الاقتصادية المعقب الالكتروني نادي السيارات الرياضية كتاب واقلام الجزيرة
Tuesday 4th January,2005 العدد : 112

الثلاثاء 23 ,ذو القعدة 1425

وعام جديد ..!
أطل علينا في بداية هذا الأسبوع عام ميلادي جديد..
محمولاً بعربة عام مضى، وقد حفل من المعاناة والآلام والظلم وجبروت الأقوياء ما هو معروف لدى الجميع..
ليضيف عامنا الجديد كمثيلاته من قبل سنة جديدة إلى أعمارنا..
ومرحلة شديدة الغموض في القادم الجديد الذي ها نحن نحتفل به ونتهيأ للتعايش مع أحداثه ومستجداته..
***
لا أدري كيف ستكون العلاقة المنتظرة والمتجددة بكل أسرارها وغموضها بين الإنسان وعامه الجديد؟..
وهل هناك وجه شبه سيكون شديد المعاناة بين أيام وشهور السنة التي انقضت من أعمارنا بما سنراه ونتعايش معه هذا العام؟..
ومَنْ الذي سيقود العربة في هذا العالم المتجبر نحو مزيد من الأحزان ربما أو باتجاه بوصلة التعايش الذي يوفر الأمن والرخاء للجميع؟..
***
تساؤلات ربما قادتنا إلى طرح المزيد من مبررات الخوف من ذلك المجهول والشعور بالانكسار المخيف في ظل تصادم المصالح والنوايا والأهداف بين الأمم..
خطط ومخططات لمؤامرات وترتيبات مشبوهة نراها ونسمعها ونحن على يقين بأنه لا هم لها إلا الانقضاض على مَنْ هو أضعف مِنْ الدول والشعوب والأفراد وبخاصة مَنْ يُعلن العصيان أو التمرد على إملاءات الكبار..
هكذا كان العالم في العام الذي انقضى وما قبله، فما هو نصيب وحظ العالم من هذا العام الجديد الذي احتفلنا بداية هذا الأسبوع بإطلالته علينا؟..
***
دعونا نتفاءل بما نتمنى أن يصير..
بما نأمل أن يكون ونتوقع أنه الأفضل والأجمل مما مضى..
إذ ما أقساه من عام جديد على الإنسان فيما لو غابت معه وعنه ابتسامة أو اختفى خلاله صوت الحق من أن يُصدع به..
وما أجمله من عام يجلله الخير والحب ويسوده السلام والأمن والاستقرار والعيش الكريم..
***
عام جديد، تلألأت أضواؤه المثيرة قبل إطلالته بأيام..
وتسابق الكثيرون جداً للاحتفاء به والفرح بقدومه في وقت مبكر وقبل أن يحل علينا بزمن طويل..
والبلايين من الدولارات أنفقت كالعادة على إظهار الزينة ومظاهر الفرح الباذخ على هذا الضيف الجديد..
فيما تئن الكثير من الأمم من الفقر والجوع والوقوع في قبضة مجرمي الحرب، حيث لا أمن ولا حقوق لهؤلاء المستضعفين..
لكنّ هذا لا ينبغي أن يثني الأمم عن التمسك بالأمل والتفاؤل بما هو أفضل نحو حياة حرة وكريمة تستكين لها فيما تبقى من عمر لكل فرد فيها..
***
أهلاً به من عام..
يذكِّرنا بأن عاماً أو بعض عام قد مضى من العمر..
وأن في محطتنا الجديدة الكثير من الأسرار والغموض التي لا يعلمها إلا الله..
وأن ما انقضى..
وأن ما حلَّ..
هو باختصار قطار يتحرك في محطات كثيرة ومثيرة، فيها الخير وفيها الشر، لكنَّ أكثرنا مع شديد الأسف لا يتعظ ولا يعتبر ولا يستفيد من دروس الحياة الكثيرة.


