فشل تأمين نظم المعلومات
التوجه الحالي داخل المجتمع بكل قطاعاته ـ حكومة وهيئات عامة وقطاع خاص وافراد ـ نحو تكنولوجيا المعلومات وتطبيقاتها المختلفة يضعنا أمام تساؤل: هل نحن جاهزون بشكل كاف لتأمين القدر الكبير من المعلومات الذي يتم التعامل فيه من قبل الجميع والذي سيزداد مع الوقت سواء كانت هذه المعلومات في موقع علي الإنترنت أو قاعدة بيانات قومية أو شبكة معلومات منشأة قطاع خاص أو وحدة تخزين صغيرة في حاسب منزلي.إن البيانات والمعلومات التي ننتجها جميعا كأفراد وشركات ومؤسسات هي في النهاية الثروة الحقيقية التي لا تقدر بثمن في دنيا المعلومات وتتجاوز قيمة الاجهزة والبرامج فكل الاجهزة والبرمجيات قابلة للتعويض والاحلال اما البيانات والمعلومات فلا يمكن تعويضها بسهولة إذا تعرضت للسطو أو الفقد علاوة علي أن الامر ليس فقط تأمين للمعلومات بغرض الحماية من السرقة والفقد فهناك حماية الخصوصية وضبط العلاقة بين المتعاملين بالمعلومات وغيرها من أمور كثيرة تندرج تحت مظلة تأمين المعلومات.. فهل نحن جاهزون؟
ربما تكون الخطوة الأولي في مناقشة هذه القضية هي التعرف علي المشكلات التي واجهت من سبقونا حول العالم في الاعتماد بكثافة علي المعلوماتية وهم يحاولون تأمين ما لديهم من معلومات، والخبرات التي خرجوا بها فمثل هذه الخبرات تساعد كثيرا في اختصار الوقت والجهد عند وضع الرؤية التي تحكم قضية تأمين المعلومات في مصر ولهذا السبب تعمدت أن تكون الخبرات العالمية هي محور القسم الأول من مقابلتي مع العالم المصري المتميز الدكتور طاهر الجمل ـ أحد ابرز خبراء تأمين المعلومات بالولايات المتحدة ـ الذي حضر للقاهرة للمشاركة في أعمال المؤتمر الدولي السابع عشر لتأمين المعلومات ونظمته كلية الهندسة جامعة القاهرة والاتحاد الدولي للمعلومات.
في رده علي هذه النقطة قسم الدكتور الجمل المشكلات أو نقاط الضعف العامة التي ابرزتها الخبرة العملية للمؤسسات والشركات بل والحكومات المختلفة في مجال تأمين المعلومات إلي أربعة أقسام وذلك من واقع دراسات ومسوح ميدانية وبحوث معمقة قامت بها شركات ومؤسسات متخصصة وذلك علي النحو التالي:
1- نقطة الضعف الأولي تتعلق بتدني أو عدم وجود ثقافة عامة حول تأمين المعلومات وتكشف الخبرة العملية في العديد من دول العالم أنه كان من الخطأ الكبير أن يتم الحديث عن أمن المعلومات باعتباره قضية تكنولوجيا معلومات فقط أو خطط تقنية يتم العمل علي تنفيذها بالقوة والإلزام علي الآخرين لأن المدخل السليم هو التعامل مع أمن المعلومات باعتباره ثقافة وسلوك واقتناع وثقة متبادلة ومستوي من الولاء بين الفرد والجهة التي يعمل بها أو بين المواطن والوطن الذي يعيش فيه.
وثقافة
أمن المعلومات لا تنسحب فقط علي حماية البيانات المخزنة في الحاسبات الآلية فنحن
هنا نتحدث عن مزيج من الثقافة والسلوك العام الذي يتحرك فوق خلفية معرفية واعية
بكيفية التعامل مع المعلومات ويجعل الفرد مهتما دائما بمتي يعطي المعلومة ومتي
يمنعها ولمن يمنحها وعن من يمنعها ويستوي في ذلك عامل السويتش والموظف المسئول عن
بيانات فائقة الحساسية داخل قاعدة بيانات.
وقد
كان من نتيجة غياب هذه النوع من الثقافة العامة أن تدني مستوي الوعي بأهمية تأمين
المعلومات لدي المسئولين والعاملين في المجالات المختلفة مما جعل الكثير من
المؤسسات والشركات تنفق الكثير في بناء نظم المعلومات ثم تبخل كثيرا او لا تعي
اهمية تأمين المعلومات.
2- عند هذا الحد نشأت نقطة الضعف الثانية والمتمثلة في أن كثيرا من المؤسسات والشركات والهيئات المختلفة لا يوجد بها سياسة تأمين واضحة تشمل كل أوجه ومجالات التأمين المختلفة مثل كيفية تأمين المباني ضد السرقة والحريق والاخطار الأخري.
ومن
ثم لا يوجد بها شخص مسئول مسئولية كاملة عن عملية التأمين بشكل عام داخل المنشأة
بمعني ان يكون لديه سياسة واضحة للتأمين تشمل كل شيء بدءا من عملية الدخول والخروج
من المبني وحتي التعامل مع اعقد النظم المطبقة لحماية شبكات المعلومات وقواعد
البيانات ونظم المعلومات الموجودة بالمؤسسة.
وسياسة
التأمين يتعين ان تصل الي كل ادارة من الادارات المختلفة بالمؤسسة بما فيها ادارة
تكنولوجيا المعلومات وكل ادارة عليها تنفيذ سياسة التأمين واهدافها كل فيما يخصه
وبالوسائل التي تناسب اختصاصه بما في ذلك ادارة تكنولوجيا المعلومات التي عليها
تلقي سياسة التأمين العليا المطلوبة من قبل المنشأة وتطبيقها عمليا بالوسائل
والتقنيات التي تراها محققة لهذه السياسة.
إن هذا يعني أن متخصصي تكنولوجيا المعلومات في المنشأة لا ينفردون من تلقاء انفسهم بوضع وتنفيذ الآليات المطلوبة لتأمين المعلومات بل عليهم العمل في اطار سياسة تأمين عامة يكون هناك شخص مسئول عن متابعة تنفيذها وفي الوقت نفسه يتحمل تبعات أي اخلال أو تدمير يحدث نتيجة عيوب أمنية سواء في مجال المعلومات أو غيره.
وتكشف
الخبرات العملية عن ان ترك مهمة تأمين المعلومات للمتخصصين فقط دون ربطها في اطار
سياسات تأمين عامة للمؤسسة يمكن أن تعرض المعلومات والبيانات للخطر فمثلا ماذا لو
تم وضع خطة تأمين محكمة للدخول علي شبكة معلومات المؤسسة وحاسباتها واستخدم في ذلك
احدث الادوات والبرمجيات المضادة لعمليات التلصص والاختراق وسرقة البيانات ثم كانت
اجراءات التأمين الخاصة بالدخول والخروج من المباني والاقسام المختلفة متراخية
وغير قوية بالدرجة التي تمنع سرقة وحدات تخزين أو حاسب أو بيانات موجودة بشكل
ورقي...
==========================
مقال جيد http://www.egytechno.com/2017/10/How-to-Stay-Safe-Online.html يضاف الى ما هو جديد
ردحذف