‏إظهار الرسائل ذات التسميات امن المعلومات. إظهار كافة الرسائل
‏إظهار الرسائل ذات التسميات امن المعلومات. إظهار كافة الرسائل

2020-04-26

Remote Users

16:35 0

في هذا المقال، سنلقي نظرة على اعتبارات المستخدم عن بُعد.



اعتبارات المستخدم عن بُعد

الآن ما هو تعريف المستخدم عن بُعد؟ هؤلاء هم الأشخاص الذين يعملون عادة من المنزل أو من الطريق. لهؤلاء المستخدمين احتياجات خاصة عندما يتعلق الأمر باعتبارات سياسة الأمان.

بعض المخاطر المرتبطة بالمستخدمين البعيدين هي زيادة خطر فقدان أو سرقة الأجهزة. هذا ينطبق بشكل خاص على هؤلاء الموظفين الذين يعملون من الطريق. يمكن ترك أجهزة الكمبيوتر في الفنادق أو سرقتها من السيارات.
Tags # امن المعلومات متابعة القراءة
By في ليست هناك تعليقات:
التسميات:

2020-04-25

Password Policy

02:18 0

في هذا المقال، سنلقي نظرة على سياسات أمان كلمة المرور.



يجب أن تحدد سياسات أمان كلمة المرور (كلمة السر - الباص وورد)، بوضوح ما هي كلمة المرور الآمنة بناءً على معايير شركتك. هذا سوف يختلف من شركة إلى أخرى. ولكن كقاعدة عامة - تتكون كلمة المرور الآمنة من ثمانية أحرف مع أحرف كبيرة وأحرف صغيرة وعلى الأقل رقم واحد ورمز واحد.
تحتاج أيضاً إلى وجود آليات لانتهاء صلاحية كلمات المرور.
Tags # امن المعلومات متابعة القراءة
By في ليست هناك تعليقات:
التسميات:

Social Networks Security Policy

01:35 0

في هذا المقال، سنلقي نظرة على سياسات أمن الشبكات الاجتماعية. 



الهدف من هذه السياسات هو تقليل الضرر المحتمل الذي يمكن أن يحدث بسبب تسرب المعلومات ومشاركة البيانات غير المصرح بها.

الشبكات الاجتماعية، هي عبارة عن الالتقاء مع أشخاص آخرين عبر الإنترنت. ويتم ذلك من خلال مواقع مثل Facebook أو LinkedIn. هذه المواقع تعزز وتشجع تبادل المعلومات.

من المهم أن تكون هناك سياسات مطبقة لتثبيط مشاركة المعلومات التي تخص الشركة. 
Tags # امن المعلومات متابعة القراءة
By في ليست هناك تعليقات:
التسميات:

2020-04-24

E-mail and Internet Security Policy

16:00 0

في هذا المقال، سنلقي نظرة على سياسات أمن البريد الإلكتروني والإنترنت. 


يجب وضع السياسات التي تحدد ما يجب القيام به فيما يتعلق بالبريد الإلكتروني العشوائي والبرامج الضارة والفيروسات التي يتم إرسالها عبر البريد الإلكتروني.

ماذا يجب على المستخدم النهائي أن يفعل إذا أصيب بفيروس؟ ما هو أول شيء ستفعله؟ دعني أخبرك بما سأفعله - سأفصل جهازي من الشبكة - يجب أن يكون هذا هو أول شيء. قم بإخراج الكمبيوتر المصاب من الشبكة حتى لا ينتشر الفيروس.
Tags # امن المعلومات متابعة القراءة
By في ليست هناك تعليقات:
التسميات:

Portable Devices Security Policy

00:00 1

في هذا المقال، سنلقي نظرة على سياسات أمان الجهاز المحمول. 

يجب وضع سياسات أمنية للأجهزة المحمولة للمساعدة في تقليل مخاطر تسرب المعلومات. وعندما تنظر إلى سياسات أمان الجهاز المحمول، يجب أن تكون محددة إما للأجهزة الشخصية التي تخص المستخدمين وإما للأجهزة التي تخص الشركة.

