لا يخفى على أي دارس بل أي إنسان أهمية الحاسب الآلي والمعلومات التي يحتفظ بها، هذه الأهمية تستدعي المحافظة على الحاسب الآلي كجهاز ثابت والمعلومات كمادة تنتقل من جهاز إلى آخر.
وسياسات أمن المعلومات هي إحدى الوسائل المهمة للمحافظة على أمن الحاسب الآلي، والذي يشمل المخاطر التي يتعرض لها أو المعلومات التي يحتفظ بها، وهذه المخاطر قد تكون مقصودة بهدف السرقة أو التخريب أو طبيعية نتيجة إهمال أو عوامل خارجية كالحريق.
إن المتابع يعلم أن المشكلات الناتجة عن جرائم تقنية المعلومات كبيرة جداً، ولذلك فإن من الأهمية عمل الإجراءات اللازمة للمحافظة على أمن الحاسب الآلي بكيانيه المادي (الأجهزة) وغير المادي (البرامج والبيانات).
وهناك طرق عديدة للمحافظة على هذين الكيانين، وإحدى هذه الطرق والوسائل وضع السياسات الأمنية المناسبة التي تكفل التأكد والمتابعة والتنفيذ لها، ولا تتوقف هذه السياسات على منع الجريمة، ولكنها أشمل من ذلك بكثير، وهي تشمل محاولة المحافظة على وقت العاملين بعدم إساءة استخدامه فيما ليس له علاقة بالعمل كالإنترنت بصفة عامة، أو زيارة بعض المواقع التي لا علاقة لها بالعمل، أو البريد الإلكتروني وغيرها.
وقد كان للإنترنت دور كبير في زيادة الاهتمام بسياسات أمن المعلومات، لأنها أتاحت الفرصة للكثيرين الوصول لشبكات المعلومات الخاصة بالمنشآت، ولذلك فإن دورها كبير في الكثير من الجرائم والمخالفات التي تتعرض لها مراكز المعلومات في العالم.
إن شراء جدار ناري وبرامج مضادة للفيروسات ليس كافياً لحماية شبكات أي منشأة، فالسياسات الأمنية تقوم بوضع الخطوط العريضة لمعرفة المقاييس الأمنية التي يجب على المنشأة أن تتبعها، فهي تشرح أمن المعلومات في المنشأة بعبارات عامة وبدون تفصيل.. أي أنها عبارة عن مخطط أو برنامج عمل لأمن المعلومات، ومن المهم توضيح أن سياسة أمن المعلومات لا تتضمن الطريقة التي يتم بواسطتها تنفيذ السياسة، ولكنها توضح الأهداف المطلوب تحقيقها.
من المهم دائماً عند إنشاء سياسات أمن المعلومات كسب تأييد ودعم الإدارة العليا.. فاهتمامها ودعمها يضمن اهتمام الموظفين بسياسات أمن المعلومات وتنفيذها، وإنشاء وتنفيذ سياسات أمن المعلومات بدون دعم مباشر من الإدارة العليا سيؤدي إلى الفشل الذريع والأكيد لسياسات أمن المعلومات، وهناك العديد من الوسائل التي تساعد على كسب تأييد الإدارة العليا، ومنها توضيح القيمة الحقيقية للمعلومات وأنها مورد مهم للمنشأة، وكذلك الشرح حول إمكانية حصول عاملين من داخل المنشأة على معلومات لا يحق لهم الاطلاع عليها، وكذلك إمكانية دخول أطراف من خارج المنشأة والاطلاع على معلومات وتدميرها.
ومن الطرق الجيدة لكسب تأييد الإدارة العليا هو اطلاعهم على المقالات والكتب المتخصصة في هذا الموضوع، وكذلك التعرف على قصص حقيقية لبعض المنشآت التي تضررت بسبب عدم وجود وتطبيق سياسات أمن معلومات بها.
(ومع أن الكثير من الباحثين في هذا المجال يؤكدون على أن وجود السياسات الأمنية المناسبة يعتبر الخطوة الأساسية للخطط الأمنية، إلا أن ما يزيد على 60% من المنشآت لا يوجد لديها سياسات أمنية، أو أن سياساتهم الأمنية قديمة وغير محدثة).
عند التفكير في كتابة سياسة أمن المعلومات في المنشأة، فيجب معرفة من يهتم بها، ويمكن تقسيم المهتمين بسياسة أمن المعلومات إلى ثلاث فئات كالتالي:
- المستخدمون وهم أكثر المتأثرين بسياسات أمن المعلومات.
