محافظ الجبيل يستقبل المهنئين بالعيد ويزور المرضى المنومين    أكثر من 122 مليون قاصدٍ للحرمين الشريفين في شهر رمضان للعام 1446    أسعار النفط تتراجع وتتجه نحو أول خسارة فصلية منذ فصلين    الذهب يسجل رقمًا قياسيًا جديدًا بدعم من الطلب المتزايد والمخاوف الاقتصادية    نمو الناتج الصناعي لليابان بنسبة 2,5 % خلال الشهر الماضي    وسائل إعلام: ترامب يعتزم زيارة السعودية في منتصف مايو    ترامب: لا أمزح بشأن سعيي لفترة رئاسية ثالثة    أمطار رعدية مصحوبة بزخات من البرد على معظم مناطق المملكة    ما أصل "العيديّة"، وكيف تغيّر اسمها عبر العصور؟    أمير منطقة تبوك يستقبل المهنئين بعيد الفطر المبارك    المعالم الأثرية بالأحساء تجذب الأهالي والمقيمين في عيد الفطر    بطابع الموروث والتقاليد.. أهالي حائل يحتفون بالعيد    فعالية تراثية في نجران احتفاء بعيد الفطر    فعاليات عيد الطائف تجذب 200 ألف زائر    المملكة ترحب بتشكيل الحكومة السورية    قائد الجيش السوداني: لا سلام مع «الدعم السريع» إلا بإلقاء السلاح    خالد بن سلمان يستقبل قادة وزارة الدفاع وكبار مسؤوليها    إطلالة على اليوم العالمي للمسرح    فيصل بن مشعل يرعى حفل أهالي القصيم بعيد الفطر المبارك    ولي العهد يؤدي صلاة العيد في المسجد الحرام.. ويبحث المستجدات مع سلام    خادم الحرمين: أدام الله على بلادنا أمنها واستقرارها وازدهارها    «سلمان للإغاثة» يوزّع 644 سلة غذائية في محلية بورتسودان بولاية البحر الأحمر في السودان    انقطاع الكهرباء عن مئات الألوف في شرق كندا بسبب عاصفة جليدية    رابطة الأندية المصرية تلغي عقوبة خصم 3 نقاط من الأهلي بعد انسحابه أمام الزمالك    إنجاز إيماني فريد    الأمانة والدواء البديل.. رأي أم مخالفة؟!    «الإذاعة والتلفزيون» تميزت في محتوى رمضان    جولة مسرحية لتعزيز الحراك الثقافي بالمملكة    ولي العهد يؤدي صلاة العيد في المسجد الحرام ويستقبل المهنئين    «سلمان للإغاثة» يوزّع 869 سلة غذائية في البقاع الأوسط وطرابلس    بنهاية شهر رمضان.. تبرعات إحسان تتجاوز 1.8 مليار ريال    نتج عنه وفاتها.. الأمن العام يباشر حادثة اعتداء مقيم على زوجته في مكة    سر تأخر إعلان الهلال عن تمديد عقد البليهي    عيد الدرب.. مبادرات للفرح وورود وزيارات للمرضىع    بين الجبال الشامخة.. أبطال الحد الجنوبي يعايدون المملكة    جوارديولا غاضب بسبب موسم مانشستر سيتي    أمير منطقة جازان يعايد العامري والشيخ معافا    ولي العهد وسلام في صلاة العيد.. لقطة تعكس ثقة السعودية في القيادة اللبنانية    أكثر من 49 ألف مستفيد من الخدمات الطبية بجوار المسجد النبوي خلال شهر رمضان    خادم الحرمين: أهنئكم بعيد الفطر بعد صيام شهر رمضان وقيامه    توقعات بهطول أمطار غزيرة على 7 مناطق    كاميرات المراقبة تفضح اعتداءات المستوطنين في الضفة الغربية    ثنائية مبابي تهدي ريال مدريد الفوز على ليجانيس    ارتفاع حصيلة قتلى زلزال ميانمار إلى أكثر من 1000    العيد انطلاقة لا ختام    896.551 شحنة بريدية تم تسليمها يوميا برمضان    1320 حالة ضبط بالمنافذ الجمركية    أمير القصيم يشكر خادم الحرمين على تسمية مستشفى شمال بريدة مستشفى الملك سلمان    بلدية وادي الدواسر تُكمل استعداداتها لعيد الفطر بتجهيز الميادين والحدائق    ولي العهد يتلقى اتصالاً هاتفيًا من رئيس دولة الإمارات    ولي العهد يوجه بتوفير أراض مخططة ومطورة للمواطنين في الرياض    خلال أسبوع.. ضبط 25 ألف مخالف للأنظمة    وزارة الداخلية.. منظومة متكاملة لخدمة وسلامة وأمن ضيوف الرحمن    تجمع الرياض الصحي الأول يحقق أرقاماً قياسية في ختام حملة "صم بصحة"    أبشر بالفطور تختتم أعمالها بتغطية محافظات الشرقية و توزيع ٥٠ الف وجبة    تجمع الرياض الصحي الأول يُطلق حملة «عيدك يزهو بصحتك» بمناسبة عيد الفطر المبارك 1446ه    أكثر من 70 ألف مستفيد من برامج جمعية الدعوة بأجياد في رمضان    حليب الإبل إرث الأجداد وخيار الصائمين    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