خالد المالك

سياسات أمن المعلومات
* د. محمد بن عبدالله القاسم
لا يخفى على أي دارس بل أي إنسان أهمية الحاسب الآلي والمعلومات التي يحتفظ بها، هذه الأهمية تستدعي المحافظة على الحاسب الآلي كجهاز ثابت والمعلومات كمادة تنتقل من جهاز إلى آخر.
وسياسات أمن المعلومات هي إحدى الوسائل المهمة للمحافظة على أمن الحاسب الآلي، والذي يشمل المخاطر التي يتعرض لها أو المعلومات التي يحتفظ بها، وهذه المخاطر قد تكون مقصودة بهدف السرقة أو التخريب أو طبيعية نتيجة إهمال أو عوامل خارجية كالحريق.
إن المتابع يعلم أن المشكلات الناتجة عن جرائم تقنية المعلومات كبيرة جداً، ولذلك فإن من الأهمية عمل الإجراءات اللازمة للمحافظة على أمن الحاسب الآلي بكيانيه المادي (الأجهزة) وغير المادي (البرامج والبيانات).
وهناك طرق عديدة للمحافظة على هذين الكيانين، وإحدى هذه الطرق والوسائل وضع السياسات الأمنية المناسبة التي تكفل التأكد والمتابعة والتنفيذ لها، ولا تتوقف هذه السياسات على منع الجريمة، ولكنها أشمل من ذلك بكثير، وهي تشمل محاولة المحافظة على وقت العاملين بعدم إساءة استخدامه فيما ليس له علاقة بالعمل كالإنترنت بصفة عامة، أو زيارة بعض المواقع التي لا علاقة لها بالعمل، أو البريد الإلكتروني وغيرها.
وقد كان للإنترنت دور كبير في زيادة الاهتمام بسياسات أمن المعلومات، لأنها أتاحت الفرصة للكثيرين الوصول لشبكات المعلومات الخاصة بالمنشآت، ولذلك فإن دورها كبير في الكثير من الجرائم والمخالفات التي تتعرض لها مراكز المعلومات في العالم.
إن شراء جدار ناري وبرامج مضادة للفيروسات ليس كافياً لحماية شبكات أي منشأة، فالسياسات الأمنية تقوم بوضع الخطوط العريضة لمعرفة المقاييس الأمنية التي يجب على المنشأة أن تتبعها، فهي تشرح أمن المعلومات في المنشأة بعبارات عامة وبدون تفصيل.. أي أنها عبارة عن مخطط أو برنامج عمل لأمن المعلومات، ومن المهم توضيح أن سياسة أمن المعلومات لا تتضمن الطريقة التي يتم بواسطتها تنفيذ السياسة، ولكنها توضح الأهداف المطلوب تحقيقها.
من المهم دائماً عند إنشاء سياسات أمن المعلومات كسب تأييد ودعم الإدارة العليا.. فاهتمامها ودعمها يضمن اهتمام الموظفين بسياسات أمن المعلومات وتنفيذها، وإنشاء وتنفيذ سياسات أمن المعلومات بدون دعم مباشر من الإدارة العليا سيؤدي إلى الفشل الذريع والأكيد لسياسات أمن المعلومات، وهناك العديد من الوسائل التي تساعد على كسب تأييد الإدارة العليا، ومنها توضيح القيمة الحقيقية للمعلومات وأنها مورد مهم للمنشأة، وكذلك الشرح حول إمكانية حصول عاملين من داخل المنشأة على معلومات لا يحق لهم الاطلاع عليها، وكذلك إمكانية دخول أطراف من خارج المنشأة والاطلاع على معلومات وتدميرها.
ومن الطرق الجيدة لكسب تأييد الإدارة العليا هو اطلاعهم على المقالات والكتب المتخصصة في هذا الموضوع، وكذلك التعرف على قصص حقيقية لبعض المنشآت التي تضررت بسبب عدم وجود وتطبيق سياسات أمن معلومات بها.
(ومع أن الكثير من الباحثين في هذا المجال يؤكدون على أن وجود السياسات الأمنية المناسبة يعتبر الخطوة الأساسية للخطط الأمنية، إلا أن ما يزيد على 60% من المنشآت لا يوجد لديها سياسات أمنية، أو أن سياساتهم الأمنية قديمة وغير محدثة).
عند التفكير في كتابة سياسة أمن المعلومات في المنشأة، فيجب معرفة من يهتم بها، ويمكن تقسيم المهتمين بسياسة أمن المعلومات إلى ثلاث فئات كالتالي:
