IT Security for End Users
الشركات التي لديها أكبر فرصة للنجاة من الهجمات الالكترونية هي تلك الشركات التي لديها موظفين مؤهلين تقنياً ويأخذون في الاعتبار معايير الأمان اولاً.
تعريف أمن تكنولوجيا المعلومات
تكنولوجيا المعلومات Information Technology – IT، تتضمن جميع أشكال التكنولوجيا المستخدمة لإنشاء المعلومات الرقمية وتخزينها وتبادلها واستخدامها. على سبيل المثال لا الحصر الأجهزة اللوحية والهواتف المحمولة وأجهزة الكمبيوتر من جميع الأشكال والأحجام من أجهزة الكمبيوتر المحمولة إلى أجهزة MacBook إلى أجهزة Chromebook وأجهزة سطح المكتب.
ويشمل ذلك أيضا وسائط التخزين. وعندما تفكر في وسائط التخزين قد تفكر في محركات الأقراص الصلبة الموجودة داخل جهاز الكمبيوتر ولكنك تحتاج أيضاً أن تأخذ بعين الاعتبار عوامل الأمان التي يجب وضعها لحماية وسائط التخزين الخارجية مثل محركات الأقراص الثابتة الخارجية أو محركات أقراص USB المصغرة.
يجب عليك أيضاً النظر إلى الشبكة فمن المهم التأكد من تشفير عمليات إرسال البيانات عبر الشبكة وذلك لحماية المعلومات. وعندما تفكر في أمن تكنولوجيا المعلومات من المهم التفكير في البنية التحتية بصفة عامة٬ وكذلك العمليات التي يجب إنشاؤها من اجل حماية معلوماتك القيمة.
طبقات أمن تكنولوجيا المعلومات
توجد العديد من طبقات تكنولوجيا المعلومات التي تحتاج إلى التأمين. هناك بالطبع طبقة الأجهزة، والتي تحتاج إلى الحماية المادية من الأفراد الدخلاء والتهديدات البيئية مثل الحرائق والفيضانات. يجب أن تكون البرامج محدثة لتقليل نقاط الضعف بها وكذلك من المهم حماية هذه البرامج باستخدام برامج مكافحة الفيروسات. استخدام الطرق الحديثة مثل المحاكاة الافتراضية virtualization والحوسبة السحابية cloud computing يجلب ذلك مخاطر أمنية خاصة بها.
إذا كنت تقوم بتخزين البيانات في السحابة، فأنت بحاجة إلى فهم قوي لمكان هذه البيانات ومن الذي يمكنه الوصول إليها.
يمكن أن تشكل أجهزة المستخدم خطراً أمنياً كبيراً، ومن المهم أن يكون لديك سياسات لضمان أن تحقق هذه الأجهزة الحد الأدنى من المعايير المتفق عليها من قبل فريق الأمان الخاص بك. وبالطبع، يجب أن يكون الحفاظ على أمان بياناتك ومعلوماتك المالية على رأس أولوياتك.
دور أمن تكنولوجيا المعلومات
سنلقي نظرة على الدور الذي تلعبه أمن تكنولوجيا المعلومات في شركتك. أمن تكنولوجيا المعلومات في كل مكان. إنه حجر الزاوية في البنية التحتية للشركات. سواء أدركت ذلك أم لا، فإنه يلعب دوراً رئيسياً في جميع العمليات اليومية. لنأخذ لحظة للتفكير في جميع طبقات الأمان الصغيرة التي قد تواجهها على مدار اليوم. حتى قبل أن تبدأ في العمل.
بما ان المعلومات هي كل شيء٬ فإن دور أمن تكنولوجيا المعلومات هو حماية تلك المعلومات بكافة أشكالها المادية والظاهرية. يجب حماية معلوماتك وموارد توليد هذه المعلومات من الوصول غير المصرح به. ولمنع أي انقطاع في سير العمل، تحتاج إلى التأكد من وجود تكامل لبياناتك. هذا هو كل ما يتعلق بأمن تكنولوجيا المعلومات - توفير تكامل البيانات والتأكد من أن هذه المعلومات متاحة للأشخاص الذين يحتاجونها.
إذا تبين أن شركتك لا تمتثل لمعايير الأمان الإلزامية التي تتطلبها حكومتك، فقد تكون هناك غرامات أو أنواع أخرى من العقوبات لعدم الامتثال.
يتمثل دور أمن تكنولوجيا المعلومات في تأمين وحماية المعلومات والموارد الإلكترونية و / أو الافتراضية و / أو المادية للمنظمة من الوصول والاستخدام والكشف غير المصرح بهما أو التعديل، والاطلاع، والتفتيش غير المصرح به أو تسجيل أو نسخ غير مصرح به أو اضطراب والدمار.
تقع على عاتق المنظمة مسؤولية وضع وتنفيذ ودعم السياسات والإجراءات والمعايير والمبادئ التوجيهية واتباع المعايير الدولية والحكومية. من المؤكد أنه من مصلحتك أن يكون لشركتك فهم قوي لمتطلبات الأمن الحكومية ووضع سياسات لضمان استيفائك لتلك المعايير.
ثالوث الأمن CIA
أحد أساسيات أمن تكنولوجيا المعلومات إنه نموذج أمني معروف باسم ثالوث الأمن CIA وهو عباره عن سرية البيانات Confidentiality، نزاهة أو سلامة وتكامل البيانات Integrity، وتوافر البيانات Availability. هذه هي الأهداف الأساسية لسياسات الأمان الخاصة بشركتك. لذلك دعونا نلقي نظرة على كل واحدة من هذه أقرب قليلا.