أمن المعلومات في الجهات الرسمية .. نقاط الضعف وتقدير المخاطر
نشر في الوكاد يوم 30 - 12 - 2010

أخطاء في الفواتير!! إلغاء حجوزات أو تعثر أخرى!! عملاء يصطفون في بعض البنوك في انتظار أن يعمل النظام!! وموظفون في غاية الحرج والإحباط!! .. توقف أنظمة السداد وتأخر الكثير من المعاملات بسبب ذلك!! ولا تنس مشكلات أنظمة التداول وما تسببه من خسائر لا يجني حسرتها إلا المستثمر!! ... كل هذه صور من مشكلات شاهدناها وما زلنا نشاهدها في تعاملاتنا الإلكترونية بدءاً ببعض البنوك ومروراً ببعض شركات الطيران والاتصالات ومثيلاتها من كبريات الشركات السعودية، وانتهاءً بكثير من القطاعات الحكومية. من هنا تقع معاناة المواطن ما بين الفينة والأخرى ضحية لمخاطر أمن المعلومات، وتخسر معها تلك الجهات أيضاً الكثير من الأموال ''غير المقدرة'' بسبب الضعف في تقدير المخاطر وإدارتها بشكل صحيح و متكامل.
كثير منا يعتقد أن هاجس أمن المعلومات والخطر الذي يهدده يأتي فقط عبر عمليات الاختراق التي يقوم بها قراصنة المعلومات ''الهكر'' أو ما يلوث فضاء الإنترنت والحواسيب من فيروسات وبرامج أو أكواد تجسس وغيرها، والحقيقة أن هذا جانب من الجوانب الشديدة الخطورة في الموضوع ولكنه ليس كل شيء فهناك جوانب أخرى خطرة جداً لا بد من أخذ كافة الاحتياطات ضدها، ورسم استراتيجية توفير الخيارات والبدائل في حالة وقوع أي منها عبر خطة إدارة مخاطر محكمة. ولتبسيط الموضوع قبل أن أبدأ مناقشته، أريد توضيح القاعدة المعروفة في مجال أمن المعلومات باسم CIA طبعاً لا يقصد بها وكالة الاستخبارات الأمريكية The Central IntelligenceAgency إنما تشير إلى أهداف أو محاور أمن المعلومات الثلاثة التي لا بد من حمايتها بشكل جيد، فالفشل في حماية المعلومات وسلامة التعاملات وانتهاك الخصوصية، يبدأ بانتهاك أي من هذه المحاور الثلاثة و هي كما يلي:
1- السرية Confidentiality ويعني أنه يجب حصر الوصول لأي معلومة مهما كانت صغيرة لأصحاب الحق (المصرح لهم نظاماً بذلك) وما عداهم فيمنع من الوصول إليها أو الاطلاع عليها. ويتم ذلك عادة عبر نظام الصلاحيات Authentication Systems والذي يتطلب اسم مستخدم Username وكلمة مرور Password وربما أحياناً معلومات إضافية غيرها، ويمنح الصلاحيات في مستويات متعددة Multiple Authentications حسب صلاحياته الوظيفية أو حقوقه في تلك المعلومات، كما يتم استخدام أدوات الحماية الأخرى مثل بروتوكول التشفير أثناء انتقال البيانات في الشبكة -SSL - وبروتوكول تأمين المعاملات الإلكترونية لبطاقة الائتمان مثلاً (Secure ElectronicTransaction (SET''.
2 سلامة البيانات Integrity هي تعني أن البيانات يجب أن تحظي دائماً بالموثوقية الكاملة أثناء تخزينها أو تنقلها في الشبكة فلا تتعرض لعمليات تزوير أو تغيير بسبب أخطاء فنية أو نقص أو زيادة غير شرعية، كما يجب أن تشمل هذه الموثوقية أطراف إرسال البيانات وتلقيها Source & Destination بحيث يكون المرسل هو الشخص المخول والمتوقع، والمتلقي هو أيضاً الشخص المخول والمتوقع باستقبال البيانات المرسلة. وهنا يأتي دور عدد من حلول المعلومات المطبقة في هذا المجال والتي تستخدم أيضاً تقنيات التشفير والتواقيع أو المفاتيح الإلكترونية.
3 توافر البيانات Availability وتعني أنه يجب أن تتوفر المعلومات في أي وقت يحتاج إليها المستخدم، ليستفيد من خدماتها بشكل سريع ودون تقطع أو توقف في الخدمة.
