فشل تأمين نظم المعلومات
- كان طبيعيا أن تقود نقطة الضعف الثانية إلي نقطة الضعف الثالثة التي تقول عنها الخبرات العملية العالمية إنها خاصة بالتنفيذ الخاطيء أمنيا لعمليات الصيانة الدورية أو المفاجئة لمعدات تكنولوجيا المعلومات.
وهي
نقطة ضعف ثبت أن لها دورا بشكل أو بآخر فيما لايقل عن50% من مشكلات أمن
المعلومات التي تواجهها المؤسسات المختلفة لأن نحو80% من عمليات الصيانة الدورية
والتحديث ومواجهة الاعطال التي تتم داخل الشبكات ونظم المعلومات والاجهزة تتم بشكل
غير سليم من ناحية التأمين إذ ينتج عنها تغيير ما في طريقة الاعداد والمواصفات
التي تم تهيئة الاجهزة والحاسبات والبرامج المختلفة لتعمل عليها منذ بدء التشغيل
والتي تم وضعها من قبل مديري الشبكات والمسئولين عن نظم المعلومات والتأمين, لأن
الصيانة تتم في احيان كثيرة علي يد اشخاص ليسوا من الفريق الذي وضع طريقة اعداد
الحاسب أو البرامج منذ البداية بالشكل الذي يحقق مستوي التأمين المطلوب مما ينتج
عنه ثغرات في شبكة المعلومات او اجراءات تأمينها تسهل علي المهاجمين اكتشافها
والنفاذ منها الي المعلومات المطلوب حمايتها.
4- نقطة الضعف الرابعة هي أنه لا يوجد تغذية عكسية بالمعلومات أو رجع صدي عما يحدث من تغيير في أوضاع شبكات ونظم المعلومات.
وهذا
ناتح عن التغييرات التي تحدث في مجموعة العاملين بالمنشأة سواء الذين ينتقلون من
قسم لآخر أو من إدارة لاخري أو الذين يتركون العمل بالمؤسسة ويحل محلهم موظفون جدد
أو الذين يلتحقون بالعمل مع أي توسعات تصاحب النمو في أعمال المؤسسة أو المنشأة.
وكشفت
المتابعات الميدانية حول أمن المعلومات عن ان التغييرات في هيئة الموظفين لأي سبب
ينشأ عنها أوضاع كثيرة لها علاقة مباشرة بنظم وسياسات تأمين المعلومات بالمؤسسة
علي سبيل المثال لابد من اجراء تغيير في جداول وملفات كلمات السر او المرور
المستخدمة في الدخول علي نظام معلومات المنشأة بحيث يتم بموجب هذا التغيير الغاء
كلمات السر التي كانت ممنوحة للموظفين القدامي وتوليد كلمات سر للموظفين الجدد
وغير ذلك من الاجراءات الاخري وما يحدث عمليا ان التغذية العكسية بالمعلومات
الناجمة عن هذا التغيير إما أن تكون بطيئة او غير موجودة ومن ثم لا تصل للمسئول عن
تأمين المعلومات في الوقت المناسب.
انتهي
كلام الدكتور الجمل عن نقاط الضعف الأربع التي يوجد حولها نوع من التوافق او
الاتفاق في الرأي بين خبراء تأمين المعلومات عالميا والنتيجة التي يمكن الخروج بها
في النهاية هي أن هذه النقاط أو المشكلات لا تعود بالأساس إلي مهارة المهاجمين
والقراصنة ولا في نقص المتاح من تكنولوجيات التأمين أو قصور كفاءتها أو تقادمها أو
حداثتها ولكنها تكمن في البيئة أو الاطار العام الذي تعمل فيه تكنولوجيات التأمين
لأن أي مؤسسة أو منشأة ليست ماكينة صماء بل نظام اجتماعي يتفاعل داخله افراد
يعيشون في مجتمع أوسع له قيمه وسلوكه وتوجهاته وتوجد فروق ذهنية وفكرية بين افراده
وتسوده مصالح متنوعة تتضارب احيانا وتتلاقي احيانا اخري ومن ثم فأمن المعلومات ليس
تكنولوجيات وأدوات فنية يجري شراؤها وتركيبها وحسب, ولكن منظومة ثقافة ووعي وثقة
وانتماء تشكل أرضية مناسبة تزرع فيها سياسات تأمين فعالة ومتوازنة تخدمها تقنيات
يتم اختيارها بذكاء.
أخيرا..
أخيرا..
نأمل
أن نستوعب هذه الدروس ولا نسرع بتحويل أمن المعلومات إلي هوجة أو موضة ننفق فيها
الأموال علي شراء تقنيات باهظة الثمن دون أن ندرسها جيدا ثم نحاول غرسها قسرا
وقهرا في بيئات غير مهيأة لها كما حدث مرارا في مجالات اخري فلا نحصل علي النتيجة
المرجوة وتذهب الجهود والأموال سدي.
من هو طاهر الدكتور طاهر الجمل:
مؤسس شركة Securify المتخصصة في حلول
ونظم تأمين المعلومات بالولايات المتحدة عمل قبل تأسيسه الشركة رئيسا لفريق
العلماء بشركة Netscape للاتصالات
حيث قام بالتوصل الي واحد من اشهر المعايير المستخدمة في التأمين علي شبكة
الانترنت والمعروف باسم معيار SSL
وقبل نيتسكيب عمل بمؤسسة RSA لتأمين البيانات حيث قام
ببناء وادارة القسم الذي كان مسئولا عن تطوير مجموعة ادوات برامجية متقدمة تستخدم
في تشفير وتكويد البيانات تعرف باسم RSA للتشفير والتي اصبحت حاليا واحدا من المعايير التي
تعتمد عليها صناعة البرمجيات وشارك ايضا في وضع البروتوكول الشهير عالميا في مجال
تأمين بطاقات الإئتمان والمعروف باسم بروتوكول المعاملات الالكترونية المؤمنة وهو
خريج كلية الهندسة جامعة القاهرة وحصل علي الماجستير والدكتوراة في علوم الحاسب من
جامعة ستانفورد الامريكية وبالاضافة لعمله كرئيس لشركة سيكوريفاي فهو عضو في مجلس
المديرين بمؤسسة RSA
لتأمين البيانات والعديد من المؤسسات الاخري..
http://en.wikipedia.org/wiki/Taher_Elgamal
http://ar.wikipedia.org/wiki/ طاهر_الجمل
=======================================
أنتهى
=============================================
المصدر:
مجلة
لغة العصر - عام 2004
ليست هناك تعليقات:
إرسال تعليق