أساسيات سياسة أمن تكنولوجيا المعلومات
في هذا المقال، سنلقي نظرة على أساسيات السياسة الأمنية لأجهزة الحاسبات.
يتم إنشاء هذه السياسات عادةً بواسطة متخصصي أمن المعلومات. قد تتساءل من هم هؤلاء المحترفين، انهم موظفون في المؤسسة لديهم دعم من الإدارة العليا وأحد الأمثلة على ذلك رئيس قسم أمن تكنولوجيا المعلومات أو كبير ضباط الأمن. هؤلاء هم الأشخاص المسؤولون عن تحديد المشكلات الأمنية المعروفة ومنعها.
غالباً ما سيحصل هؤلاء الأفراد على تدريب أمني متخصص للغاية. هناك شهادة واحدة خاصة تتبادر إلى الذهن وهي Certified Information Systems Security Professional - CISSP، والتي تعني اختصاصي أمن نظم المعلومات المعتمد.
يحتاج هؤلاء الموظفون إلى البقاء على اطلاع على أحدث الاتجاهات الأمنية وأن يكونوا على علم جيد عندما يتعلق الأمر بالتشريعات الحكومية. إنهم بحاجة إلى ذلك لأنهم بحاجة إلى أن يكونوا قادرين على التأكد من أن الشركة تستوفي المعايير التي وضعتها الهيئات الحكومية ذات الصلة.
دعونا الآن نلقِ نظرة على بعضاً من أفضل الممارسات التي يجب اتباعها فيما يتعلق بالسياسات الأمنية.
· إن أحد الأهداف الأساسية هو أن تتضمن هذه السياسات الدعم، والضوابط اللازمة للمساعدة في تحقيق أهداف ثالوث أمن المعلومات Confidentiality, Integrity, Availability (CIA). يمكن أن يشتمل هذا العديد من الأشياء مثل متطلبات التشفير، وتسجيل ساعات الدخول log on hours، والجداول الزمنية للنسخ الاحتياطية، وغير ذلك الكثير.
· يجب أن تحدد السياسات الحدود المقبولة التي يجب أن يعيها أي مستخدم أو نظام. قد يكون أحد الأمثلة هو تحديد البرامج (أو إصدارات البرامج) المسموح باستخدامها على أجهزة الموظفين. لذا قد يُسمح لك باستخدام Internet Explorer 9 ولكن ليس Internet Explorer 10. كل هذا يجب توضيحه في سياسات الأمان.
· يجب أن تكون السياسات سهلة الفهم. غالباً ما تتم كتابة هذه السياسات من قبل أفراد فنيين للغاية، ولكن يجب كتابتها بأسلوب سهل وواضح حتى يتمكن الجميع من فهمها.
· سيكون من الجيد أيضاً تضمين معلومات الاتصال الخاصة بالفرد المسؤول عن هذه السياسات، وذلك حتى يعرف المستخدمون النهائيون إلى أين يتجهون في حالة الحاجة إلى توضيح بشأن هذه السياسات.
· يجب أن تكون هذه السياسات متاحة لجميع المستخدمين المصرح لهم حتى يتمكنوا من قراءة السياسات ومراجعتها بعد ذلك حسب الحاجة.
· من الجيد أيضاً مراجعة سياساتك على أساس منتظم لضمان الامتثال للوائح الحكومية.
سياسات أمن الحاسبات والأجهزة
سنلقي نظرة على سياسات الأمان المتعلقة بأجهزة الكمبيوتر والأجهزة الأخرى.
الهدف من هذه السياسات هو ضمان اتخاذ تدابير وقائية معقولة داخل بيئة العمل. يشمل ذلك أجهزة الكمبيوتر، وأمن الوحدات الطرفية، وسياسات الأمان المتعلقة بالطابعات، وسياسة (المكتب النظيف Clean Disk Policy – CDP).
سياسة المكتب النظيف - CDP، هي توجيه من المؤسسة يحدد كيف يجب على الموظفين ترك اماكن عملهم عندما ينصرفون في نهاية اليوم. تتطلب CDP من الموظفين تنظيف مكاتبهم من جميع الأوراق في نهاية يوم العمل، وهذا أمر مهم لأنه لا يجب ترك المستندات الحساسة خارج مكتبك عند مغادرة المكتب بعد يوم العمل.
إليك بعض أفضل الممارسات الأساسية التي يجب اتباعها عند عمل سياسات أمان أجهزة الكمبيوتر:
- من المستحسن دائماً تقييد الدخول على أجهزة الكمبيوتر والأجهزة الطرفية كمدير للنظام Administrator، وجعله حسب الحاجة فقط.
في بعض الأحيان تكون هناك حاجة الدخول على جهاز الكمبيوتر باستخدام صلاحيات مدير النظام Administrator بما يمتلكه من صلاحيات مطلقة، إذا كان المستخدم يعمل من المنزل مثلاً، أو ربما موظف يعمل في فرع تابع للشركة حيث لا يوجد في هذا الفرع فريق لتكنولوجيا المعلومات يمكنه المساعدة في حل المشكلات الفنية أو تثبيت البرامج. قد تكون هذه هي الحالة التي تريد أن تمنح هذا المستخدم حق الدخول كمدير للنظام على جهاز الكمبيوتر الخاص به.