المستخدمون وهم أكثر المتأثرين بسياسات أمن المعلومات.
موظفو الدعم الفني، لأنهم مطالبون بتنفيذ وتأييد هذه السياسات.
الإدارة والتي تهتم بحماية المعلومات وكذلك التكلفة المصاحبة لها.
القاعدة العامة أن الناس لا يحبون المنع ووضع القيود، والسياسات الأمنية ما هي إلا قيود عند التعامل مع المعلومات في المنشأة، والعاملون بصفة عامة يخشون من عدم قدرتهم على إنجاز أعمالهم في وجود هذه القيود، وكذلك فإن العاملين في أقسام الدعم الفني يخشون من عدم قدرتهم على إدارة مراكز المعلومات في ظل وجود هذه القيود، وكذلك تخشى الإدارة التكلفة الزائدة لتنفيذ سياسات أمن المعلومات مقارنة بالفوائد التي سوف تجنيها لنا وهي حماية المعلومات، من شبه المستحيل أن توافق كل الأطراف على سياسة أمن معلومات واحدة، ولكن يجب الوصول إلى سياسة أمن معلومات مناسبة للجميع ولا ننسى أبداً القاعدة الشرعية التي تقول (لا ضرر ولا ضرار).
في الكثير من المنشآت، لا يتم التفكير في كتابة وتنفيذ سياسات أمن المعلومات إلا بعد وقوع المشكلة
الأمنية الأولى، ولكن عند تلك النقطة يجب التفكير ووضع الخطط الكفيلة بتغطية جميع المشاكل الأمنية المحتمل وقوعها مستقبلاً، لكن ينبغي معرفة أن كتابة سياسات أمن المعلومات لمنشأة ما في المراحل الأولى لتطويرها وإنشائها، أسهل بكثير من كتابتها لمنشآت قائمة، من المهم وجود سياسات لأمن المعلومات عند الرغبة في التقاضي من المخالفين والمخربين.. فالمحاكم في أحيان كثيرة لا تعترف بالعرف أو الواجب، ولكنها بسهولة تقتنع عند وجود سياسات أمنية متفق عليها ومطبقة.
إن السؤال الملح جداً هو كمية وعدد سياسات أمن المعلومات التي يجب كتابتها؟..
يعتمد العدد على حجم وطبيعة وأهداف المنشأة ونوعية الحماية المطلوبة، وهناك إستراتيجيتان أساسيتان لوثيقة سياسة أمن المعلومات، الأولى أن يكون لدينا وثيقة واحدة شاملة، والثانية أن يكون هناك عدة وثائق صغيرة، وهي أسهل للتنفيذ والتعديل، كذلك تكون مفهومة بشكل أكبر للمستفيدين، ومن الأمثلة على سياسات أمن المعلومات، الأمن المادي (الأجهزة)، الشبكات، أمن الإنترنت، البريد الإلكتروني، الحماية من الفيروسات.. إلخ.
(من أهم شروط سياسة أمن المعلومات أن تنفذ وتمنح القوة في التنفيذ، وأن تكون مختصرة وواضحة وسهلة الفهم، ومنظمة منطقياً، ودائماً يجب الموازنة بين الحماية والإنتاجية).
كما يجب أن يكون مجال وأهداف السياسة واضحاً جداً، وأن تراجع من قبل المتعاملين بها بأنواعهم، وكذلك المنفذون لها، ومن أجل توضيح أسباب وجود سياسة أمنية فيفضل أن يتم ذكر أسباب الحاجة للسياسة، وماذا تغطي، ويكون هناك تعريف بالمسؤولين عن السياسة، وكذلك شرح عن كيفية التعامل مع المخالفات والمخالفين.
أحد أهداف السياسات الأمنية، حماية الممتلكات المعلوماتية للمنشأة، وبصفة عامة لا يوجد أي ممتلكات أو بيانات محمية 100% ضد السرقة، فإذا كان الهاكر (المخرب) لديه النية والصبر والمهارة فلا يوجد نظام لا يمكن اختراقه ولا يوجد حل يصمد كثيراً، فتحديد صلاحيات الدخول على كل نظام وكل شبكة مهم جداً، في كثير من الأحيان قد يكون للشبكة نظام يساعد على التأكد من الدخول على الشبكة، ولكن ذلك ليس متوفراً لكل الأنظمة في الغالب،