- موظفو الدعم الفني، لأنهم مطالبون بتنفيذ وتأييد هذه السياسات.
- الإدارة والتي تهتم بحماية المعلومات وكذلك التكلفة المصاحبة لها.
القاعدة العامة أن الناس لا يحبون المنع ووضع القيود، والسياسات الأمنية ما هي إلا قيود عند التعامل مع المعلومات في المنشأة، والعاملون بصفة عامة يخشون من عدم قدرتهم على إنجاز أعمالهم في وجود هذه القيود، وكذلك فإن العاملين في أقسام الدعم الفني يخشون من عدم قدرتهم على إدارة مراكز المعلومات في ظل وجود هذه القيود، وكذلك تخشى الإدارة التكلفة الزائدة لتنفيذ سياسات أمن المعلومات مقارنة بالفوائد التي سوف تجنيها لنا وهي حماية المعلومات، من شبه المستحيل أن توافق كل الأطراف على سياسة أمن معلومات واحدة، ولكن يجب الوصول إلى سياسة أمن معلومات مناسبة للجميع ولا ننسى أبداً القاعدة الشرعية التي تقول (لا ضرر ولا ضرار).
في الكثير من المنشآت، لا يتم التفكير في كتابة وتنفيذ سياسات أمن المعلومات إلا بعد وقوع المشكلة
الأمنية الأولى، ولكن عند تلك النقطة يجب التفكير ووضع الخطط الكفيلة بتغطية جميع المشاكل الأمنية المحتمل وقوعها مستقبلاً، لكن ينبغي معرفة أن كتابة سياسات أمن المعلومات لمنشأة ما في المراحل الأولى لتطويرها وإنشائها، أسهل بكثير من كتابتها لمنشآت قائمة، من المهم وجود سياسات لأمن المعلومات عند الرغبة في التقاضي من المخالفين والمخربين.. فالمحاكم في أحيان كثيرة لا تعترف بالعرف أو الواجب، ولكنها بسهولة تقتنع عند وجود سياسات أمنية متفق عليها ومطبقة.
إن السؤال الملح جداً هو كمية وعدد سياسات أمن المعلومات التي يجب كتابتها؟..
يعتمد العدد على حجم وطبيعة وأهداف المنشأة ونوعية الحماية المطلوبة، وهناك إستراتيجيتان أساسيتان لوثيقة سياسة أمن المعلومات، الأولى أن يكون لدينا وثيقة واحدة شاملة، والثانية أن يكون هناك عدة وثائق صغيرة، وهي أسهل للتنفيذ والتعديل، كذلك تكون مفهومة بشكل أكبر للمستفيدين، ومن الأمثلة على سياسات أمن المعلومات، الأمن المادي (الأجهزة)، الشبكات، أمن الإنترنت، البريد الإلكتروني، الحماية من الفيروسات.. إلخ.
(من أهم شروط سياسة أمن المعلومات أن تنفذ وتمنح القوة في التنفيذ، وأن تكون مختصرة وواضحة وسهلة الفهم، ومنظمة منطقياً، ودائماً يجب الموازنة بين الحماية والإنتاجية).
كما يجب أن يكون مجال وأهداف السياسة واضحاً جداً، وأن تراجع من قبل المتعاملين بها بأنواعهم، وكذلك المنفذون لها، ومن أجل توضيح أسباب وجود سياسة أمنية فيفضل أن يتم ذكر أسباب الحاجة للسياسة، وماذا تغطي، ويكون هناك تعريف بالمسؤولين عن السياسة، وكذلك شرح عن كيفية التعامل مع المخالفات والمخالفين.
أحد أهداف السياسات الأمنية، حماية الممتلكات المعلوماتية للمنشأة، وبصفة عامة لا يوجد أي ممتلكات أو بيانات محمية 100% ضد السرقة، فإذا كان الهاكر (المخرب) لديه النية والصبر والمهارة فلا يوجد نظام لا يمكن اختراقه ولا يوجد حل يصمد كثيراً، فتحديد صلاحيات الدخول على كل نظام وكل شبكة مهم جداً، في كثير من الأحيان قد يكون للشبكة نظام يساعد على التأكد من الدخول على الشبكة، ولكن ذلك ليس متوفراً لكل الأنظمة في الغالب،
ومعرفة من يحق له الحصول على المعلومات ومن لا يحق له يساعد على كتابة السياسات الأمنية وتوجيهها بشكل مناسب، ويجب أن ندرك أن الجزء المتعلق بالعاملين (الناس) هو دائماً أضعف جزء في السياسات الأمنية.
