الصين تعفي سلعا أمريكية من الرسوم وتنفي كلام ترامب عن المحادثات    في الدمام ( حرفتنا حياة ) ضمن مبادرات عام الحرف اليدوية 2025    مدرب النصر "بيولي"هدفنا تحقيق اللقب الآسيوي    أمير الشرقية: رؤية المملكة 2030 حققت إنجازات نوعية تؤكد ريادة المملكة عالميًا    أمير القصيم يُنوّه بدعم القيادة لتحقيق مستهدفات رؤية المملكة 2030    نائب أمير الرياض : ما تحقق من إنجازات في تحقيق رؤية المملكة 2030 مدعاة للفخر والاعتزاز    لاعب بوريرام قبل مواجهة الأهلي: الآسيوية مختلفة عن المحلية    الاتحاد في انتظار قرار بنزيمة    "حديث المكتبة" يستضيف مصطفى الفقي في أمسية فكرية عن مكتبة الإسكندرية    إمام المسجد الحرام: الإيمان والعبادة أساسا عمارة الأرض والتقدم الحقيقي للأمم    إمام الحرم النبوي: حفظ الحقوق واجب شرعي والإفلاس الحقيقي هو التعدي على الخلق وظلمهم    تنفيذ ورشة عمل لاستعراض الخطط التنفيذية للإدارات في جازان    هيئة تطوير وتعمير المناطق الجبلية بجازان تستعرض مشروع زراعة أشجار الصندل في "أسبوع البيئة 2025"    "الأونروا": نفاد إمدادات الدقيق والوقود ولقاحات الأطفال في قطاع غزة    مبادرة لرعاية المواهب السعودية في قطاع الجمال    اجتماعات الربيع لصندوق النقد الدولي ومجموعة البنك الدولي لعام 2025 تواصل أعمالها    الشيخ صلاح البدير يؤم المصلين في جامع السلطان محمد تكروفان الأعظم بالمالديف    مملكة الخير والإنسانية    محافظ الزلفي يرأس اجتماع المجلس المحلي الثاني    مخاطر في الذكاء الاصطناعي    رؤية 2030    نيوم.. في دوري روشن    حادث الراجحي يجمع الرياضيين    تقلص الجليد القطبي    خشونة الورك: الأسباب.. التشخيص.. العلاج.. الوقاية    محافظ صبيا يكرم رئيس مركز قوز الجعافرة بمناسبة انتهاء فترة عمله    الاستثمار بالتراث الوطني    الشعر في ظل رؤية 2030    اللواء الودعاني يدشّن مشاريع تطويرية لتعزيز قدرات حرس الحدود    رئيس نادي الثقافة والفنون بصبيا يكرّم رئيس بلدية المحافظة لتعاونه المثمر    محافظ صبيا يشيد بجهود رئيس مركز العالية ويكرمه بمناسبة انتهاء فترة عمله    تركي آل الشيخ رئيساً للاتحاد السعودي للملاكمة للدورة الانتخابية 2024- 2028    بلدية صبيا تدعو للمشاركة في مسيرة المشي ضمن مبادرة #امش_30    8 ميداليات حصيلة أخضر البلياردو والسنوكر في بطولة غرب آسيا 2025    ذكاء اصطناعي للكشف عن حسابات الأطفال في Instagram    أطعمة للتخسيس بلا أنظمة صارمة    "سعود الطبية" تسجّل قصة إنقاذ استثنائية لمريض توقف قلبه 30 دقيقة    تنمية جازان تشارك في مهرجان الحريد ال21 بجزيرة فرسان    بناءً على توجيهات ولي العهد..دعم توسعات جامعة الفيصل المستقبلية لتكون ضمن المشاريع الوطنية في الرياض    جامعة بيشة تدخل لأول مرة تصنيف التايمز الآسيوي 2025    خارطة طموحة للاستدامة.."أرامكو": صفقات محلية وعالمية في صناعة وتسويق الطاقة    ناقش مع الدوسري تعزيز الخطاب الإعلامي المسؤول .. أمير المدينة: مهتمون بتبني مشاريع إعلامية تنموية تبرز تطور المنطقة    9 أفلام يابانية في مهرجان أفلام السعودية    جامعة الفيصل تحتفي بتخريج طلاب "الدراسات العليا"    مؤشرات وأسواق    الرجيب يحتفل بزواج «إبراهيم وعبدالعزيز»    القبض على 5 باكستانيين بالرياض يروجون "الشبو"    منصة توفّر خدمات الإبلاغ عن الأوقاف المجهولة والنظار المخالفين    ملك الأردن يصل جدة    10 شهداء حرقًا ووفاة 40 % من مرضى الكلى.. والأونروا تحذّر.. الاحتلال يتوسع في جرائم إبادة غزة بالنار والمرض والجوع    أكدا على أهمية العمل البرلماني المشترك .. رئيس «الشورى»ونائبه يبحثان تعزيز العلاقات مع قطر وألمانيا    لبنان.. الانتخابات البلدية في الجنوب والنبطية 24 مايو    منجزاتنا ضد النسيان    التصلب الحدبي.. فهم واحتواء    نحو فتاة واعية بدينها، معتزة بوطنها: لقاء تربوي وطني لفرع الإفتاء بجازان في مؤسسة رعاية الفتيات    فرع وزارة البيئة بنجران يواصل فعاليات أسبوع البيئة 2025، "بيئتنا كنز"        أمير المنطقة الشرقية يرعى حفل تخريج الدفعة ال55 من طلاب وطالبات جامعة الملك فهد للبترول والمعادن    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



