ماذا يعني مفهوم أمن المعلومات 2021 ؟

كان الاعتقاد العام بكلمة أمن المعلومات يتوافق دائمًا مع الأقفال والأسوار. عندما نتحدث عن المعلومات ، فإن أول ما يتبادر إلى الذهن هو كتلة الملفات المخزنة على الكمبيوتر.

عندما يتعلق الأمر بأمن المعلومات ، فإننا نفكر دون وعي في أجهزة الكمبيوتر وكلمات المرور  وأقفال الأجهزة وبرامج جدار الحماية وما شابه. لكن هذا ليس سوى جانب واحد من جوانب أمن المعلومات. تشير المعلومات في تعريفها العلمي إلى مجموعة من البيانات التي لها معنى وهدف.

نرى في هذا التعريف أنه لا يوجد ذكر لأجهزة الكمبيوتر والبيانات الإلكترونية أو الرقمية. ومن ثم ، يمكن قول المعلومات لأي بيانات ذات مغزى مثل المعلومات المطبوعة والورقية والإلكترونية والصوتية والفيديو وحتى تغطية بياناتنا الشفوية لبعضنا البعض.

بعض الأسئلة المهمة حول أمن المعلومات

لماذا نحتفظ بوثائقنا المهمة في مكان آمن؟
لماذا نغلق شركتنا في غرفة الأرشيف؟
لماذا نقوم بتعيين كلمة مرور لتسجيل الدخول إلى جهاز الكمبيوتر الخاص بنا؟
أو لماذا نقوم بفحص جهاز الكمبيوتر الخاص بنا بانتظام بحثًا عن الفيروسات؟

الحقيقة هي أننا نهتم بحماية معلوماتنا. لأن هذه المعلومات ضرورية للقرارات والأحكام والتحليلات وتذكر ذكريات حلوة ومر وتطبيقات مختلفة في لحظات مختلفة من حياتنا. ما هو القرار الذي سنتخذه إذا كانت المعلومات التي نحتاجها لاتخاذ قرار حساس غير متوفرة على الإطلاق أو وصلت إلينا بعد فوات الأوان ، وما مدى ثقتنا في أن نتائج هذا القرار ستكون فعالة؟

 

وبالتالي ، وفقًا لتاريخ متفق عليه عالميًا ، فإن أمن المعلومات هو عملية حماية المعلومات ضد مجموعة متنوعة من الأنشطة غير المصرح بها ، بما في ذلك الوصول أو الاستخدام أو الكشف أو التعطيل أو التغيير أو الدراسة أو الفحص أو التسجيل أو التدمير.

نرى أن الأعمال المذكورة في هذه التعريفات هي أعمال ليس لها بالضرورة معنى سلبي. على سبيل المثال ، إذا سُمح لك بالوصول إلى المعلومات ، فإن الوصول إلى العمل أمر مرغوب فيه ومفيد يساعدك في اتخاذ القرارات.

أو إذا كانت هناك حاجة إلى تدمير المعلومات القديمة أو الارشيف الغير ضروري حتى لا تربك صانعي القرار ، فإن التدمير مفيد ومرغوب فيه. ولكن عندما نضع كلمة “غير شرعي” أمام أي من هذه الأشياء ، فإنها تعتبر غير مرغوب فيها وضارة.

على نفس المنوال ، إذا منعنا الأشخاص المصرح لهم من الوصول إلى المعلومات المتعلقة بهم ، فإننا في الواقع نقوم بشيء خاطئ وله تأثير سلبي على قراراتهم المتعلقة بالعمل والحياة. مما قيل حتى الآن ، يمكن ملاحظة أن الأشياء الأولى التي يتعين علينا القيام بها في مجال أمن المعلومات مرتبة حسب الأولوية:

  • حدد المعلومات المطلوبة
  • تحديد تطبيق المعلومات المحددة
  • تحديد العمل المصرح به وغير المصرح به على تلك المعلومات وفقًا للتطبيقات المحددة

الآن وقد اكتمل فهمنا للمعلومات واستخدامها والعمل المسموح به وغير المصرح به ، فإننا ننظر مرة أخرى في بداية التعريف أعلاه. يقصد بأمن المعلومات حماية المعلومات من العمل غير المصرح به على تلك المعلومات. لذلك نحن بحاجة إلى إيجاد طرق لمنع ومنع العمل غير المصرح به ، وكذلك طرق للرد إذا تم القيام ببعض الأعمال غير المصرح بها.

نموذج الصحة والسرية والتوافر

هذا نموذج مقبول عالميًا لشرح المفاهيم الأساسية لأمن المعلومات. يعتمد هذا النموذج على ثلاثة مبادئ:

  • الصواب: يعني منع التغييرات غير المرغوب فيها في المعلومات أو عن طريق الخطأ أو عن قصد
  • السرية: تعني منع إفشاء المعلومات لأشخاص غير مرتبطين ، من قبل أشخاص مصرح لهم أو غير مصرح لهم ، عن طريق الخطأ أو عن قصد.
  • التوفر: يعني منع انقطاع الخدمات أو تدمير الأصول ، عن طريق الخطأ أو عن قصد

يغطي هذا النموذج جميع جوانب التعريف أعلاه لأمن المعلومات.

