المهندس إسماعيل بابكر محمد احمد يكتب : سياسة أمن المعلومات!!
لايخفى على أي إنسان أهمية الحاسوب والمعلومات التي يحتفظ بها هذه الأهمية تستدعي المحافظة على الحاسوب كجهاز ثابت والمعلومات كمادة تنتقل من جهاز إلى آخر.
وسياسات أمن المعلومات هي إحدى الوسائل المهمة للمحافظة على أمن الحاسوب والذي يشمل المخاطر التي يتعرض لها أو المعلومات التي يحتفظ بها، وهذه المخاطر قد تكون مقصودة بهدف السرقة أو التخريب أو طبيعية نتيجة إهمال أو عوامل خارجية كالحريق.
أن المشكلات الناتجة عن جرائم المعلومات كبيرة جداً ولذلك فإن من الأهمية عمل الإجراءاتط اللازمة للمحافظة على أمن الحاسوب بكيانيه المادي (الأجهزة) وغير المادي البرامج والبيانات
وهناك طرق عديدة للمحافظة على هذين الكيانين وإحدى هذه الطرق والوسائل وضع السياسات الأمنية المناسبة التي تكفل التأكد والمتابعة والتنفيذ لها ولا تتوقف هذه السياسات على منع الجريمة ولكنها أشمل من ذلك بكثير، وهي تشمل محاولة المحافظة على وقت العاملين بعدم إساءة استخدامه فيما ليس له علاقة بالعمل كالإنترنت بصفة عامة أو زيارة بعض المواقع التي لا علاقة لها بالعمل، أو البريد الإلكتروني وغيرها
وقد كان للإنترنت دور كبير في زيادة الاهتمام بسياسات أمن المعلومات لأنها أتاحت الفرصة للكثيرين للوصول لشبكات المعلومات الخاصة بالمؤسسه ولذلك فإن دورها كبير في الكثير من الجرائم والمخالفات التي تتعرض لها مراكز المعلومات في العالم إن شراء جدار ناري وبرامج مضادة للفيروسات ليس كافياً لحماية شبكات أي مؤسسه فالسياسات الأمنية تقوم بوضع الخطوط العريضة لمعرفة المقاييس الأمنية التي يجب على المنشأة أن تتبعها، فهي تشرح أمن المعلومات في المؤسسه بعبارات عامة وبدون تفصيل.. أي أنها عبارة عن مخطط أو برنامج عمل لأمن المعلومات ومن المهم توضيح أن سياسة أمن المعلومات لا تتضمن الطريقة التي يتم بواسطتها تنفيذ السياسة، ولكنها توضح الأهداف المطلوب تحقيقها.
من المهم دائماً عند إنشاء سياسات أمن المعلومات كسب تأييد ودعم الإدارة العليا.. فاهتمامها ودعمها يضمن اهتمام الموظفين بسياسات أمن المعلومات وتنفيذها، وإنشاء وتنفيذ سياسات أمن المعلومات بدون دعم مباشر من الإدارة العليا سيؤدي إلى غالفشل الذريع والأكيد لسياسات أمن المعلومات، وهناك العديد من الوسائل التي تساعد على كسب تأييد الإدارة العليا ومنها توضيح القيمة الحقيقية للمعلومات وأنها مورد مهم للمؤسسه وكذلك الشرح حول إمكانية حصول عاملين من داخل المؤسسه على معلومات لا يحق لهم الاطلاع عليها، وكذلك إمكانية دخول أطراف من خارج المؤسسه والاطلاع على معلومات وتدميرها.
ومن الطرق الجيدة لكسب تأييد الإدارة العليا هو اطلاعهم على المقالات والكتب المتخصصة في هذا الموضوع، وكذلك التعرف على قصص حقيقية لبعض المؤسسات التي تضررت بسبب عدم وجود وتطبيق سياسات أمن معلومات بها.
ومع أن الكثير من الباحثين في هذا المجال يؤكدون على أن وجود السياسات الأمنية المناسبة يعتبر الخطوة الأساسية للخطط الأمنية إلا أن ما يزيد على٧٥٪ من المؤسسات لا يوجد لديها سياسات أمنية أو أن سياساتهم الأمنية قديمة وغير محدثة).
عند التفكير في كتابة سياسة أمن المعلومات في المؤسسه فيجب معرفة من يهتم بها، ويمكن تقسيم المهتمين بسياسة أمن المعلومات إلى ثلاث فئات كالتالي:
– المستخدمون وهم أكثر المتأثرين بسياسات أمن المعلومات.