ومعرفة من يحق له الحصول على المعلومات ومن لا يحق له يساعد على كتابة السياسات الأمنية وتوجيهها بشكل مناسب، ويجب أن ندرك أن الجزء المتعلق بالعاملين (الناس) هو دائماً أضعف جزء في السياسات الأمنية.
بعد تحديد صلاحية الدخول، يجب تحديد الوسائل التي يتم عن طريقها حث وإرغام العاملين على التقيد بهذه الصلاحيات، وكذلك توضيح العقوبات التي ستنفذ على المخالف عند عدم التقيد بهذه السياسات الأمنية، نظاماً يجب أن تكون العقوبات موضحة للعاملين ومن هنا تأتي أهمية عرض السياسات الأمنية على أحد المتخصصين في الأنظمة والقانون.
تقنية المعلومات عموماً بما فيها الشبكات تساعد على انتقال واستخدام البيانات، وفي أغلب المنشآت بغض النظر عن طبيعتها يتم التركيز على البيانات وطريقة توزيعها، ولذلك لا يكفي أن تكون هناك سياسة للتعامل مع البيانات، ولكن يجب أيضاً وضع سياسة لمراقبة هذا الأمر.
وهناك أهمية كبيرة لوضع سياسات مناسبة عند تبادل البيانات مع منشآت أخرى، مثل البيانات المهمة التي تمتلكها المنشأة، البيانات الشخصية للعملاء والتي حصلت عليها بإحدى الطرق النظامية كموقعها على الإنترنت أو سجلات المشترين أو مكالمات الهاتف وغيرها، ومن المهم أن تشتمل السياسات الأمنية على بند أو أكثر يوضح كيف يتم التعامل مع هذه البيانات.
هناك سياسة أخرى مهمة وهي سياسة قبول الاستخدام، والتي يجب على المستخدم التوقيع عليها عند فتحه لحساب يمكنه من استخدام نظام الحاسب الآلي الخاص بالمنشأة، فيجب أن تحتوي هذه السياسة الأمنية على أمور كثيرة منها مسؤوليات المستخدم في حماية البيانات الموجودة تحت تحكمه، وتحديد هل بإمكانه استخدام ونسخ الملفات غير المملوكة له ولكن يمكنه الدخول عليها، وكذلك تحديد الاستخدام المسموح به للبريد الإلكتروني والإنترنت، وأيضاً الاستخدام الشخصي للموارد كالطابعات.
بطبيعة الحال قد تكون هناك سياسات خاصة لكل أمر من الأمور السابقة، ولكن في بعض المنشآت الصغيرة والتي لا يوجد لديها استخدام كبير لتقنية المعلومات، فقد يتم الاكتفاء بعدد قليل من السياسات الأمنية، أما المنشآت الكبرى فقد يكون لديها عدد كبير من السياسات الأمنية.
مسؤولية أمن المعلومات لا تقع على المستخدمين فقط، ولكن للإدارة دوراً كبيراً أيضاً في المحافظة على أمن المعلومات، وكذلك دور للمتخصصين في تقنية المعلومات لأنهم هم من يستطيع إجبار المستخدمين على تطبيق السياسات الأمنية في بعض جوانبها، وكذلك المراقبة ومتابعة التنفيذ.
من المعلوم أن أمن المعلومات ليس بالشيء السهل الذي يمكن شراؤه من محلات تقنية المعلومات، وهو مهم للإدارة ولقسم تقنية المعلومات لمتابعة تنفيذه وصيانته، وأمن المعلومات لا يأتي إلا بعد تحليل المخاطر والتكاليف والمتطلبات للتأكد من أن أمن المعلومات ليس أكثر من اللازم، بحيث لا يمكن الدخول على البيانات، وليس فضفاضاً وضعيفاً بشكل كبير.
وتلعب الإدارة دوراً كبيراً في التحليل وإقناع التقنيين لتنفيذ السياسات الأمنية.
إحدى الوسائل الجيدة للتوافق بين الإدارة وقسم تقنية المعلومات هي تكوين لجنة خاصة لأمن المعلومات، ومن مهام هذه اللجنة مراجعة التغييرات المطلوبة في سير العمليات داخل المنشأة وكيف يمكن لسياسات أمن المعلومات أن تساعد في تنفيذ هذه التغيرات، ويجب أن تكون هذه اللجنة من ممثلين من عدة إدارات في المنشأة، وأحد هؤلاء الأعضاء أو أكثر يكون من ذوي المراتب العليا، ليعطي هذه اللجنة القوة الإدارية المناسبة.