إذا كان لديك هاتف خلوي خاص بالشركة، على سبيل المثال، فقد لا يُسمح لك باستخدامه لإجراء مكالمات شخصية، أو ربما لن تسمح شركتك بالبريد الإلكتروني على جهاز iPhone الشخصي الخاص بك، ولكن لا بأس إذا كان لديك Android.
Tags # امن المعلومات متابعة القراءة
By في هناك تعليق واحد:
التسميات:

2020-04-22

سياسات أمن الحاسبات والأجهزة

21:54 0

أساسيات سياسة أمن تكنولوجيا المعلومات

في هذا المقال، سنلقي نظرة على أساسيات السياسة الأمنية لأجهزة الحاسبات.


يتم إنشاء هذه السياسات عادةً بواسطة متخصصي أمن المعلومات. قد تتساءل من هم هؤلاء المحترفين، انهم موظفون في المؤسسة لديهم دعم من الإدارة العليا وأحد الأمثلة على ذلك رئيس قسم أمن تكنولوجيا المعلومات أو كبير ضباط الأمن. هؤلاء هم الأشخاص المسؤولون عن تحديد المشكلات الأمنية المعروفة ومنعها.

غالباً ما سيحصل هؤلاء الأفراد على تدريب أمني متخصص للغاية. هناك شهادة واحدة خاصة تتبادر إلى الذهن وهي Certified Information Systems Security Professional - CISSP، والتي تعني اختصاصي أمن نظم المعلومات المعتمد.

Tags # امن المعلومات متابعة القراءة
By في ليست هناك تعليقات:
التسميات:

2020-04-21

أمن المعلومات للمستخدم النهائى

14:54 0

IT Security for End Users

الشركات التي لديها أكبر فرصة للنجاة من الهجمات الالكترونية هي تلك الشركات التي لديها موظفين مؤهلين تقنياً ويأخذون في الاعتبار معايير الأمان اولاً.

تعريف أمن تكنولوجيا المعلومات

تكنولوجيا المعلومات Information Technology – IT، تتضمن جميع أشكال التكنولوجيا المستخدمة لإنشاء المعلومات الرقمية وتخزينها وتبادلها واستخدامها. على سبيل المثال لا الحصر الأجهزة اللوحية والهواتف المحمولة وأجهزة الكمبيوتر من جميع الأشكال والأحجام من أجهزة الكمبيوتر المحمولة إلى أجهزة MacBook إلى أجهزة Chromebook وأجهزة سطح المكتب.

Tags # امن المعلومات متابعة القراءة
By في ليست هناك تعليقات:
التسميات:

2018-12-28

برامج التجسس - Spyware

00:43 0



برامج التجسس Spyware، هى برامج يتم تثبيتها على جهاز كمبيوتر بدون أن يعرف المستخدم النهائى أنه تم تثبيت هذه البرامج على جهازه. وهى برامج تهدف إلى جمع معلومات عن شخص أو شركة دون علمهم، وقد ترسل هذه المعلومات إلى كيان آخر دون موافقة المستخدم النهائى، أو قد تحاول برامج التجسس السيطرة على جهاز الكمبيوتر.


هذه البرامج مثيرة للجدل لأنها على الرغم من أنه يتم تثبيتها فى بعض الأحيان لأسباب غير ضارة نسبياً، إلا أنها تتسبب فى إنتهاك خصوصية المستخدم النهائى وتمثل إساءة للاستخدام.

تصنف برامج التجسس فى الغالب إلى أربعة أنواع: برامج الاعلانات Adware، وبرامج مراقبة النظام System Monitors، وملفات تعريف الارتباط Cookies، وأحصنة طروادة Trojans.
Tags # امن المعلومات # مصطلحات امن المعلومات # معانى المصطلحات متابعة القراءة
By في ليست هناك تعليقات:
التسميات: , ,

2018-04-29

فيروسات الكمبيوتر - Computer Virus

08:00 5

غريبا هو كما يبدو من اسمه. فيروسات الكمبيوتر هى من عجائب عصر المعلومات. فمن ناحية يبين لنا فيروس الكمبيوتر كم نحن ضعفاء وقابلين للاختراق، حيث ان فيروس واحد مصمم جيدا قادر على احداث تاثير مدمر للاجهزة واحداث تلفيات وتعطيل لاعمال تقدر بالملايين.