أمن المعلومات في الجهات الرسمية .. نقاط الضعف وتقدير المخاطر
نشر في الوكاد يوم 30 - 12 - 2010

أخطاء في الفواتير!! إلغاء حجوزات أو تعثر أخرى!! عملاء يصطفون في بعض البنوك في انتظار أن يعمل النظام!! وموظفون في غاية الحرج والإحباط!! .. توقف أنظمة السداد وتأخر الكثير من المعاملات بسبب ذلك!! ولا تنس مشكلات أنظمة التداول وما تسببه من خسائر لا يجني حسرتها إلا المستثمر!! ... كل هذه صور من مشكلات شاهدناها وما زلنا نشاهدها في تعاملاتنا الإلكترونية بدءاً ببعض البنوك ومروراً ببعض شركات الطيران والاتصالات ومثيلاتها من كبريات الشركات السعودية، وانتهاءً بكثير من القطاعات الحكومية. من هنا تقع معاناة المواطن ما بين الفينة والأخرى ضحية لمخاطر أمن المعلومات، وتخسر معها تلك الجهات أيضاً الكثير من الأموال ''غير المقدرة'' بسبب الضعف في تقدير المخاطر وإدارتها بشكل صحيح و متكامل.
كثير منا يعتقد أن هاجس أمن المعلومات والخطر الذي يهدده يأتي فقط عبر عمليات الاختراق التي يقوم بها قراصنة المعلومات ''الهكر'' أو ما يلوث فضاء الإنترنت والحواسيب من فيروسات وبرامج أو أكواد تجسس وغيرها، والحقيقة أن هذا جانب من الجوانب الشديدة الخطورة في الموضوع ولكنه ليس كل شيء فهناك جوانب أخرى خطرة جداً لا بد من أخذ كافة الاحتياطات ضدها، ورسم استراتيجية توفير الخيارات والبدائل في حالة وقوع أي منها عبر خطة إدارة مخاطر محكمة. ولتبسيط الموضوع قبل أن أبدأ مناقشته، أريد توضيح القاعدة المعروفة في مجال أمن المعلومات باسم CIA طبعاً لا يقصد بها وكالة الاستخبارات الأمريكية The Central IntelligenceAgency إنما تشير إلى أهداف أو محاور أمن المعلومات الثلاثة التي لا بد من حمايتها بشكل جيد، فالفشل في حماية المعلومات وسلامة التعاملات وانتهاك الخصوصية، يبدأ بانتهاك أي من هذه المحاور الثلاثة و هي كما يلي:
1- السرية Confidentiality ويعني أنه يجب حصر الوصول لأي معلومة مهما كانت صغيرة لأصحاب الحق (المصرح لهم نظاماً بذلك) وما عداهم فيمنع من الوصول إليها أو الاطلاع عليها. ويتم ذلك عادة عبر نظام الصلاحيات Authentication Systems والذي يتطلب اسم مستخدم Username وكلمة مرور Password وربما أحياناً معلومات إضافية غيرها، ويمنح الصلاحيات في مستويات متعددة Multiple Authentications حسب صلاحياته الوظيفية أو حقوقه في تلك المعلومات، كما يتم استخدام أدوات الحماية الأخرى مثل بروتوكول التشفير أثناء انتقال البيانات في الشبكة -SSL - وبروتوكول تأمين المعاملات الإلكترونية لبطاقة الائتمان مثلاً (Secure ElectronicTransaction (SET''.
2 سلامة البيانات Integrity هي تعني أن البيانات يجب أن تحظي دائماً بالموثوقية الكاملة أثناء تخزينها أو تنقلها في الشبكة فلا تتعرض لعمليات تزوير أو تغيير بسبب أخطاء فنية أو نقص أو زيادة غير شرعية، كما يجب أن تشمل هذه الموثوقية أطراف إرسال البيانات وتلقيها Source & Destination بحيث يكون المرسل هو الشخص المخول والمتوقع، والمتلقي هو أيضاً الشخص المخول والمتوقع باستقبال البيانات المرسلة. وهنا يأتي دور عدد من حلول المعلومات المطبقة في هذا المجال والتي تستخدم أيضاً تقنيات التشفير والتواقيع أو المفاتيح الإلكترونية.
3 توافر البيانات Availability وتعني أنه يجب أن تتوفر المعلومات في أي وقت يحتاج إليها المستخدم، ليستفيد من خدماتها بشكل سريع ودون تقطع أو توقف في الخدمة.
