نشر الطمأنينة و بناء الثقة في العصر الرقمي

استراتيجية أمن المعلومات

عبد المجيد ميلاد مهندس عام في تكنولوجيا المعلومات و الاتصال

صدر بجريدة "الصباح" في 16 مارس 2006
 

لقد احتل مصطلح أمن المعلومات مكانة خاصة منذ القدم و حتى قبل نشأة الكمبيوتر و الحوسبة، إلا أن استخدامه ازداد شيوعا في ميدان خزن البيانات و معالجتها و نقلها باعتماد الوسائل الحديثة لتكنولوجيا المعلومات و الاتصال. و مع انتشار الحواسيب و شبكات الاتصال و التفاعل معها و تبادل المعلومات عبرها و خصوصا شبكة الإنترنت العالمية المحتوية حاليا على زاد معلوماتي ثري ناتج عن عشرات الملايين من مواقع الويب و مليارات الصفحات، تجاوز هذا المصطلح استخدامه التقليدي و ظهرت تعبيرات جديدة تتصل بحماية المعلومات و أمنها مثل الأمن السيبراني و مكافحة الجريمة الإلكترونية و حماية الأنظمة من الاختراقات و الفيروسات و غيرها.

ماهية استراتيجية أمن المعلومات و أغراضها

يمكن، من الناحية العلمية، تعريف أمن المعلومات بأنه البحث في السياسات و الاستراتيجيات التي ينبغي توخيها لحماية المعلومات من مختلف الاعتداءات التي قد تتعرض لها و المخاطر التي يمكن أن تهددها. أما، من الناحية العملية، فهي مجموعة الوسائل و التدابير و الإجراءات التي يجب توفيرها لتأمين حماية المعلومات من المخاطر المتأتية سواء من داخل بيئة المعلومات محل الحماية أو من خارجها. 

أما استراتيجية أمن المعلومات فهي مجموعة القواعد التي تتعلق بالوصول إلى المعلومات و التصرف فيها و نقلها داخل هيكل يعتمد المعلومة عنصرا أساسيا في تحسين أدائه و بلوغ أهدافه. و تهدف هذه الاستراتيجية بالخصوص إلى التعريف بواجب مستخدمي نظم المعلومات و مختلف الإداريين الذين لهم صلة مباشرة أو غير مباشرة بتلك النظم بواجباتهم لحماية الحواسيب و الشبكات و المعلومات في مختلف مراحل جمعها و تحصيلها داخل الحاسوب و خزنها و معالجتها و استرجاعها عند الحاجة و نقلها عبر الشبكات. و تهدف تلك الاستراتيجية كذلك إلى ضبط الآليات التي تمكن من تنفيذ التزامات كل من له علاقة بنظم المعلومات و تحديد المسؤوليات عند حصول الخطر. و تبين نفس الاستراتيجية الإجراءات التي ينبغي اتباعها تفاديا لما قد يحدث من تهديدات و مخاطر و كيفية التعامل معها عند حصولها.

و يشمل الغرض من إعداد استراتيجية أمن المعلومات ضمان  توفر ما يلي من عناصر أساسية تؤمن الحماية الكافية للمعلومات و نظمها :

§        السرية (la confidentialité) : وهي التأكد من أن المعلومات لا يمكن الاطلاع أو الحصول عليها من قبل أطراف غير مسموح لهم بذلك. وهي خدمة تساعد على إخفاء المعلومات باستعمال وسائل عديدة مثل عملية التشفير أو منع التعرف على حجم تلك المعلومات أو مسار و محطات إرسالها.

§        التعرف (Authentification) وهو التأكد من هوية مستخدم نظم المعلومات عندما يريد التعامل معها، و التثبت من أنه هو المستخدم نفسه. و تعد خدمة التعريف من أحسن وسائل الوقاية من أعمال التخفي و التسبب في المخاطر، و اشهرها استعمال ما يعرف بكلمات السر أو كلمات العبور.

§        الوثوقية أو سلامة المحتوى (l'intégrité) : وهي التأكد من أن المعلومات صحيحة و لم يتم تعديلها أو تدميرها في أي مرحلة من مراحل الخزن أو المعالجة أو التبادل سواء في وسط التعامل الداخلي مع المعلومات أو عن طريق تدخل خارجي غير مشروع. و ينجم تغيير المعلومات أو تدميرها في كثير من الأحيان عن الاختراقات غير مشروعة مثل الاختراقات و الفيروسات، و من وسائل تأمين سلامة المحتوى هي البرمجيات و التجهيزات المضادة لهذه الاختراقات و الفيروسات.