ومن ناحية اخرى فهو يبين لنا كم اصبح العالم من حولنا مترابط ومعقد الى ابعد الحدود. ففيروس واحد مثل فيروس دودة ميدوم اصابت ربع مليون كمبيوتر فى يوم واحد فقط، وفيروس مثل ميليسا اجبر شركة مايكروسوفت على ايقاف انظمة البريد الالكترونى لديها تمام لحين احتواء الفيروس. كل هذا يدعوا للاعجاب عندما تعلم ان معظم الفيروسات فى منتهى البساطة.
Tags # امن المعلومات # مصطلحات امن المعلومات متابعة القراءة
By في هناك 5 تعليقات:
التسميات: ,

2018-04-28

حصان طروادة - Trojan Horse

08:00 1

الفيروسات من نوع حصان طروادة


قصة حصان طروادة

واحدة من أهم القصص عن الصراع فى الأساطير اليونانية وقصص حرب طروادة ، هى قصة حصان طروادة.

 فى محاولة لإيجاد طريق إلى مدينة طروادة أمر المحارب العظيم أوديسيوس رجاله ببناء حصان خشبى ضخم. حصان كبير بما فيه الكفاية، يتسع للعديد من الجنود اليونانيين بالركوب داخل الحصان. وبمجرد الانتهاء من البناء ، قفز هو وعدد من المحاربين فى الداخل بينما أبحر بقية اليونانيين بعيدا عن طروادة. على أية حال ، بقى رجل اسمه سينون خلفه لخداع أهل مدينة طروادة ، مقنعاً إياهم بأن زملائه اليونانيين قد خانوه وفروا من المدينة. وقال لهم أن الحصان آمنا وسيجلب لهم الحظ.

Tags # امن المعلومات # مصطلحات امن المعلومات # معانى المصطلحات متابعة القراءة
By في هناك تعليق واحد:
التسميات: , ,

2014-11-01

أفضل الطرق لإجراء مراجعة إدارة تكنولوجيا المعلومات

10:26 0
Information Technology Audit Best Practices
أعتقد انه لا احد منا يستمتع بإجراءات المراجعة   على إدارته. فالغرباء يتجولون فى كل مكان يبحثون عن الهفوات والأخطاء التى ربما تكون قد نسيتها. فعندما تُذكر كلمة (المراجعة) يتبادر إلى ذهنك إجراءات التفتيش المفاجئة التى يقوم بها أفراد فريق المراجعة   فى محاولة منهم لكشف نقاط الضعف فى النظام.

ولكنه أنت من يجلس فوق الصفيح الساخن إذا ما تعرضت أنظمة الكمبيوتر لديك للإختراق. إذا كنت أنت الشخص المسئول عن قسم تأمين المعلومات بالشركة، فانك أنت من يجب أن يُصر على إجراء المراجعة سواء الداخلية أو الخارجية على إدارة تكنولوجيا المعلومات وعلى انظمة الأمن بها.

فى بعض الأحيان لن يكون هناك امامك خيار سوى إجراء عملية المراجعة ، فبعض الشركات الكبرى يجب أن تتم عملية المراجعة  بها سنوياً. كذلك بعض المستثمرين يُصر أن يكون هناك تقارير للمراجعة قبل أن يقوم بالتعاون مع شركتك فى عمل أى أستثمارات جديدة.

ولكن ماذا إذا أخفق المراجعون فى أداء علمهم، فانت أيضاً من سيكتوى بالنار فى حاله إن تمكن المخترقون من إيقاف عمل موقع الويب الخاص بالشركة، أو نجحوا فى سرقة بيانات العملاء اللذين تتعامل معهم شركتك. فلا تجعل هذا يحدث، ولن يحدث إن شاء الله فى حالة ما اتبعت الخطوات التالية لضمان نجاح فريق المراجعة  فى أداء أعمالهم.

الخطوات المطلوبة لنجاح إجراءات المراجعة الخارجية:
1- قم بتحدد حد أدنى من تأمين المعومات لديك.
          إن سياسات التأمين Security Policy التى تطبقها فى شركتك هى الاساس. فبدون سياسة تأمين جيدة، لن يمكنك تحديد حجم المخاطر التى تتعرض لها انظمة المعلومات بالشركة. بما أن التكنولوجيا تتغير سريعاً، لذا يجب مراجعة سياسة تأمين نظم المعلومات بانتظام والتاكد من مواكبتها مع اخر التطورات. إن نقاط الضعف فى البرامج Vulnerabilities  يتم الكشف عنها بصورة يومية تقريباً، لذا فان عمل مراجعة سنوية لسياسة تامين البيانات هو امر ضرورى.