– موظفو الدعم الفني، لأنهم مطالبون بتنفيذ وتأييد هذه السياسات.
– الإدارة والتي تهتم بحماية المعلومات وكذلك التكلفة المصاحبة لها.
القاعدة العامة أن الناس لا يحبون المنع ووضع القيود، والسياسات الأمنية ما هي إلا قيود عند التعامل مع المعلومات في المؤسسه والعاملون بصفة عامة يخشون من عدم قدرتهم على إنجاز أعمالهم في وجود هذه القيود، وكذلك فإن العاملين في أقسام الدعم الفني يخشون من عدم قدرتهم على إدارة مراكز المعلومات في ظل وجود هذه القيود، وكذلك تخشى الإدارة التكلفة الزائدة لتنفيذ سياسات أمن المعلومات مقارنة بالفوائد التي سوف تجنيها لنا وهي حماية المعلومات، من شبه المستحيل أن توافق كل الأطراف على سياسة أمن معلومات واحدة ولكن يجب الوصول إلى سياسة أمن معلومات مناسبة للجميع ولا ننسى أبداً القاعدة الشرعية التي تقول (لا ضرر ولا ضرار).
في الكثير من المنؤسسات لا يتم التفكير في كتابة وتنفيذ سياسات أمن المعلومات إلا بعد وقوع المشكلة
الأمنية الأولى، ولكن عند تلك النقطة يجب التفكير ووضع الخطط الكفيلة بتغطية جميع المشاكل الأمنية المحتمل وقوعها مستقبلاً، لكن ينبغي معرفة أن كتابة سياسات أمن المعلومات لمؤسسة ما في المراحل الأولى لتطويرها وإنشائها، أسهل بكثير من كتابتها لمؤسسات قائمة
من المهم وجود سياسات لأمن المعلومات عند الرغبة في التقاضي من المخالفين والمخربين.. فالمحاكم في أحيان كثيرة لا تعترف بالعرف أو الواجب، ولكنها بسهولة تقتنع عند وجود سياسات أمنية متفق عليها ومطبقة.
إن السؤال الملح جداً هو كمية وعدد سياسات أمن المعلومات التي يجب كتابتها؟..
يعتمد العدد على حجم وطبيعة وأهداف المؤسسة ونوعية الحماية المطلوبة، وهناك إستراتيجيتان أساسيتان لوثيقة سياسة أمن المعلومات، الأولى أن يكون لدينا وثيقة واحدة شاملة، والثانية أن يكون هناك عدة وثائق صغيرة، وهي أسهل للتنفيذ والتعديل، كذلك تكون مفهومة بشكل أكبر للمستفيدين، ومن الأمثلة على سياسات أمن المعلومات
الأمن المادي (الأجهزة) الشبكات، أمن الإنترنت البريد الإلكتروني الحماية من الفيروسات.. إلخ.
من أهم شروط سياسة أمن المعلومات أن تنفذ وتمنح القوة في التنفيذ، وأن تكون مختصرة وواضحة وسهلة الفهم، ومنظمة منطقياً، ودائماً يجب الموازنة بين الحماية والإنتاجية).
كما يجب أن يكون مجال وأهداف السياسة واضحاً جداً، وأن تراجع من قبل المتعاملين بها بأنواعهم، وكذلك المنفذون لها، ومن أجل توضيح أسباب وجود سياسة أمنية فيفضل أن يتم ذكر أسباب الحاجة للسياسة، وماذا تغطي، ويكون هناك تعريف بالمسؤولين عن السياسة، وكذلك شرح عن كيفية التعامل مع المخالفات والمخالفين.
أحد أهداف السياسات الأمنية، حماية الممتلكات المعلوماتية للمؤسسة وبصفة عامة لا يوجد أي ممتلكات أو بيانات محمية 100% ضد السرقة، فإذا كان الهاكر (المخرب) لديه النية والصبر والمهارة فلا يوجد نظام لا يمكن اختراقه ولا يوجد حل يصمد كثيراً، فتحديد صلاحيات الدخول على كل نظام وكل شبكة مهم جداً، في كثير من الأحيان قد يكون للشبكة نظام يساعد على التأكد من الدخول على الشبكة، ولكن ذلك ليس متوفراً لكل الأنظمة في الغالب،
ومعرفة من يحق له الحصول على المعلومات ومن لا يحق له يساعد على كتابة السياسات الأمنية وتوجيهها بشكل مناسب، ويجب أن ندرك أن الجزء المتعلق بالعاملين هو دائماً أضعف جزء في السياسات الأمنية.
