداد بصورة واضحة مما أصبحت تشكل تحديا خطيرا يواجه الإدارات العليا عموما و إدارة نظم المعلومات على وجه الخصوص .
رابعا :الحماية من الأخطار :
تعتبر عملية الحماية من الأخطار التي تهدد أنظمة المعلومات من المهام المعقدة و الصعبة و التي تتطلب من إدارة نظم المعلومات الكثير من الوقت و الجهد و الموارد المالية و ذلك للأسباب التالية :
‌أ. العدد الكبير من الأخطار التي تهدد عمل نظم المعلومات .
‌ب. توزع الموارد المحوسبة على العديد من المواقع التي يمكن أن تكون أيضا متباعدة .
‌ج. وجود التجهيزات المحوسبة في عهدة أفراد عديدين في المنظمة و أحيانا خارجها .
‌د. صعوبة الحماية من الأخطار الناتجة عن ارتباط المنظمة بالشبكات الخارجية .
‌ه. التقدم التقني السريع يجعل الكثير من وسائل الحماية متقادمة من بعد فترة وجيزة من استخدامها.
‌و. التأخر في اكتشاف الجرائم المحوسبة مما لا يتيح للمنظمة امكانية التعلم من التجربة و الخبرة المتاحة.
‌ز. تكاليف الحماية يمكن أن تكون عالية بحيث لا تستطيع العديد من المنظمات تحملها .
هذا و تقع مسؤولية وضع خطة الحماية للأنشطة الرئيسية على مدير نظم المعلومات في المنظمة على أن تتضمن هذه الخطة إدخال وسائل الرقابة التي تضمن تحقيق ما يلي :
- الوقاية من الأخطار غير المتعمدة .
- إعاقة أو صنع الأعمال التخريبية المتعمدة .
- اكتشاف المشاكل بشكل مبكر قدر الإمكان .
- المساعدة في تصحيح الأعطال و استرجاع النظام .
و يمكن تصميم نظام الرقابة ضمن عملية تطوير نظام المعلومات و يجب أن يركز هذا النظام على مفهوم الوقاية من الأخطار ، و يمكن أن يصمم لحماية جميع مكونات النظام بما فيها التجهيزات و البرمجيات و الشبكات .
خامسا : العناصر الأساسية لنظام الأمن المعلوماتي :
إن النظام الأمني الفعال يجب أن يشمل جميع العناصر ذات الصلة بنظام المعلومات المحوسبة و يمكن تحديد هذه العناصر بما يلي :
‌أ. منظومة الأجهزة الإلكترونية و ملحقاتها :
إن أجهزة الحواسيب تتطور بشكل بالمقابل هناك تتطور في مجال السبل المستخدمة لإختراقها مما يتطلب تطوير القابليات و المهارات للعاملين في أقسام المعلومات لكي يستطيعوا مواجهة حالات التلاعب و العبث المقصود في الأجهزة أو غير المقصود .
‌ب. الأفراد العاملين في أقسام المعلومات :
يلعب الفرد دورا أساسيا و مهما في مجال أمن المعلومات و الحواسيب و له تأثير فعال في أداء عمل الحواسيب بجانبيه الإيجابي و السلبي ، فهو عامل مؤثر في حماية الحواسيب و المعلومات و لكن في الوقت نفسه فإنه عامل سلبي في مجال تخريب الأجهزة و سرقة المعلومات سواء لمصالح ذاتية أو لمصالح الغير ، إن من متطلبات أمن الحواسيب تحديد مواصفات محددة للعاملين و وضع تعليمات واضحة لاختيارهم و ذلك للتقليل من المخاطر التي يمكن أن يكون مصدرها الأفراد إضافة الى وضع الخطط لزيادة الحس الأمني و الحصانة من التخريب ، كما يتطلب الأمر المراجعة الدورية للتدقيق في الشخصية و السلوكية للأفراد العاملين من وقت لآخر و ربما يتم تغيير مواقع عملهم و محاولة عدم احتكار المهام على موظفين محدودين .


يتبع...

المصدر: ملتقى شذرات