          إذا كانت لديك خبرة طويلة مع المراجعة ، فانت تمتلك العديد من تقارير المراجعة عن السنوات السابقة والتى يمكنك اعتبارها الحد الأدنى من المعلومات الواجب إتباعها لتأمين المعلومات فى شركتك.

          أما إذا كنت لا تمتلك هذه الخبرات المتراكمة والتقارير السابقة من المراجعة ، فيمكنك توظيف شركتين او مكتبين منفصلين للمراجعة فى نفس الوقت للتأكد من قيامهم بالعمل على وجه صحيح. بالطبع سيكون هذا مكلفاً، ولكنه أفضل من الاعتماد على معلومات من مصدر واحد فقط خصوصا فى البداية.

          لا تنتظر حتى يجبرك أحد الهاكرز المخترقين على البحث عن نقاط الضعف فى تأمين البيانات فى شركتك. قم أنت بالخطوة الأولى وأبدأ من الآن فى حماية وتأمين بيانات شركتك.


- حدد إحتياجاتك بدقة.
          دعونا نأخذ مثال بسيط عن كيفية تحديد إحتاجاتك من شركات مراجعة أنظمة تأمين المعلومات بدقة:
          لقد قمت بتركيب جدار نارى Firewall، وتريد من شركة مراجعة تأمين المعلومات أن تقييم هذا الجدار النارى. وانت تريد من شركة المراجعة التالى:
          1- مراجعة وتوثيق إعدادات نظام التامين الذى تم عمله على الجدار النارى لتقييم إحتمالات تعرض الشبكة الداخلية لأى هجوم خارجى.
          2- مراجعة إعدادات أنظمة التشغيل على الخوادم للتأكد من عدم وجود أى ثغرات امنية بها.
          3- التأكد من إعدادات الراوتر وسجلات الدخول عليها log files.
          4- بعد تجربة كل ما سبق يتم التصريح بعمل الجدار النارى فى بيئة العمل الفعلية.
          5- توثيق إجراءات Disaster recovery الخاصة بالجدار النارى وأنظمة التشغيل.
          6- إجراء تجربة لإختراق الجدار النارى بعد تركيبه Penetration test.
3- اختار المراجعين اللذين يتمتعون بخبرة حقيقية وليست خبرة نظرية.
ربما كنت تميل إلى الإعتماد على أفراد العمل بإداراتك من أجل إجراء عمليات المراجعة على أنظمة أمن المعلومات فى شركتك أو إدارتك، ولكن نصيحتى لك أن لا تفعل هذا. إن تحميل أخر الإصلاحات patches، التأكد من أن أنظمة التشغيل والبرامج قد تم إعدادها لكى تكون آمنة، و مراقبة أنظمة الدفاع والحماية هى مهام عمل أفراد قسم تأمين المعلومات لديك، ولكن فى أحيان كثيرة يكون الغرباء هم الأقدر على إكتشاف نقاط الضعف والمشاكل فى نظام تأمين المعلومات لديك.

إن المراجعة الفنية على إدارة تكنولوجيا المعلومات، تؤدى إلى تحديد وإكتشاف المخاطر التى قد يتعرض لها النظام عن طريق مراجعة السياسات والإجراءات المتبعة فى الشركة وكذلك أنظمة تأمين الشبكة وإعدادات النظام بوجهة عام. هذه المراجعة وظيفة خبراء فى نُظم تأمين المعلومات وليس اى شخص أخر.

إذا كنت ستستأجر مكتب للمراجعة الخارجية، فتأكد من الخبرات العملية لأفراد فريق العمل، لا تنخدع بالشهادات فليست الشهادات وحدها هى التى تحدد مدى كفاءة فريق عمل المراجعة الخارجية، ولكن الخبرة العملية الحقيقية هى المقياس.

عند إستأجارك مكتب للمراجعة الخارجية، فتأكد أنهم قدموا لك كشف بما سيفعلونه لإتمام العمل Statement Of Work SOW، وفيها ستكون تفاصيل العمل الذى سيقدمونه لك لكى تحقق أهدافك من عملية المراجعة الخارجية. بالاضافة إلى المنهج الذى سيتبعونه فى إجراء عمليات المراجعة، والمخرجات التى ستنتج من عملية المراجعة.
4- شارك مديرى الإدارات مبكراً فى إجراءات المراجعة.
لا أحد منا يحب المفاجأت فى مجال العمل، لذا أحرص على أن تُخبر مديرى الإدارات والأقسام التى ستخضع للمراجعة قبل عملية المراجعة نفسها بفترة كافية. فهذا سيسهل مهمة عمل فريق المراجعة. وسيسهل على كل إدارة إعداد البيانات المطلوبة منها من طرف مكتب المراجعة.