بعد تحديد صلاحية الدخول، يجب تحديد الوسائل التي يتم عن طريقها حث وإرغام العاملين على التقيد بهذه الصلاحيات، وكذلك توضيح العقوبات التي ستنفذ على المخالف عند عدم التقيد بهذه السياسات الأمنية، نظاماً يجب أن تكون العقوبات موضحة للعاملين ومن هنا تأتي أهمية عرض السياسات الأمنية على أحد المتخصصين في الأنظمة والقانون.
تقنية المعلومات عموماً بما فيها الشبكات تساعد على انتقال واستخدام البيانات، وفي أغلب المؤسسات بغض النظر عن طبيعتها يتم التركيز على البيانات وطريقة توزيعها، ولذلك لا يكفي أن تكون هناك سياسة للتعامل مع البيانات، ولكن يجب أيضاً وضع سياسة لمراقبة هذا الأمر.
وهناك أهمية كبيرة لوضع سياسات مناسبة عند تبادل البيانات مع مؤسسات أخرى، مثل البيانات المهمة التي تمتلكها المؤسسة البيانات الشخصية للعملاء والتي حصلت عليها بإحدى الطرق النظامية كموقعها على الإنترنت أو سجلات المشترين أو مكالمات الهاتف وغيرها، ومن المهم أن تشتمل السياسات الأمنية على بند أو أكثر يوضح كيف يتم التعامل مع هذه البيانات.
هناك سياسة أخرى مهمة وهي سياسة قبول الاستخدام، والتي يجب على المستخدم التوقيع عليها عند فتحه لحساب يمكنه من استخدام نظام الحاسوب الخاص بالمؤسسه فيجب أن تحتوي هذه السياسة الأمنية على أمور كثيرة منها مسؤوليات المستخدم في حماية البيانات الموجودة تحت تحكمه، وتحديد هل بإمكانه استخدام ونسخ الملفات غير المملوكة له ولكن يمكنه الدخول عليها، وكذلك تحديد الاستخدام المسموح به للبريد الإلكتروني والإنترنت، وأيضاً الاستخدام الشخصي للموارد كالطابعات.
بطبيعة الحال قد تكون هناك سياسات خاصة لكل أمر من الأمور السابقة، ولكن في بعض المؤسسات الصغيرة والتي لا يوجد لديها استخدام كبير لتقنية المعلومات، فقد يتم الاكتفاء بعدد قليل من السياسات الأمنية، أما المؤسسات الكبرى فقد يكون لديها عدد كبير من السياسات الأمنية.
مسؤولية أمن المعلومات لا تقع على المستخدمين فقط، ولكن للإدارة دوراً كبيراً أيضاً في المحافظة على أمن المعلومات وكذلك دور للمتخصصين في تقنية المعلومات لأنهم هم من يستطيع إجبار المستخدمين على تطبيق السياسات الأمنية في بعض جوانبها، وكذلك المراقبة ومتابعة التنفيذ.
من المعلوم أن أمن المعلومات ليس بالشيء السهل الذي يمكن شراؤه من محلات تقنية المعلومات، وهو مهم للإدارة ولقسم تقنية المعلومات لمتابعة تنفيذه وصيانته، وأمن المعلومات لا يأتي إلا بعد تحليل المخاطر والتكاليف والمتطلبات للتأكد من أن أمن المعلومات ليس أكثر من اللازم، بحيث لا يمكن الدخول على البيانات، وليس فضفاضاً وضعيفاً بشكل كبير.
وتلعب الإدارة دوراً كبيراً في التحليل وإقناع التقنيين لتنفيذ السياسات الأمنية.
إحدى الوسائل الجيدة للتوافق بين الإدارة وقسم تقنية المعلومات هي تكوين لجنة خاصة لأمن المعلومات، ومن مهام هذه اللجنة مراجعة التغييرات المطلوبة في سير العمليات داخل المؤسسه وكيف يمكن لسياسات أمن المعلومات أن تساعد في تنفيذ هذه التغيرات
المهندس إسماعيل بابكر محمد احمد
مستشار أمن المعلومات
مركز القادة للتدريب والاستشارات.. دبي