الإلمام ببعض القضايا المهمة في أمن المعلومات

أهمية أمن المعلومات

سياسة أمن المعلومات

وفقًا لهذا المعيار ، بعد التعرف على أنواع المعلومات وتطبيقاتها وأهدافها ، يجب تحديد سياسة الأمان في المنظمة. تخبرنا السياسة بفئة المعلومات التنظيمية الأكثر أهمية بالنسبة لنا لحمايتها. ما نوع المخاطر التي يجب أن نستعد لها؟ ما التهديدات التي تهدد سلامة المعلومات وسريتها وتوافرها في مؤسستنا ، وما هي إجراءاتنا المقترحة لمنع هذه المخاطر أو الاستجابة لها؟

هيكل أمن المعلومات

ما هو الهيكل التنظيمي المطلوب لإدارة ممارسات أمن المعلومات؟ ما هي اللجان التي يجب تشكيلها ومن يجب تعيين المسؤولين؟ هل يتم استخدام الاستشاريين والخبراء للمساعدة في الأمور المتخصصة؟ من الذي يجري مراجعات دورية لضمان ممارسات أمن المعلومات المناسبة وفي أي فترات؟ ما هي سياسات المنظمة للتعامل مع الغرباء والمقاولين فيما يتعلق بمعلومات المنظمة؟

ماهي تهديدات أمن المعلومات

هل يعرف الأشخاص في المؤسسة بالمهام الأمنية المصرح بها وغير المصرح بها ويدركون عواقبها؟ هل تعلموا الإبلاغ عن حوادث أمن المعلومات (مثل أخطاء البرامج ونقاط الضعف الأمنية والفيروسات وما إلى ذلك)؟ هل يتم قبول الموظفين من حيث أمن المعلومات؟ ما هو مستوى الاختيار المطلوب لكل وظيفة؟ هل يوجد تدريب خاص في أمن المعلومات للموظفين الجدد وعديمي الخبرة؟

الأمن المادي والبيئي

هل تم النظر في القضايا التالية في المنظمة؟

  • تحديد مستويات الأمن المادي في المنظمة
  • الاهتمام بالمساحات والجدران وآليات التحكم والحراس والأسوار والحراس وأنظمة الإنذار والأقفال وما إلى ذلك.
  • الاهتمام بطريقة الحماية من الكوارث الطبيعية كالفيضانات والزلازل وغيرها.
  • الانتباه إلى الحوادث الأخرى مثل الحريق وانفجار الأنابيب و …
  • ضوابط الدخول والخروج وحركة المرور في المنظمة
  • ظروف العمل في بيئات آمنة
  • تحديد الطرق والمواقع المعزولة للنقل والتحميل
  • تركيب وحماية المعدات الهامة
  • إمدادات الطاقة ومصادر الطاقة ، وإمدادات الطاقة غير المنقطعة
  • أمان الكابلات (شبكة الكمبيوتر ، الهاتف ، CCTV ، نظام إنذار الحريق ، الإنذار ، إلخ.)
  • إصلاح المعدات وصيانتها
  • أمن المعدات المحمولة (مثل أجهزة الكمبيوتر المحمولة) خارج المنظمة
  • سياسة المكتب الواضح وسياسة العرض الواضحة
  • كيفية مغادرة العقار وإعادة الدخول إلى الشركة

إدارة الاتصالات والعمليات

هل تم وضع التوقعات اللازمة للحالات التالية وتم تطوير وتنفيذ الأساليب المناسبة؟

  • التحكم في أخطاء البرامج
  • نسخ المعلومات احتياطيًا
  • إعداد سجلات أداء الناس
  • إعداد سجلات الأخطاء
  • اتفاقيات تبادل المعلومات والبرمجيات
  • أمن وسائل الإعلام أثناء التنقل
  • الأمن في التجارة الإلكترونية
  • أمان البريد الإلكتروني
  • أمن أنظمة المكاتب الإلكترونية
  • أمن الأنظمة المتاحة للجمهور

صلاحية التحكم صلاحية الدخول

يمكن أن يتسبب الوصول إلى المعلومات دائمًا في حدوث مشكلات أمنية ، لذلك يجب تحديد ما يلي بوضوح:

  • تسجيل المستخدمين
  • إدارة مستويات وصول المستخدم
  • إدارة واستخدام كلمات المرور
  • راجع حقوق وصول المستخدم
  • أمن معدات المستخدم في حالة عدم وجود المستخدم
  • التحكم في مسارات الشبكة
  • مصادقة المستخدمين المتصلين من خارج الشبكة
  • التحقق من أجهزة العمل
  • حماية منافذ الوصول عن بعد
  • فصل الشبكة
  • التحكم في اتصالات الشبكة
  • التحكم في توجيه الشبكة
  • أمن خدمة الشبكة
  • كيفية تسجيل الدخول إلى نظام التشغيل
  • تحديد المستخدم والتحقق من صحته
  • تحديد وقت ومدة اتصال المستخدم بالشبكة
  • عزل الأنظمة الحساسة

 

كما رأينا في هذا الموجز ، يعد أمن المعلومات قضية مهمة وواسعة للغاية ومعقدة تتطلب ، بالإضافة إلى البنية التحتية الثقافية الحساسة للغاية والتعليم المتنوع ، معرفة حديثة بإدارة المعلومات والتقنيات المتقدمة وإنشاء أنظمة الإدارة. تُظهر السياقات المتنوعة للغاية التي رأيناها في الزاوية أعلاه اتصالات شبكة العنكبوت الواسعة والمعقدة بين مختلف الفئات البشرية والهيكلية والتنظيمية والتكنولوجية والإدارية في نشر أنظمة إدارة أمن المعلومات. كلما اتسعت المنظمة وزادت تنوع أساليب تبادل المعلومات والمعلومات وكلما زادت حساسية المعلومات ، زادت صعوبة ضمان أمن المعلومات فيها بشكل كبير.

 

بقلم : مراد الحفصي

أضف تعليق