5- بعض متطلبات فريق المراجعة:
          - نسخة من سياسة تأمين البيانات والإجراءات المتبعة لتنفيذها. وهذا يتضمن:
                    - سياسة إعداد كلمة السر للمستخدمين وكيفية تهيئتها.
                    - أخر نتائج لبرامج مقاومة الفيروسات.
                    - كيفية أخذ نسخ أحتياطية، وكيفية الأحتفاظ بها.
                    - من له صلاحيات متقدمة على النظام Sysadmins.
          - أجهزة الحماية الخارجية مثل الـ Firewall و الـ IPS.
- أنظمة التشغيل المستخدمة فى الشركة، وكذلك التطبيقات.
6- قم بمراجعة تقرير المراجعة وتأكد من أنه يعكس المخاطر الحقيقية التى تتعرض لها شركتك.
          إذا كان التقرير الذى ستحصل عليه بعد الإنتهاء من عملية المراجعة، هو مجرد تقرير ناتج من احد برامج أكتشاف الثغرات، فمع الأسف فأنت قد أضعت وقتك ومالك مع مكتب المراجعة الخارجية الذى قمت بأستقدامه.
          صحيح أن العديد من برامج إكتشاف الثغرات تقوم بإخراج تقارير ممتازة، إلا أن مكتب المراجعة يجب أن يقوم بإضافة قيمة ناتجة من خبرات أعضائه على هذه النوعيه من التقارير، ويجب أن يقوم بتقديم تقرير تفصيلى فيه جميع الجوانب التحليلة والشرح الكافى لبيان سبب حدوث هذه الثغرات وكيفية تلافيها فى المستقبل.


المصدر:
http://searchsecurity.techtarget.com/IT-security-auditing-Best-practices-for-conducting-audits
Tags # ادارة اعمال # امن المعلومات متابعة القراءة
By في ليست هناك تعليقات:
التسميات: ,

2014-10-24

المراجعة على ادارة تكنولوجيا المعلومات

11:30 0

Information Technology Audit



مراجعة إدارة تكنولوجيا المعلومات

تكنولوجيا المعلومات تعبير يصف اى تكنولوجيا تهتم بـتخزين، اجراء العمليات، وتدفق البيانات داخل اى مؤسسة. وأى شيء يتعلق بالكمبيوتر، البرامج، الشبكات، الأنترنت، اجهزة الخوادم، قواعد البيانات، والأتصالات اللاسلكية كل هذا يندرج تحت مظلة عمل إدارة نظم المعلومات.

 راجع مقالتنا عن (تكنولوجيا المعلومات).

المراجعة على إدارة تكنولوجيا المعلومات، هو فحص وتقييم للبنية التحتية الخاصة بتكنولوجيا المعلومات بالشركة وكيفية تامين وحماية هذه البينة التحتية، وكذلك هو فحص للسياسات التى تتبعها الإدارة، وللإجراءات التى تتبعها الإدارة لتنفيذ هذه السياسات.

 راجع مقالة (تأمين الشبكة الداخلية - الجزء الاول).

 راجع مقالة (تأمين الشبكة الداخلية - الجزء الثانى).

بما أن معظم الشركات تعتمد فى عملها على أجهزة الكمبيوتر، لذا أصبحت المراجعة على إدارة تكنولوجيا المعلومات تستخدم للتأكد من أن إجراءات الرقابة على تامين الأجهزة والمعلومات يتم بدقة، كما انها تستخدم كذلك لمعرفة:

1- هل تقوم إدارة تكنولوجيا المعلومات بحماية أصول الشركة من معلومات وبيانات واجهزة وخوادم أم لا ؟

2- هل تضمن إدارة تكنولوجيا المعلومات الحماية الكافية للبيانات من التعرض للتغيير أو التلف Data Integrity. وهل البيانات المخزنة على خوادم الشركة تحقق أهداف الشركة أم لا ؟

3- إن المراجعة على إدارة تكنولوجيا المعلومات لا تتضمن فقط الرقابة على السياسات الأمنية المتبعة، ولكنها تتطرق إلى جوانب الرقابة والتحكم فى مدخلات وكيفية ضمان التشغيل الآمن للبرامج المالية أو أى برامج أخرى تستخدم فى الشركة.