بعد تحديد صلاحية الدخول، يجب تحديد الوسائل التي يتم عن طريقها حث وإرغام العاملين على التقيد بهذه الصلاحيات، وكذلك توضيح العقوبات التي ستنفذ على المخالف عند عدم التقيد بهذه السياسات الأمنية، نظاماً يجب أن تكون العقوبات موضحة للعاملين ومن هنا تأتي أهمية عرض السياسات الأمنية على أحد المتخصصين في الأنظمة والقانون.
تقنية المعلومات عموماً بما فيها الشبكات تساعد على انتقال واستخدام البيانات، وفي أغلب المنشآت بغض النظر عن طبيعتها يتم التركيز على البيانات وطريقة توزيعها، ولذلك لا يكفي أن تكون هناك سياسة للتعامل مع البيانات، ولكن يجب أيضاً وضع سياسة لمراقبة هذا الأمر.
وهناك أهمية كبيرة لوضع سياسات مناسبة عند تبادل البيانات مع منشآت أخرى، مثل البيانات المهمة التي تمتلكها المنشأة، البيانات الشخصية للعملاء والتي حصلت عليها بإحدى الطرق النظامية كموقعها على الإنترنت أو سجلات المشترين أو مكالمات الهاتف وغيرها، ومن المهم أن تشتمل السياسات الأمنية على بند أو أكثر يوضح كيف يتم التعامل مع هذه البيانات.
هناك سياسة أخرى مهمة وهي سياسة قبول الاستخدام، والتي يجب على المستخدم التوقيع عليها عند فتحه لحساب يمكنه من استخدام نظام الحاسب الآلي الخاص بالمنشأة، فيجب أن تحتوي هذه السياسة الأمنية على أمور كثيرة منها مسؤوليات المستخدم في حماية البيانات الموجودة تحت تحكمه، وتحديد هل بإمكانه استخدام ونسخ الملفات غير المملوكة له ولكن يمكنه الدخول عليها، وكذلك تحديد الاستخدام المسموح به للبريد الإلكتروني والإنترنت، وأيضاً الاستخدام الشخصي للموارد كالطابعات.
بطبيعة الحال قد تكون هناك سياسات خاصة لكل أمر من الأمور السابقة، ولكن في بعض المنشآت الصغيرة والتي لا يوجد لديها استخدام كبير لتقنية المعلومات، فقد يتم الاكتفاء بعدد قليل من السياسات الأمنية، أما المنشآت الكبرى فقد يكون لديها عدد كبير من السياسات الأمنية.
مسؤولية أمن المعلومات لا تقع على المستخدمين فقط، ولكن للإدارة دوراً كبيراً أيضاً في المحافظة على أمن المعلومات، وكذلك دور للمتخصصين في تقنية المعلومات لأنهم هم من يستطيع إجبار المستخدمين على تطبيق السياسات الأمنية في بعض جوانبها، وكذلك المراقبة ومتابعة التنفيذ.
من المعلوم أن أمن المعلومات ليس بالشيء السهل الذي يمكن شراؤه من محلات تقنية المعلومات، وهو مهم للإدارة ولقسم تقنية المعلومات لمتابعة تنفيذه وصيانته، وأمن المعلومات لا يأتي إلا بعد تحليل المخاطر والتكاليف والمتطلبات للتأكد من أن أمن المعلومات ليس أكثر من اللازم، بحيث لا يمكن الدخول على البيانات، وليس فضفاضاً وضعيفاً بشكل كبير.
وتلعب الإدارة دوراً كبيراً في التحليل وإقناع التقنيين لتنفيذ السياسات الأمنية.
إحدى الوسائل الجيدة للتوافق بين الإدارة وقسم تقنية المعلومات هي تكوين لجنة خاصة لأمن المعلومات، ومن مهام هذه اللجنة مراجعة التغييرات المطلوبة في سير العمليات داخل المنشأة وكيف يمكن لسياسات أمن المعلومات أن تساعد في تنفيذ هذه التغيرات، ويجب أن تكون هذه اللجنة من ممثلين من عدة إدارات في المنشأة، وأحد هؤلاء الأعضاء أو أكثر يكون من ذوي المراتب العليا، ليعطي هذه اللجنة القوة الإدارية المناسبة.
