امن معلوماتي #1

أمن المعلومات و المعلومات الخاطئة !!!

من الشائع لدى كثيرٍ من الناس أن أمن المعلومات يعني الحفاظ على سريتها فقط!! لا ننكر أهمية سرية المعلومات، فهي عنصر مهم من عناصر أمن المعلومات، ولكنها قطعاً لا تُمثل كامل عمليات أمن المعلومات.

فلتنظر إلى المعلومات الشخصية والطبية لمريض في إحدى المستشفيات، يستطيع المستشفى أن يطلب من الطبيب بعد الكشف على المريض أن يضع الملف في مظروف و يغلقه بالشمع الأحمر، ثُم يُحفظ الملف في خزينة آمنة داخل غرفة خاصة، تصور معي !!! أيضاً  يُوضع مفتاح الخزينة لدى شخص ومفتاح الغرفة لدى شخص آخر !!! كل ذلك لضمان سرية المعلومات وعدم إطلاع أحدهم على هذه المعلومات إلا بتقديم طلب، و عن طريق الشخصان اللذان يملكا مفتاحي الخزينة و الغرفة يتم الحصول على ملف المريض، وعن طريق الطبيب المختص يتم فتح الظرف.

بكل تأكيد فإن المعلومات في هذه الحالة تظلُّ سرية ولم يطلع عليها إلا الطبيب عند فتحة للظرف الذي أغلقه الطبيب السابق. ولكن هل معلومات هذا المريض آمنة؟ فكر قليلاً… الجواب لا، سأبين لك السبب، في حالة حضور المريض للإسعاف في وقت متأخر من الليل، فلن نستطيع الحصول على ملفه بسبب عدم وجود من يملك المفاتيح.

إن أمن المعلومات يتضمن الإجراءات المتخذة لضمان وصول المعلومات للأشخاص المصرح لهم فقط وفقاً لصلاحياتهم سواءً إطلاعاً، تعديلاً أو حذفاً أو كلاهما، وذلك يتطلب إجراءاتٍ محددة وخبرةً ومهارات، ومعرفة بطرق حماية المعلومات.

أبعادُ أمن المعلومات، سرية، سلامة و توفر

• السرية تعني تأمين المعلومات بحيث يكون الوصول للمعلومة مقتصراً على الأشخاص المخولين بذلك فقط. ولذلك فإن إنتهاكات السرية تحدث للبيانات التي لم تعالج بأسلوب مناسب للتأكد من سريتها. ومن نماذج إنتهاكات السرية التي يمكن أن تحدث للمعلومات، الوصول إلى المعلومة في الحاسب بطريقة غير مشروعة، أو إفشاء المعلومة وتداولها شفهياً بين الأشخاص، أو طباعة المعلومات بحيث يمكن الحصول عليها بسهولة، أو نسخها أو إرسالها عبر البريد الإلكتروني. بناءً على تصنيف أهمية المعلومات يمكن تصنيف درجة السرية ومن ثم أتحاذ الإجراءات اللازمة لحمايتها.
• السلامة تعني ضمان إعتمادية مصادر المعلومات بحيث لا تُغيّر المعلومة إلا من قبل الأشخاص المخولين بذلك. و تتكون من شِقَّان:
  • سلامة المعلومات: أن المعلومة لم تغير بشكل غير ملائم سواء بالصدفة أو من قبل عمل متعمد، يتضمن مفهوم سلامة المعلومات أن المعلومة أدخلت بشكل صحيح، بحيث تعكس الظروف الحقيقية للمعلومة، وتحت نفس الظروف سوف تنتج نفس المعلومة المتوقعة من غير تعديل أو تغيير.
  • سلامة المصدر: تعني أن المعلومات تم الحصول عليها من المصدر الأصلي.

ولذا يمكن إيجاز مفهوم سلامة البيانات بتلك الإجراءات التي تضمن حفظ المعلومات خلال مراحل إدخالها أو نقلها عبر البريد الإلكتروني أو أي وسيلة أخرى إلى الحاسب أو الشبكة الناقلة بحيث نحافظ على سريتها وسلامتها.

• التوفر يعني توفر المعلومات وقت الحاجة إليها ولذا فإن عدم توفر المعلومة وقت الحاجة إليها يماثل عدم وجود المعلومة أصلا وفي بعض الأوقات يكون عمل المنشأة معتمدا اعتمادا كاملا على المعلومات، مثل مكاتب الجوازات في المطارات.

الأخطار التي تهدد توفر المعلومات

1. رفض الخدمة ويشير إلى الأفعال التي تعطل خدمات نظم المعلومات وشبكاتها بصورة لا يمكن للأشخاص المصرح لهم إستعمال الحاسب والاستفادة منه والوصول إلى المعلومات المطلوبة.
2. فقدان قدرة معالجة البيانات كنتيجة للكوارث الطبيعية أو أفعال الإنسان والتي عادة ما تكون أكثر انتشارًا ومكمن معظم الأخطار، ومثل هذه الأخطار غالبا يمكن تفاديها أو التخفيف من أضرارها بتصميم خطط للطوارئ تساعد على تقليل الوقت الذي تكون فيه المعلومات غير متوفرة.

إن مستوى الحفاظ على سرية المعلومة وسلامتها وتوفرها يعتمد بشكلٍ كبيرٍ على بيئة العمل وكذلك إجراءات المنع والاكتشاف. وفي نفس الوقت تعتمد مقاييس وتطبيق أمن المعلومات من الناحية العملية على طبيعة نظم المعلومات في المنظمة وإحتمالات الإختراق.

إطرح على نفسك هذا السؤال البسيط: هل منزلك آمنٌ من السرقة؟ في بعض الحالاتِ تكتفي بالتأكد من إقفال الأبواب والنوافذ، بينما نجد أنه إذا احتوى المنزل على أشياءَ ثمينة أو كانت البيئة المحيطة بالمنزل غير آمنة، فإن الإجراءات تكون أكثر صرامة! فتحتاج إلى كاميراتِ مراقبةٍ أو حارسٍ للمنزل، عموماً ستتّبعُ معاييراً أُخرى للسلامةِ أكثر أمناً. وهذا السؤال ينطبق على أمن المعلومات، سواءً كانت تلك المعلومات أمنية، عسكرية، بنكية، أو معلومات أخرى بسيطة.

غنيٌ عن القول أن الأبعاد الأساسية الثلاث لإدارة أمن المعلومات (السرية، والسلامة، والتوفر) لابد من توفرها في كل النظم، ولكن قد يغلب أحدها على الآخر حسب طبيعة المعلومات والمنظمة والظروف المحيطة بها. والأهم من ذلك كله التوازن بين المنع والإستخدام. ومن المعروف أن إتخاذ قرار المنع الكلي سهل جداً، ولكنه غير مناسب، وغير مفيد.