ومن هنا إذا أردنا التعبير بجملة واحدة عن تحقيق الحماية الكاملة لمحاور أمن المعلومات الثلاثة، فهذا يعني أنه يجب أن تتوفر البيانات بصورتها الصحيحة وبالموثوقية الكاملة، وتستمر الخدمات الإلكترونية في العمل بشكل جيد دون تقطع أو توقف، في أي وقت يحتاج إليها المستخدم المصرح له بالوصول، وبحسب صلاحياته وحقوقه النظامية، فهل هذا ما يحدث لكافة أنظمتنا الإلكترونية؟ أم أن هناك خللا يحتاج إلى إصلاح جذري في هذه الظاهرة من المشاكل، يتم بعدها محاسبة المقصر وحفظ وإرجاع الحقوق للمتضررين نتيجتها.
معظم قطاعات الأعمال الكبيرة لدينا حكومية كانت أم خاصة، تمتلك في مراكز بياناتها أنظمة حماية من الفيروسات والأكواد الخبيثة وجدر نارية جيدة، وحلول متطورة للنسخ الاحتياطي لبياناتها، ولكن معظمها لا يمتلك استراتيجية صحيحة ومتكاملة، وخطة إدارة مخاطر ممنهجة ومفعلة، وكذلك لا يمتلك العدد الكافي من المؤهلين الحقيقيين للعمل في هذا المجال، يستوي في ذلك تلك الجهات التي تفاخر بامتلاكها شهادات الآيزو ISO 27001 أو 27002 ISO فمتطلبات هذه الشهادة توثيق أكثر منه واقعا ملموسا والمهم دفع الرسوم!! كما أن معظم تلك الجهات تأخذ هذه الشهادات في قسم صغير من أقسام إدارات تقنية المعلومات فقط وليس بشكل شامل ومتكامل لكل الأقسام، فالهدف هو التفاخر والدعاية والإعلان لا أكثر ولا أقل!!
ختاماً، إن الخطر الذي يهدد أمن المعلومات قد يحدث بسبب متعمد من عمليات الاختراق الخارجية أو الداخلية، كما قد يحدث بسبب الأخطاء التقنية الناتجة عن قلة الخبرة وعدم توفر الكوادر المؤهلة، كما قد يحدث بسبب الكوارث الطبيعية من سيول أو زلازل أو بسبب كوارث الحروب والصراعات وغيرها، ولعل الجميع قد شاهد أو سمع أو تأثر ببعض من آثار توقف أو خلل الخدمات الإلكترونية في أنظمة التداول أو حجز الخطوط أو فواتير بعض الخدمات والاتصالات وغيرها خلال الأسابيع أو الأشهر أو السنوات الماضية. ولن تتوقف أو تخف هذه الموجات من العواصف الترابية الإلكترونية حتى تتبنى وزارة الاتصالات وتقنية المعلومات استراتيجية إدارة مخاطر أمن معلومات محكمة ومتكاملة، تطبق بشكل إجباري على كل الجهات الحكومية والشركات الخدمية والمالية الخاصة مثل البنوك وشركات الكهرباء والماء والغاز والنفط والاتصالات وما شابهها، وتتم مراقبة تطبيقها من قبل هيئة الاتصالات وتقنية المعلومات، و تكون هي المنطلق للمحاسبة عند توقف الخدمات أو تغير و فقدان البيانات وتعويض المتضررين من المواطنين نتيجة هذه الإخفاقات. وهذا يتطلب بلا شك تفعيل نظام ''مكافحة الجرائم الإلكترونية''، كما يتطلب تقنين أحكام حماية الخصوصية والتفريط في حماية معلومات وأموال العملاء، وسيكون تبني بناء مركز وطني لعمليات أمن معلومات Security Operations Center - SOC أمر رائع وداعم لهذا التوجه كما طالبت بذلك في عدة مقالات. ولا أنسى أهمية تأسيس مراكز متخصصة لتلقي الشكاوى ضد الجهات الرسمية أو ضد جرائم الإنترنت والتي يجب أن تكون لديها القدرة الفنية والإدارية والعسكرية للتعامل مع مثل هذه الانتهاكات أو الجرائم، على غرار المركز الأمريكي لتلقي الشكاوى لجرائم الإنترنتIC3، ويمكن أن تكون بعض هذه المراكز حسب الاختصاص ملحقة كأقسام خاصة في وزارة التجارة أو وزارة المالية وفي كل أو بعض مراكز الشرطة في المملكة. وهنا لا بد من التأكيد على أهمية أن تتبنى الجامعات السعودية أيضاً إنشاء أقسام متخصصة بالكامل في أمن المعلومات وليست مواد دراسية فقط تدرج في الخطط الأكاديمية لبعض تخصصات علوم الحاسب، فالحاجة لها باتت أكبر من المتوقع، ويكفينا تخريج المزيد من التخصصات التي اكتفى منها سوق العمل، بينما هناك تخصصات لا تجد من يعمل فيها ويتقنها من أبناء الوطن إلا القليل ونشتكي بعدها من كثرة البطالة في صفوف الجامعيين.
نقلا عن الاقتصادية


انقر هنا لقراءة الخبر من مصدره.