إن الأهداف الرئيسية للمراجعة على إدارة تكنولوجيا المعلومات هى:

1- تقييم الأنظمة المستخدمة لتامين بيانات ومعلومات الشركة.

2- تحديد المخاطر التى تتعرض لها نظم المعلومات بالشركة، و المساعدة على إيجاد الطرق المناسبة لتلافى هذه المخاطر.

3- التأكد من أن إجراءات إدارة نظم المعلومات بالشركة تتبع القوانين والسياسات المنظمة لعمل تكنولوجيا المعلومات. مثل قوانين حماية الملكية الفكرية.

4- تحديد نقاط عدم الكفاءة فى إدارة تكنولوجيا المعلومات والعمل على حلها.

والآن، هل أنت جاهز لإجراء المراجعة على إدارتك. إذا لم تكن أعددت نفسك جيداً للمراجعة فالقائمة التالية ستساعدك على إتمام عملية المراجعة على إدارة تكنولوجيا المعلومات بنجاح. راجع القوائم بدقة وتاكد من أنك اعددتها بشكل صحيح. هذه القوائم تتضمن ماذا تفعل قبل، وأثناء وبعد عملية المراجعة الداخلية.

قائمة قبل أن تبدأ المراجعة:
1- من هم افراد فريق المراحعة القادمون إليك، وما هى وظائفهم ودور كل واحد منهم فى عملية المراجعة.

2- ما هى تخصصات وخبرات أفراد فريق المراحعة.

3- قم باعداد عرض تقديمى presentation لشركتك وركز بالطبع فيه على ما تقوم به إدارتك وجوانب القوة فى العمل بادارتك. سيساعد هذا العرض على تقديم صورة طيبة عن العمل بداخل إدارتك كما انه سيسهل على أفراد فريق المراجعة العمل وتحديد ما يودون مراجعته بدقة.

4- تحدث مع مديرك، ومع مرؤوسيك عن الجوانب التى سيتم عمل مراجعة عليها.

5- إذا كانت قد تمت عملية المراجعة على إدارتك فى فترة ماضية، فقم بمراجعة التقرير السابق الذى قدمه فريق المراجعة الداخلية. وتفحص بدقة ملاحظاتهم وطلباتهم السابقة وتاكد منن انه قد تم تنفيذها أو الجزء الاكبر منها.

قائمة أثناء عملية المراجعة:
1- سبب المراجعة.

2- النطاق والهدف من المراجعة.

3- قم بتوزيع (1) و (2) على جميع أفراد فريق عملك.

4- أفراد فريق المراجعة.

5- المدى الزمنى المحدد لإجراء عملية المراجعة.

6- هل سيتم مراجعة ملفات التسجيل على الكمبيوتر log files

7- قم بعمل حسابات مؤقتة لفريق المراجعة فى حالة رغبتهم فى الدخول على الأجهزة.

8- قم بعمل إجتماع أسبوعى مع فريق المراجعة لمتابعة العمل أو الرد على أى استفسارات لهم.

9- قبل نهاية عملية المراجعة، قم بعمل إجتماع مغلق مع فريق المراجعة.

10- أطل منهم نسخه من التقرير الذى أعدوه.

قائمة بعد عملية المراجعة:
1- إذا كانت لك اى ملاحظات سلبية على تقرير المراجعة، قم بالرد عليه كتابياً، مع تقديم ما يساند حجتك فى الرد على التقرير. وتذكر ان من قام بعملية المراجعة لديه من الحجج والأسانيد مع يدعم به التقرير الذى اعده.

2- الملاحظات التى وردت فى التقرير، وأنت موافق عليها قم بكتابه ما ستقوم به لتصحيح هذه الملاحظات.

2- قم بعمل إجتماع لفريق العمل الخاص بادارتك، وقم معهم بمناقشة ما ورد فى تقرير المراجعة الداخلية. وما هى الإجراءات التى سيتم عملها لحل الملاحظات التى وردت فى التقرير.