المنشآت الكبيرة في العادة يكون فيها قسم متخصص لأمن المعلومات، أما المنشآت الصغيرة فعادة يتولى أمن المعلومات مركز المعلومات أو قسم الحاسب الآلي، ممثلاً بأحد العاملين أو مجموعة منهم، يكون لديهم إلمام وعناية بكل ما له علاقة بأمن المعلومات ومتابعة كل جديد في هذا المجال، إن المهام المناطة بقسم أمن المعلومات، هي تنفيذ السياسات الأمنية ومتابعة تحديثها باستمرار، وكذلك وضع المقاييس التي يجب اتباعها وطريقة تنفيذ السياسات الأمنية وكل ما يتعلق بها.
إن القسم المسؤول عن أمن المعلومات لا يكتفي بالدور التنفيذي للسياسات الأمنية فقط، بل عليه أن يقوم بدور توعوي وتثقيفي بالتوازن مع دوره في إجبار المستفيدين على تنفيذ السياسات الأمنية.
ومن المعلوم أن العامل الإنساني هو أضعف منطقة في السلسلة الأمنية، لذلك فإن ممارسة الدور التثقيفي من قبل قسم أمن المعلومات جنباً إلى جنب مع التنفيذ سيكون له دور كبير في إنجاح السياسات الأمنية وسرعة تطبيقها وتوضيح أهميتها وفوائدها للمستفيدين، مما يساعد على جودة التنفيذ من قبلهم.
هناك وسائل كثيرة لتثقيف العاملين وتوعيتهم، منها إصدار مجموعة من النشرات التثقيفية، وإصدار نشرة إخبارية دورية مختصرة تتضمن مواد تثقيفية، وأخباراً من داخل المنشأة عن بعض المشاكل ذات العلاقة بأمن المعلومات، وتنفيذ محاضرات أو دورات تدريبية قصيرة لمدة يوم أو نصف يوم في مجال أمن المعلومات، وتكون إجبارية للعاملين.
إذا افترض أن السياسات الأمنية قد كتبت، وتمت مراجعتها، وبعد ذلك تطبيقها، وأن المستفيدين قد ثقفوا ودربوا، وعرفوا أهمية أمن المعلومات، فإن السياسات الأمنية تحتاج إلى تحديث وتطوير لأسباب عديدة، مثل التطور السريع في تقنية المعلومات، ووسائل الحماية، والتطور المستمر في أعمال المنشآت، والتأثير السلبي لسياسات أمن المعلومات المطبقة حالياً، على أداء المنشأة، وضعف سياسات أمن المعلومات المطبقة حالياً.
نهاية.. فمن المهم أن ندرك أنه لا يوجد مدة محددة لمراجعة السياسات الأمنية، ولكن في السنوات الأولى لتطبيق السياسة، قد تكون المراجعة النصف سنوية جيدة، وبعد ثبات السياسة تكون المراجعة بصفة سنوية، وينطبق على مراجعة وتحديث السياسات الأمنية ما ينطبق على إقرارها من الأساس، ككسب لتأييد الإدارة العليا، ويفضل أن يكون هناك لجنة أو فريق عمل لمراجعة السياسات الأمنية، وهذا الفريق يتكون من ممثلين من الجهات المستفيدة والمتأثرة بهذه السياسات، بالإضافة للتقنيين ومندوب للإدارة القانونية.
ويجب جمع ملاحظات المستفيدين وغيرهم بما يخص السياسات الأمنية خلال فترة المراجعة والتحديث (ستة أشهر أو سنة) للمساعدة في مراجعة وتحديث سياسات أمن المعلومات.


m_alqasem@yahoo.com

..... الرجوع .....

تحت الضوء
الفن السابع
الفن العربي
المنزل الانيق
نادي العلوم
خارج الحدود
السوق المفتوح
استراحة
تقرير
إقتصاد
منتدى الهاتف
تحقيق
مجتمعات
من الذاكرة
جزيرة النشاط
شباب
x7سياسة
الحديقة الخلفية
شاشات عالمية
رياضة
ملف
الصفحة الرئيسة

ارشيف الاعداد الاسبوعية

ابحث في هذا العدد

للاشتراك في القائمة البريدية

للمراسلة


توجه جميع المراسلات التحريرية والصحفية الى chief@al-jazirah.com عناية رئيس التحرير
توجه جميع المراسلات الفنية الى admin@al-jazirah.com عناية مدير وحدة الانترنت

Copyright 2002, Al-Jazirah Corporation, All rights Reserved