ومن هنا إذا أردنا التعبير بجملة واحدة عن تحقيق الحماية الكاملة لمحاور أمن المعلومات الثلاثة، فهذا يعني أنه يجب أن تتوفر البيانات بصورتها الصحيحة وبالموثوقية الكاملة، وتستمر الخدمات الإلكترونية في العمل بشكل جيد دون تقطع أو توقف، في أي وقت يحتاج إليها المستخدم المصرح له بالوصول، وبحسب صلاحياته وحقوقه النظامية، فهل هذا ما يحدث لكافة أنظمتنا الإلكترونية؟ أم أن هناك خللا يحتاج إلى إصلاح جذري في هذه الظاهرة من المشاكل، يتم بعدها محاسبة المقصر وحفظ وإرجاع الحقوق للمتضررين نتيجتها.
معظم قطاعات الأعمال الكبيرة لدينا حكومية كانت أم خاصة، تمتلك في مراكز بياناتها أنظمة حماية من الفيروسات والأكواد الخبيثة وجدر نارية جيدة، وحلول متطورة للنسخ الاحتياطي لبياناتها، ولكن معظمها لا يمتلك استراتيجية صحيحة ومتكاملة، وخطة إدارة مخاطر ممنهجة ومفعلة، وكذلك لا يمتلك العدد الكافي من المؤهلين الحقيقيين للعمل في هذا المجال، يستوي في ذلك تلك الجهات التي تفاخر بامتلاكها شهادات الآيزو ISO 27001 أو 27002 ISO فمتطلبات هذه الشهادة توثيق أكثر منه واقعا ملموسا والمهم دفع الرسوم!! كما أن معظم تلك الجهات تأخذ هذه الشهادات في قسم صغير من أقسام إدارات تقنية المعلومات فقط وليس بشكل شامل ومتكامل لكل الأقسام، فالهدف هو التفاخر والدعاية والإعلان لا أكثر ولا أقل!!
ختاماً، إن الخطر الذي يهدد أمن المعلومات قد يحدث بسبب متعمد من عمليات الاختراق الخارجية أو الداخلية، كما قد يحدث بسبب الأخطاء التقنية الناتجة عن قلة الخبرة وعدم توفر الكوادر المؤهلة، كما قد يحدث بسبب الكوارث الطبيعية من سيول أو زلازل أو بسبب كوارث الحروب والصراعات وغيرها، ولعل الجميع قد شاهد أو سمع أو تأثر ببعض من آثار توقف أو خلل الخدمات الإلكترونية في أنظمة التداول أو حجز الخطوط أو فواتير بعض الخدمات والاتصالات وغيرها خلال الأسابيع أو الأشهر أو السنوات الماضية. ولن تتوقف أو تخف هذه الموجات من العواصف الترابية الإلكترونية حتى تتبنى وزارة الاتصالات وتقنية المعلومات استراتيجية إدارة مخاطر أمن معلومات محكمة ومتكاملة، تطبق بشكل إجباري على كل الجهات الحكومية والشركات الخدمية والمالية الخاصة مثل البنوك وشركات الكهرباء والماء والغاز والنفط والاتصالات وما شابهها، وتتم مراقبة تطبيقها من قبل هيئة الاتصالات وتقنية المعلومات، و تكون هي المنطلق للمحاسبة عند توقف الخدمات أو تغير و فقدان البيانات وتعويض المتضررين من المواطنين نتيجة هذه الإخفاقات. وهذا يتطلب بلا شك تفعيل نظام ''مكافحة الجرائم الإلكترونية''، كما يتطلب تقنين أحكام حماية الخصوصية والتفريط في حماية معلومات وأموال العملاء، وسيكون تبني بناء مركز وطني لعمليات أمن معلومات Security Operations Center - SOC أمر رائع وداعم لهذا التوجه كما طالبت بذلك في عدة مقالات. ولا أنسى أهمية تأسيس مراكز متخصصة لتلقي الشكاوى ضد الجهات الرسمية أو ضد جرائم الإنترنت والتي يجب أن تكون لديها القدرة الفنية والإدارية والعسكرية للتعامل مع مثل هذه الانتهاكات أو الجرائم، على غرار المركز الأمريكي لتلقي الشكاوى لجرائم الإنترنتIC3، ويمكن أن تكون بعض هذه المراكز حسب الاختصاص ملحقة كأقسام خاصة في وزارة التجارة أو وزارة المالية وفي كل أو بعض مراكز الشرطة في المملكة. وهنا لا بد من التأكيد على أهمية أن تتبنى الجامعات السعودية أيضاً إنشاء أقسام متخصصة بالكامل في أمن المعلومات وليست مواد دراسية فقط تدرج في الخطط الأكاديمية لبعض تخصصات علوم الحاسب، فالحاجة لها باتت أكبر من المتوقع، ويكفينا تخريج المزيد من التخصصات التي اكتفى منها سوق العمل، بينما هناك تخصصات لا تجد من يعمل فيها ويتقنها من أبناء الوطن إلا القليل ونشتكي بعدها من كثرة البطالة في صفوف الجامعيين.
نقلا عن الاقتصادية


انقر هنا لقراءة الخبر من مصدره.