3- يجب ان يقوم أفرد فريق العمل فى إدارتك بعمل تقرير بعد فترة من 3 إلى 6 شهور يوضح انه تم حل الملاحظات التى وردت فى تقرير المراجعة الداخلية. وقم انت بارسال صورة من هذا التقرير إلى مدير فريق المراحعة الداخلية.

المصدر:
http://searchcompliance.techtarget.com/definition/IT-audit-information-technology-audit
http://searchsecurity.techtarget.com/feature/Preparing-for-auditors-Checklists-for-before-during-and-after-an-IT-audit

Tags # ادارة اعمال # امن المعلومات متابعة القراءة
By في ليست هناك تعليقات:
التسميات: ,

تطبيقات الظل

07:50 0

تطبيقات الظــل Shadow Apps

تطبيقات الظل هى برامج للكمبيوتر لا تدعمها إدارة تكنولوجيا المعلومات فى شركتك. فى الماضى، كانت برامج الظل يتم تحميلها بواسطة الموظفين الشغوفين بمعرفة كل ما هو جديد والراغبين فى تجربة هذه التطبيقات بدون المرور فى إجراءات الحصول على موافقات من أجل تحميل هذه التطبيقات الجديدة والمتبعة فى معظم الشركات والمؤسسات التى لديها إدارة لتكنولوجيا المعلومات. ولكن مع تنامى التطبيقات التى يتم تشغيلها كخدمة Software as a Service (SaaS)، وكذلك تنامى الحوسبة السحابية Cloud Computing، أصبحت تطبيقات الظل هى تطبيقات الطرف الثالث التى يمكن تشغيلها من على الأنترنت.


برامج المحادثة والدردشة، وبرامج التخزين السحابية هى أمثلة على برامج الظل المنتشرة والمشهورة بين المستخدمين. وعلى الرغم من العديد من تطبيقات الظل تحسن من إنتاجية الموظفين والتعاون بينهم بدون أى تكلفة على الشركة أو بتكلفة ضئيلة، فإن إستخدام تطبيقات الظل يتضمن بعض المخاطر التى يمكن أن تسببها للشركات. فمثلاً إذا قام أحد الموظفين بإستخدام أحد التطبيقات السحابية مستخدماً بيانات دخوله على حاسبات الشركة، فإن هذا يعرض بيانات الشركة لخطر السرقة او الفقدان. كما أن تطبيقات الظل تؤدى إلى زيادة التحميل على الشبكات الداخلية للشركة وبالتالى بطئ شديد فى العمل على الشبكة بداخل الشركة، والذى بدوره سيؤثر على إنتاجية جميع الموظفين بالشركة.



وللتقليل أو منع مخاطر إستخدام تطبيقات الظل Shadow Apps، فإنه يجب على إدارات تكنولوجيا المعلومات بالشركات:

1- أن يكون لدى إدارة تكنولوجيا المعلومات الادوات اللازمة  لمنع تحميل وتشغيل ما هو غير مرغوب فيه من هذه التطبيقات.

2- أن يكون لدى إدارة تكنولوجيا المعلومات الادوات اللازمة لمراقبة الخدمات والتطبيقات التى يتم تحميلها وتشغيلها على الشبكة.

3- يجب وجود سياسة Policy واضحة ومكتوبة لكيفية إستخدام خدمة الإنترنت بالشركة، توضح للمستخدم كيف يحمى بياناته الشخصية والبيانات التى تخص الشركة عندما يكون على الإنترنت. وتوضح له ما هو مسموح به وما هو غير مسموح حتى لا يعرض بيانات الشركة للخطر.

4- يجب على إدارة تكنولوجيا المعلومات، أن تعلم الموظفين مخاطر إستخدام تطبيقات الظل واهمية الحفاظ على بيانات الشركة.

5- كما أنه يجب على إدارات تكنولوجيا المعلومات بالشركات أن تكون متعاونة وتتجاوب مع متطلبات الموظفين بما لا يضر مصالح الشركة. فمثلا إذا كان عدد كبير من الموظفين فى حاجه إلى تشغيل برنامج معين يخدم أعمال الشركة، فيجب على إدارة تكنولجيا المعلومات إتخاذ الإجراءات اللازمة لتشغيل هذا البرنامج بصورة رسمية لجميع الموظفين.


المصدر:
http://whatis.techtarget.com/definition/shadow-app




Tags # ادارة اعمال # امن المعلومات متابعة القراءة
By في ليست هناك تعليقات:
التسميات: ,