وما نيل (الأمن) بالتمني ..!

كتبها · 25 July, 2012

(حول أمن المعلومات في المؤسسات)

أن تبدأ المؤسسة في الاهتمام بتأمين معلوماتها هي الخطوة الأولى في تحقيق جودة عملها و”الحفاظ على” نجاحها. ومن الضروري جداً أن نغير المفهوم حول أمن المعلومات والذي قد يعتبره البعض حجر عثرة في تسريع الإنتاجية أو تسريع العمليات الحيوية في المؤسسة. نعم، إن فرض ضابط أمني مادي- على سبيل المثال- قبل دخول زوار مؤسستك إلى داخل المبنى كطلب الاسم وإظهار الهوية قد يسبب تأخيراً (مدته خمس دقائق على الأكثر) لكنه – بالمقابل – سيجنبك مخاطر كثيرة إن كان الزائر ينوي الإضرار بمؤسستك، وقِس على ذلك. إن أمن المعلومات قد صُممّ لتفادي المشكلات وتقليل المخاطر كي لا نعض أصابع الندم في حال حدوث أية حادثة أمنية.

قد يكون أمن المعلومات من أكثر المجالات تجدداً من حيث التحديات الموجودة، وما يُفترض على المؤسسة أن تقوم به قد يبدو لوهلة كثيراً؛ فهل ستبدأ بإضافة أدوات أمنية تقنية لحماية شبكاتها؟ أم ستقوم بتقييم المخاطر أم توعية المستخدمين أم إنشاء فريق يعنى بأمن المعلومات أم أم أم؟ هناك الكثير من الأمور التي يجب الإلمام بها. لكن، هل يعني هذا أن تأمين المعلومات في المؤسسات هو المهمة المستحيلة؟ ليس بالضرورة.

ما الذي يلزم مؤسستك لتحرص على تأمين معلوماتها؟ كل ما تحتاجه – من وجهة نظري- هو معادلة من أربعة عوامل: التخطيط الجيد، الدعم من الرؤساء أو الإدارة العليا، التعاون، والاستمرارية أو بمعنى آخر (أن لا تكلّ ولا تملّ في بذل الجهد). يدعو الخبراء دوماً إلى التعامل مع أمن المعلومات بطريقةٍ احترافية؛ وهذا يعني عدم اعتبار أمن المعلومات كمشروع اعتيادي أو أنه ينحصر في تعيين شخص مسؤول داخل قسم تقنية المعلومات وحسب. بل بالمقابل، النظر إلى أمن المعلومات كنظام متكامل داخل المؤسسة له أهداف وقواعد ومسؤوليات محددة يسمى نظام إدارة أمن المعلومات Information Security Management System ويقوم هذا النظام على ثلاثة محاور رئيسية: الأشخاص، العمليات، التكنولوجيا، وأضيف مؤخراً محور آخر هو المؤسسية.

لكل محور خصائص معينة تمثل دورها في المساهمة في تطبيق أمن المعلومات، بيد أن جميعها أساسية لا يمكن الاستغناء عنها. فالاهتمام بتوفير أحدث وأقوى الوسائل (التكنولوجية) كإضافة الجدار الناري (Firewall) أو نظام مكافحة الاختراقات  IPS لن يحقق الفائدة في تأمين الشبكات إن كان الإداري المعني بهذه البرامج يستخدم كلمة سر افتراضية أو سهلة التخمين. وهنا نشير إلى أهمية توعية (الأشخاص) بمبادئ أمن المعلومات. كذلك دعم الإدارة العليا لبرنامج أمن المعلومات (وهو أحد محاورالمؤسسية) لن يأتِ بفائدة إذا لم تكن هناك (عمليات) محددة، وواضحة لخط سير العمل وكيفية حماية المعلومات الحساسة.