المنشآت الكبيرة في العادة يكون فيها قسم متخصص لأمن المعلومات، أما المنشآت الصغيرة فعادة يتولى أمن المعلومات مركز المعلومات أو قسم الحاسب الآلي، ممثلاً بأحد العاملين أو مجموعة منهم، يكون لديهم إلمام وعناية بكل ما له علاقة بأمن المعلومات ومتابعة كل جديد في هذا المجال، إن المهام المناطة بقسم أمن المعلومات، هي تنفيذ السياسات الأمنية ومتابعة تحديثها باستمرار، وكذلك وضع المقاييس التي يجب اتباعها وطريقة تنفيذ السياسات الأمنية وكل ما يتعلق بها.
إن القسم المسؤول عن أمن المعلومات لا يكتفي بالدور التنفيذي للسياسات الأمنية فقط، بل عليه أن يقوم بدور توعوي وتثقيفي بالتوازن مع دوره في إجبار المستفيدين على تنفيذ السياسات الأمنية.
ومن المعلوم أن العامل الإنساني هو أضعف منطقة في السلسلة الأمنية، لذلك فإن ممارسة الدور التثقيفي من قبل قسم أمن المعلومات جنباً إلى جنب مع التنفيذ سيكون له دور كبير في إنجاح السياسات الأمنية وسرعة تطبيقها وتوضيح أهميتها وفوائدها للمستفيدين، مما يساعد على جودة التنفيذ من قبلهم.
هناك وسائل كثيرة لتثقيف العاملين وتوعيتهم، منها إصدار مجموعة من النشرات التثقيفية، وإصدار نشرة إخبارية دورية مختصرة تتضمن مواد تثقيفية، وأخباراً من داخل المنشأة عن بعض المشاكل ذات العلاقة بأمن المعلومات، وتنفيذ محاضرات أو دورات تدريبية قصيرة لمدة يوم أو نصف يوم في مجال أمن المعلومات، وتكون إجبارية للعاملين.
إذا افترض أن السياسات الأمنية قد كتبت، وتمت مراجعتها، وبعد ذلك تطبيقها، وأن المستفيدين قد ثقفوا ودربوا، وعرفوا أهمية أمن المعلومات، فإن السياسات الأمنية تحتاج إلى تحديث وتطوير لأسباب عديدة، مثل التطور السريع في تقنية المعلومات، ووسائل الحماية، والتطور المستمر في أعمال المنشآت، والتأثير السلبي لسياسات أمن المعلومات المطبقة حالياً، على أداء المنشأة، وضعف سياسات أمن المعلومات المطبقة حالياً.
نهاية.. فمن المهم أن ندرك أنه لا يوجد مدة محددة لمراجعة السياسات الأمنية، ولكن في السنوات الأولى لتطبيق السياسة، قد تكون المراجعة النصف سنوية جيدة، وبعد ثبات السياسة تكون المراجعة بصفة سنوية، وينطبق على مراجعة وتحديث السياسات الأمنية ما ينطبق على إقرارها من الأساس، ككسب لتأييد الإدارة العليا، ويفضل أن يكون هناك لجنة أو فريق عمل لمراجعة السياسات الأمنية، وهذا الفريق يتكون من ممثلين من الجهات المستفيدة والمتأثرة بهذه السياسات، بالإضافة للتقنيين ومندوب للإدارة القانونية.
ويجب جمع ملاحظات المستفيدين وغيرهم بما يخص السياسات الأمنية خلال فترة المراجعة والتحديث (ستة أشهر أو سنة) للمساعدة في مراجعة وتحديث سياسات أمن المعلومات.
و يعتبر موضوع أمن المعلومات من المواضيع الساخنة والمتجددة في عالم تقنية المعلومات وذلك في ظل الاعتماد الكبير للمنظمات على التقنية. ومما لا يخفى على الجميع ما للمعلومات وأنظمتها في عصرنا هذا من أهمية قصوى لكونها تمثل القلب النابض لعمل المنظمات وتمثل أحد أهم الممتلكات (Asset) - إن لم تكن الأهم - مثلها مثل أي أصول ثمينة لدى المنظمة. فالكل يعي أهمية حماية المباني من الحريق أو الكوارث الطبيعية، ولكن لا يعي الكل أهمية حماية المعلومات من المخاطر المحيطة بها. لذا ولكي يتم حماية المنظمات وعملها يتوجب حماية المعلومات وأنظمتها.
ويعرف أمن المعلومات على أنه المحافظة على دقة وسرية وتوفر البيانات ضد أي مؤثرات سواءً كانت متعمدة أم عرضية. وتتمثل المحافظة على دقة المعلومات (Integrity) بمنع أي محاولات تهدف إلى التأثير على دقة وصحة البيانات كعمل تغييرات غير صحيحة في محتوى البيانات. بينما تتمثل المحافظة على سرية البيانات (Confidentiality) بمنع أي محاولات قد تؤدي إلى كشف محتوى البيانات لأشخاص غير مصرح لهم بذلك وغير معنيين. أما العنصر الثالث والأخير لأمن المعلومات فهو المحافظة على توفر وتواجد البيانات (Availability) في الوقت الذي تطلب به.