يعد قفل lock الكمبيوتر عند مغادرة مكتبك سياسة جيدة جداً. يمكنك قفل lock جهاز الكمبيوتر الخاص بك ببساطة عن طريق الضغط على مفاتيح Ctrl + Alt + Del في نفس الوقت ثم تحديد خيار القفل من القائمة.
يعد قفل lock الكمبيوتر عند مغادرة مكتبك سياسة جيدة جداً. يمكنك قفل lock جهاز الكمبيوتر الخاص بك ببساطة عن طريق الضغط على مفاتيح Ctrl + Alt + Del في نفس الوقت ثم تحديد خيار القفل من القائمة.
بعض المؤسسات تضع سياسة policy، بحيث تحتاج إلى إعادة إدخال كلمة المرور الخاصة بك إذا أصبحت شاشة التوقف (screen saver) نشطة، ويمكن أن تكون هذه طريقة سهلة للمساعدة في فرض سياسة إغلاق الكمبيوتر lock. لذلك إذا نسيت قفل الكمبيوتر وابتعدت عنه لفترة ما، ففي اللحظة التي تعمل فيها شاشة التوقف سيصبح الكمبيوتر مقفلاً.
· كما أنها فكرة جيدة أن يكون لديك سياسة حيث تقوم بإغلاق صندوق الكمبيوتر الخارجي Case. ستحتوي العديد من أجهزة الكمبيوتر على نقطة في خلفية الصندوق الخارجي حيث يمكنك وضع قفل صغير، وهذا سيساعد على منع الأفراد من فتح جانب الصندوق الخارجي للكمبيوتر الخاص بهم وإخراج أجزاء منه أو ربما وضع أجزاء فيه لا ينبغي لها أن تكون هناك.
· يمكنك أيضاً توصيل الكمبيوتر المحمول بكائن مادي آمن حتى لا يتعرض للسرقة. يمكنك أيضاً التفكير في خزينة خاصة بالكمبيوتر المحمول. يمكن أن يكون هذا مفيداً في حالة أن جهاز الكمبيوتر المحمول لا يحتوي على مثبت قفل lock anchor مدمج في الهيكل.
للطابعات الآن سياساتها الخاصة أيضاً. على سبيل المثال:
· يجب أن يكون لديك سياسة لضمان أن يقوم الموظفون بتمزيق المستندات التي تم وضع علامة عليها للتدمير بدلاً من وضعها في سلة المهملات.
هناك نوع من الهجمات التي يمكن شنها ضد الشركات وتعرف باسم الغوص في القمامة dumpster diving. الآن هذا هو المكان الذي سيختبر فيه الأفراد الخبثاء أوراقاً مهملة موضوعة في مكبات النفايات الخاصة بمؤسستك، يبحثون عن كلمات المرور والمعلومات القيمة الأخرى. لذلك يمكن أن يساعد تمزيق مستنداتك في منع تسرب البيانات من الغواصين في القمامة.
· يجب جمع أي مستندات حساسة من الطابعة على الفور لمنعها من الوقوع في الأيدي الخطأ. الايدي الخاطئة، يمكن أن يكون هذا هو الشخص التالي الذي يمر بجوار الطابعة وليس بالضرورة أن يكون شخصاً سيئاً، ولكن إذا كانت هذه المعلومات حساسة وقام شخص ما بالتقاطها والاطلاع عليها وكان من غير المفترض أن يطلع عليها فيمكن أن يسبب ذلك الكثير من المشاكل.
· عند طباعة معلومات حساسة من الجيد أيضاً تنظيف الذاكرة المؤقتة للطابعة flush the buffer.
· يجب أيضاً أن تكون هناك سياسة واضحة تحدد الإجراءات المناسبة للتخلص من شرائط وأسطوانات الطابعات المستخدمة ribbons and drums.
لذلك، عندما تنظر إلى السياسات المتعلقة بالبيئة المادية:
· يجب أن تفكر في تنفيذ سياسة (المكتب النظيف) للمساعدة في ضمان تأمين وثائق الشركة في نهاية اليوم.
· يعد قفل خزائن الملفات وأدراج المكاتب فكرة رائعة - فقط تأكد من أنك لا تفقد المفتاح.
· من الواضح أن إغلاق أبواب المكتب في نهاية اليوم طريقة رائعة لتقييد الوصول إلى بياناتك. كما أنها فكرة جيدة أن يكون لديك حارس أمن بعد ساعات العمل. حتى إذا قام حارس الأمن بجولات تقريبًا كل ساعة أو نحو ذلك للتحقق والتأكد من أن الباب لا يزال مغلقاً.
· يجب أيضاً أن تطلب من فريق الأمان في مؤسستك إجراء عمليات تدقيق وتدقيق عشوائية للتأكد من امتثال المستخدمين لسياسات الشركة هذه.
لذا في هذا المقال، استعرضنا بعض سياسات الأمان وأفضل الممارسات المتعلقة بأجهزة الكمبيوتر والأجهزة الأخرى.
ليست هناك تعليقات:
إرسال تعليق