§        الاستمرارية (la continuité) : وهي التأكد من استمرار عمل نظام المعلومات بكل مكوناته من حواسيب و برمجيات و تجهيزات اتصال و غيرها،  و  تقديم الخدمات  إلى مستحقيها، و ضمان عدم تعرض مستخدمي تلك النظم إلى منع استخدامها بطرق غير مشروعة. و يعد عدم استمرارية الخدمة من أسوأ ما يحدث لمستغلي نظم المعلومات من قلق.  و تحصل لنا فكرة عن ذلك كلما ترددت، في بعض مراكز الخدمات، عبارات مثل  "السيستام طايح" أو "الريزو طايح".

§        عدم الإنكار (la non-répudiation) : وهو التيقن من الجهة التي قامت بعمل ما  متصل بالمعلومات و عدم القدرة على إنكار قيامها فعلا بهذا العمل. بذلك تتوفر حجة إثبات بأن تصرفا ما قد تم من جهة ما في وقت معين، فمثلا، للتأكد من وصول بضاعة تم شراؤها عبر شبكة الإنترنت إلى صاحبها، ولإثبات تحويل المبالغ إلكترونيا، هناك وسائل عديدة تؤمن ذلك كالتوقيع الالكتروني و المصادقة الالكترونية.

منطلقات استراتيجية أمن المعلومات

إن البحث في السياسات و الاستراتيجيات و توفير الوسائل التقنية و الإجراءات الضرورية لحماية المعلومات تستوجب طرح تساؤلات من شأنها أن تسمح بتحديد منطلقات خطة واضحة المعالم تعد و تعتمد وجوبا لضمان أمن المعلومات. و من أهم هذه التساؤلات على سبيل المثال : هل تتطلب كل المعلومات نفس القدر من الحماية؟ و ما الذي نريد أن نحميه ؟ و ما هي المخاطر التي يمكن أن تهدد المعلومات فتستوجب الحماية ؟ و ما هي وسائل هذه الحماية ؟ و كيف نتصرف في حالة تحقق خطر بالرغم من توفر هذه الوسائل ؟.

تصنيف المعلومات

لمعرفة درجة الحماية التي ينبغي توفيرها، يتم تصنيف المعلومات حسب أهميتها، فمن هذه المعلومات ما لا يتطلب الحماية بتاتا، و يمكن أن يتحصل عليها من يشاء، و منها ما يتطلب قدرا من الحماية و يمكن أن يتحصل عليها حد معين من الأشخاص، و منها ما يتطلب حماية قصوى و لا يمكن أن يتحصل عليها إلا شخص واحد.

تحديد المخاطر

أما المخاطر التي قد تهدد نظم المعلومات فيجب تحديدها بدءا بالمشاكل العادية مثل قطع التيار الكهربائي عن الأجهزة إلى مخاطر اختراق تلك النطم من الخارج، مرورا بخلل في صيانة التجهيزات و البرمجيات أو سوء استخدام الموظفين لوسائل الحماية مثل كلمات العبور. و تصنف هذه المخاطر في قوائم، حسب مصدرها و كيفية تنفيذها و أثرها على المعلومات المعنية بالحماية.

وسائل الحماية

ينبغي أن تعد كل مؤسسة طريقتها الخاصة لتوفير أمن معلوماتها من المخاطر في حدود إمكانياتها التنظيمية و الميزانية المرصودة للحماية، و لا ينبغي أن تكون إجراءات الأمن ضعيفة لا تضمن الحماية المطلوبة و لا تكون مبالغا فيها إلى حد يؤثر في طبيعة أداء خدمات نظام المعلومات.

كيفية مواجهة المخاطر عند حصولها

من التعارف عليه أن الحماية الشاملة للمعلومات بنسبة مائة بالمائة غير متأكدة. و بالرغم مما يؤخذ من احتياطات لازمة لتأمينها يظل واردا حصول بعض المخاطر. و في إطار استراتيجية أمن المعلومات، ينبغي التفكير في إعداد خطة تبين في مرحلتها الأولى، إجراءات التقنية و قانونية للحد من الخسائر و تأمين استمرارية العمل بطرق و وسائل بديلة.  ثم تبين هذه الخطة، في مرحلة ثانية، إجراءات التحليل لطبيعية المخاطر الحاصلة و دواعي حصولها. و على أساس ذلك تحدد إجراءات إصلاح ما تم إفساده والعودة إلى وضعية ما قبل حصول الخطر و ضمان منع حصوله لاحقا.

إن استراتيجية حماية المعلومات، من حيث المبدأ، ضرورية و متأكدة. و حسبما أجري من تجارب، تبين، في حالات كثيرة، أن مثل من يبني أمن المعلومات بطريقة عشوائية و دون إعداد استراتيجية، واضحة المعالم، مثل من يبني عمارة معقدة المكونات دون اعتماد مثال معماري. و حتى إن توفرت الاستراتيجية، ينبغي عليها أن تكون واضحة و مفهومة من كافة المتدخلين، فتتوفر أدلة التوجيه والإرشاد الضامنة لاستخدام أمثل لأدوات الحماية و التطبيق الفعلي للقواعد و الإجراءات.