وقد يعتقد البعض أن الحلول التقنية الأمنية وحدها كفيلة بتأمين جانب الحماية للمعلومات، وهذا بالطبع اعتقاد خاطئ. إذ أن حماية المعلومات ترتكز على ثلاثة عناصر أساسية مكملة لبعضها البعض وهي 1) العنصر البشري، 2) الحلول التقنية، 3) السياسات الأمنية للمعلومات، والتي بدورها تحكم وتنظم كيفية تعامل العنصر البشري مع المعلومات بشكل سليم للوصول إلى الهدف المنشود. يمثل الرسم التالي مدى ترابط هذه العناصر، إذ أن نقطة تقاطع هذه العناصر الثلاثة هي أعلى مستوى من مستويات أمن المعلومات:
ما هي السياسات الأمنية للمعلومات؟ تعرف السياسات الأمنية للمعلومات (Information Security Policy) على أنها مجموعة من القوانين والتنظيمات والتوجيهات المتعلقة بكيفية تعامل الأشخاص مع المعلومات بجميع صورها سواءً الإلكترونية أو الورقية أو حتى الشفهية. وتمثل هذه القوانين توجه المنظمة وسياستها في حماية معلوماتها وأنظمتها.
وللأسف تفتقر معظم الشركات والأجهزة الحكومية السعودية لتطبيق مفهوم السياسات الأمنية للمعلومات وذلك لعدم وعيها بفوائد تلك السياسات التي من شأنها أن تقلل من المخاطر الأمنية التي تتعرض لها المنظمة. فعلى سبيل المثال نجد أن سياسة «استخدام الإنترنت» تهدف إلى تقليل المخاطر التي قد توثر تقنياً على المستوى الأمني على جهاز المستخدم وبالتالي على الشبكة الداخلية للمنظمة أو تؤثر معنوياً على سمعة المنظمة في حال نشر المستخدم لأي من أسرار الشركة على سبيل المثال. وتفرض هذه السياسة على الموظفين إتباع قوانين وإرشادات إدارية معينة تتعلق بتوفير جانب الأمان للمنظمة من خلال توجيه الموظفين بعدم تصفح المواقع المشبوهة أو تحميل برامج غير موثوقة قد تحمل برامج تخريبية أو نشر أسرار المنظمة بالمنتديات أو تحميل الملفات الكبيرة كالأغاني أو الأفلام والتي من شأنها أن تستهلك موارد الشبكة سلبياً إلى غير ذلك من التوجيهات الإيجابية الأخرى.
بالإضافة إلى سياسات أمنية أخرى لأمن المعلومات مثل سياسة البريد الإلكتروني، سياسة تطوير الأنظمة، وسياسة
كلمة المرور والتي تحتوي على متطلبات اختيار كلمة مرور قوية غير قابلة للتخمين أو الكسر، الخ.
ولكي تتم الاستفادة القصوى من تنفيذ السياسات الأمنية للمعلومات، ينبغي أن تُعتمد من مستوى عالي في المنظمة كالرئيس أو مجلس الإدارة أو لجنة عليا لإضفاء جانب الإلزام والمسئولية على جميع المعنيين بالشركة بمختلف مستوياتهم الإدارية والوظيفية.
ولقد قامت مجموعة كبيرة من الشركات والمنظمات العالمية الرائدة بتبني معيار موحد (Standard) في رسم وتحديد السياسات الأمنية للمعلومات وهو (BS 9977) والذي يعتبر أفضل معيار عالمي في إعداد سياسات أمن المعلومات. والجدير بالذكر أن هذا المعيار قد تم اعتماده من قبل منظمة المعايير العالمية (ISO). ويقوم هذا المعيار برسم منهجية متكاملة لتطبيق مفهوم أمن المعلومات في المنظمة ابتداءً من تحليل المخاطر المحيطة بالمنظمة (Risk Analysis) حتى استنتاج واستخراج الضوابط الأمنية التي من شأنها تقليل مستوى تلك المخاطر.
المراجع
- د. محمد بن عبدالله القاسم, سياسات أمن المعلومات .
- سلطان سليمان الطخيم, أهمية السياسات الأمنية للمعلومات.