أولاً، السرية Confidentiality:
السرية هي التأكد من أن بياناتك ليست متاحة للأفراد غير المصرح لهم بالاطلاع على هذه البيانات. إحدى الطرق الرائعة للقيام بذلك هي من خلال التشفير.
باستخدام التشفير مثلاً، على الشبكة أثناء إرسال البيانات يمكنك المساعدة في منع التنصت وفقدان البيانات. يمكنك أيضاً تشفير بياناتك على محرك الأقراص الثابتة ومحركات التخزين القابلة للإزالة. يساعد هذا في حالة و
حصول أحد الدخلاء على وسائط التخزين هذه فانه لن يستطيع قرآه البيانات المشفرة وبالتالي يتم الاحتفاظ بالبيانات آمنة من أعين المتطفلين.
ثانياً، النزاهة Integrity:
يتضمن نزاهة وسلامة وتكامل البيانات على سبيل المثال: التأكد من تسجيل بياناتك بدقة. من المهم أيضاً أن يكون لديك نسخ احتياطية محدثة ودقيقة لبياناتك.
تتضمن النزاهة أيضاً منع المستخدمين غير المصرح لهم من الوصول إلى هذه البيانات. هناك مصطلح في أمن تكنولوجيا المعلومات يعرف باسم مبدأ الامتيازات أو الصلاحيات الأقل Least Privileges. ويتضمن مبدأ الصلاحيات الأقل على منح الموظفين إمكانية الوصول فقط إلى الموارد المادية والبيانات التي يحتاجون إليها للوصول إلى أداء واجباتهم الوظيفية.
على سبيل المثال، يمكن لشخص ما يعمل في قسم الرواتب الوصول إلى بيانات مختلفة عن شخص يعمل في الموارد البشرية أو في المبيعات.
تتضمن نزاهة وسلامة النظام تقييد الوصول إلى أجهزة الكمبيوتر فعلياً. غالباً ما ترى هذا في الشركات داخل غرف الخوادم. عادة ما يتم الاحتفاظ بالخوادم في غرف مغلقة وغالباً في رفوف مقفلة للحد من الوصول الفعلي إليها.
هذا يساعد على ضمان سلامة تلك الخوادم. تخيل، على سبيل المثال، أنه تم اتاحة الوصول الي الخوادم لجميع الموظفين، يمكن لاحد الموظفين الساخطين على الشركة تثبيت جهاز USB على الجزء الخلفي من الخادم وباستخدام أحد برامج تسجيل الضغطات على لوحة المفاتيح المعروف باسم key logger وهذا سيعطيهم إمكانية الوصول إلى النظام بأكمله. لذا من المهم التأكد من أن هذه الأنظمة مقفلة ومحدودة من الوصول إليها لضمان سلامة تلك الأنظمة.
ثالثاً، التوافر Availability:
وأخيرا لدينا التوافر او الاتاحة. وباختصار، فإن مدى التوافر هو ضمان وصول المستخدمين إلى الأدوات التي يحتاجونها لأداء وظائفهم وأن تلك الأدوات متاحة لهم دائماً. مثل قواعد بيانات العملاء وكذلك الموارد المادية، مثل امتلاك أجهزة كمبيوتر موثوقة للعمل عليها. يجب وضع ضوابط لضمان أن هذه الأنظمة والموارد محمية من الأفراد غير المصرح لهم والخبثاء.
دور المستخدم النهائي في أمن تكنولوجيا المعلومات
سنلقي نظرة على دور المستخدمين النهائيين في أمن تكنولوجيا المعلومات. المسؤوليات الرئيسية للمستخدمين النهائيين هي أولاً حماية البيانات التي يعملون معها، وثانياً، اتباع سياسات الشركة المحددة.
الآن حماية البيانات التي تعمل معها هي نقطة واسعة جداً. على سبيل المثال، بالنسبة لمستخدم يعمل من المنزل، يمكن أن يشمل ذلك أشياء مثل:
- عدم تثبيت برامج لا تتعلق بالعمل، على أجهزة الكمبيوتر المحمولة الخاصة بالشركة.
- التأكد من إجراء الصيانة الروتينية على أجهزة الكمبيوتر الخاصة بهم.
- عدم السماح لأشخاص آخرين في منازلهم باستخدام الكمبيوتر الخاص بالعمل.
آما بالنسبة للمستخدمين النهائيين الذين يعملون في المكتب، قد يعني هذا التأكد من أن جهاز الكمبيوتر الخاص بك مقفل كلما ابتعدت عنه حتى لا يتمكن أي شخص آخر من الجلوس على مكتبك والاطلاع على بياناتك وتعريضها للخطر.
فيما يتعلق باتباع سياسات الشركة، يحتاج المستخدمون النهائيون إلى تثقيف مناسب حول هذه السياسات، ومع تغير السياسات، يجب إبقاء الموظفين على علم دائم بهذه السياسات.
يعد استخدام برامج التشفير وبرامج مكافحة الفيروسات المناسبة مثالين على السياسات التي يجب تحديدها بوضوح للمستخدمين النهائيين.
دور المستخدم النهائي في أمن تكنولوجيا المعلومات. يتحمل المستخدمون النهائيون مسؤولية اتباع سياسات الشركة الموضحة مثل التشفير أو عمليات مكافحة الفيروسات أو سياسات وإرشادات كلمة المرور.
ليست هناك تعليقات:
إرسال تعليق