الاهتمام بكل محور من هذه المحاور هو الحل الأمثل للوصول إلى أفضل درجة من تأمين المعلومات بالمؤسسة. لكن وقبل أن تشرع المؤسسة في حماية ممتلكاتها، لابد من أن تعلم ما لها وما عليها. فالتخطيط الجيد هو أساس كل نجاح . ومن بين الأمور التي يجب دراستها ومعرفتها تحديد الأهداف التي ترجو منها المؤسسة عند تطبيق أمن المعلومات. الهدف الأشمل سيكون بالطبع حماية الممتلكات المعلوماتية للمؤسسة وضمان استمرارية عملها. لكننا نقصد هنا الأهداف الاستراتيجية التي تجعل أمن المعلومات غايةً ملموسة لا تحيد عن أهداف المؤسسة العامة. كذلك لابد من دراسة وضعها الأمني الحالي، الوضع الأمني الذي ترغب بالوصول إليه، المخاطر التي تهدد سير عمليات المؤسسة، الموجودات (الممتلكات) والنواقص، ووضع خطة استراتيجية عامة تتحدد فيها الأولويات، وآليات العمل معززة بخطة زمنية.

من جانب آخر، من الضروري اطلاع الإدارة العليا ومعرفتها بهذه الخطة؛ فكل التجارب تثبت أنه بلا “مباركة” الإدارة العليا مادياً ومعنوياً ودعمها لمشروع تطبيق أمن المعلومات، فإن الكثير من العقبات ستظهر ولاشك. لذا، فإن اختصار الطريق من البداية سيوفر الكثير من الوقت والجهد المبذول. من الأمور الأساسية أيضاً التعاون بين كافة إدارات المؤسسة بلا استثناء. فعلى سبيل المثال، من المراحل الأولية في تحقيق أمن المعلومات خطوة تسمى “تصنيف الممتلكات” أو “تصنيف الأصول”، وهي خطوة تتطلب من جميع المسؤولين تحديد الممتلكات المعلوماتية داخل أقسامهم، وإبراز أهميتها الأمنية، ومدى تأثيرها على عمل المؤسسة، ومن ثم تحديد الطرق المناسبة لحمايتها. إن خطوة مثل هذه لا يستطيع القيام بها أي شخص آخر وإن كان متخصصاً في أمن المعلومات لأنها تتطلب بالضرورة إلماماً بحيثيات العمل داخل المؤسسة وخط سيره وأهميته. التوعية الأمنية – كمثال آخر- دليل على أهمية التعاون المؤسسي. فبإمكان أي شخص ملم أو أي مسؤول تعليم موظفيه قواعد الاستخدام الآمن للإنترنت. وإذا اعتبرنا وجود تعاون بين كل موظفي المؤسسة في القيام بدورهم في توعية أنفسهم وتطبيق الممارسات الأمنية السليمة خلال عملهم فهذا في حد ذاته مساهمة كبيرة في تحقيق أمن المعلومات.

الاستمرارية والمتابعة شرط من شروط الأمن؛ هل تستطيع دولة أن تضع معدات أمنية على حدودها الجغرافية ثم تجعلها في خبر كانَ بحجة أنه تم استيفاء شروط الأمن الحدودي؟ كلا بالتأكيد. لابد من تعيين مسؤولين متابعين، ولابد من تحديث الأدوات ولابد أيضاً من مراجعة سير العمليات الأمنية. فالمخاطر – ولاسيما في عالم التكنولوجيا- في تزايد وفي تعقيد مستمرين فلابد إذاً من التحديث والتطوير والمتابعة. هناك الكثير من الوسائل المساعدة لجعل نظام إدارة أمن المعلومات فعالاً ومنها اعتماد سياسة أمنية تحدد تناسق الجهود تحت إطار شامل. تتوفر الكثير من السياسات الدولية والمحلية في هذا المجال والتي يمكن لأي مؤسسة أن تتبناها وتبني برنامجها الأمني على أساسها. أيضاً التقييم الدوري لأهداف أمن المعلومات، ومدى استطاعة المؤسسة في تحقيق هذه الأهداف، ودراسة العقبات والتحديات من شأنه أن يحقق تطويراً ملحوظاً.

المهم في هذا السياق أن تدرك المؤسسة بأن أمن المعلومات ليس مشروعاً يُنفذ ويرمى على الرف بل هو نظام أو برنامج استمراري وجوده سيضيف ليس فقط حماية للمؤسسة من الحوادث الأمنية كالاختراقات وغيرها بل أيضاً سيكون إضافة لتحسين كفاءة عمل المؤسسة والارتقاء بجودتها. وعلى غرار ما قال الشعراء: و ما نيل (الأمن) بالتمني، ومن طلب (الأمن) سهر الليالي.

Post By دانة العبدالله (1 Posts)

Connect

تعليقك