يمثل أمن المعلومات ونظمها في البيئة الرقمية حماية المعلومات من حيث توافرها وإضفاء الثقة فيها وتأكيد سلامتها. ويعبر توافر Availability المعلومات علي خاصية من خصائص نظم المعلومات الممكن الوصول إليها واستخدامها علي أساس فوري في إطار نمط محدد ومطلوب، كما يصبح في الإمكان الوصول إلي النظام عندما يطلب بطريقة معتمدة ووفقا لمواصفات ملائمة لهذا للنظام؛ وتعتبر السرية Confidentiality خاصية ترتبط بعدم تغيير البيانات والمعلومات أو فقدها أو إهدارها وإتاحتها فقط لأشخاص وكيانات معتمدة ومصرح لها فقط باستخدامها، وتتضمن العمليات التي تستخدم أساليب التشفير والحجب لمحتويات البيانات والمعلومات أو السماح بها في أوقات وفي طرق معتمدة. أما السلامة Integrity فهي خاصية البيانات والمعلومات الدقيقة والكاملة التي تحفظ بدرجة كبيرة من الدقة والاكتمال. وتتنوع الأولوية والأهمية النسبية لتوافر المعلومات وسريتها وسلامتها طبقا لنظام المعلومات المتاح.
والعرض التالي يوضح معالم أمن نظام المعلومات وإطار الأمن ومكوناته أو معالمه والتهديدات المختلفة التي يتعرض لها نظام المعلومات:
3-1 أمن نظام المعلومات:
يمثل الهدف من أي برنامج أمن يعد لنظام المعلومات حماية معلومات المنظمة أو المنشأة المعنية بتقليل المخاطر التي قد تؤثر علي توافر المعلومات وسريتها وسلامتها بمستوي مقبول ومحدد.
ويتضمن برنامج أمن المعلومات الجيد توافر عنصرين رئيسيين، يتمثلان في تحليل المخاطرة وإدارة المخاطرة.
وفي مرحلة تحليل المخاطرة يراعي مستودع البيانات والمعلومات لكل النظم المتوافرة في المنظمة. وينشأ كل نظام من نظم المعلومات قيمة خاصة للمنظمة والدرجة التي تقرر لتعرض المنظمة للمخاطرة. أما إدارة المخاطرة فهي من جهة أخري تتضمن أساليب الرقابة ومقاييس الأمن التي تقلل تعرض المنظمة لمستوي مقبول ومسموح به من المخاطرة. ولكي يكون أمن نظام المعلومات فعالا وكفء ويعكس الإحساس المشترك، يجب أن تعمل إدارة المخاطرة مع إطار الأمن ، حيث تكمل مقاييس أمن المعلومات من خلال القوي العاملة المهنية في تكنولوجيا المعلومات والاتصالات والإدارة إلي جانب مقاييس الأمن الطبيعية
ويتضح أن إدارة أمن المعلومات هي قضية إدارية في المقام الأول، حيث يتوصل فيها إلي توازن بين قيمة المعلومات للمنظمة من جهة وتكلفة الأفراد والمقاييس الإدارية والتكنولوجية من جهة أخرى. وتضع مقاييس الأمن الحاجة في التوصل إلي أقل تكلفة من المخاطر أو الأضرار التي قد تسبب فقد سرية المعلومات وتحد من سلامتها وتوافرها.
وتتطلب كثير من المناهج المتبعة في تحليل المخاطرة الرسمية خبرة فنية عالية في مجال تكنولوجيا المعلومات وأساليب رقابة متوافقة وتوافر تكرار أحداث الخطر المحتملة التي قد تكون خارج نطاق عمليات المراجعة التقليدية المتبعة. ويتمثل الهدف من تحليل المخاطرة بناء خبرات وموارد مكتسبة بمرور الوقت,
3-2 إطار أمن المعلومات:
يمثل أمن المعلومات أحد عناصر البنية الأساسية التي يجب أن تتاح لأمن نظام المعلومات، وعلي ذلك يجب ألا يفحص من فراغ، كما يجب وجود إطار سياسات أمن يختص بكل أوجه الأمن الطبيعي وأمن الأفراد وأمن المعلومات، بالإضافة إلي وجود أدوار ومسئوليات واضحة للمستخدمين وأفراد الأمن وأعضاء لجنة إدارة نظم المعلومات.
ويشتمل برنامج أمن المعلومات علي كل الأوجه الحساسة لمعلومات المنظمة التي تتضمن سريتها وسلامتها وتوافرها. كما يجب أن يحدد أيضا برنامج أمن المعلومات برنامجا للتوعية يوضع سبل التنفيذ ويذكر كل العاملين بالمنظمة المعنية بالمخاطر والهجمات الممكنة ومسئولياتهم في حفظ معلومات المنظمة. وإلي جانب الإشارة للشكل رقم (1) السابق يمثل أمن المعلومات مجموعة من المقاييس المختلفة علي كافة المستويات الطبيعية وتلك المتعلقة بالأفراد والمقاييس الإدارية لمستويات نظام المعلومات المتكاملة معا، ويمثل أمن المعلومات مقاييس الرقابة الإدارية الجيدة. وعند وجود أي قصور في أحد المستويات يمكن أن يهدد كل المستويات الأخرى. علي سبيل المثال، إذا كانت سياسات أمن الأفراد غير متضمنة وبالتالي غير منفذة يصبح أمن المعلومات باهظ التكلفة أو علي الأقل غير ممكن مساندته. ومن جهة أخري، يجب أن تؤكد المقاييس المخططة لكل المستويات حدا أدنى من حماية المعلومات علي أن تكون مخاطرة الأمن محسوبة ومقبولة من قبل الإدارة المعنية.
وتوجد بعض الأوضاع المعينة التي يمكن لمقاييس الأمن في أحد مستويات نظام المعلومات أن تعوض ضعف الأمن في مستويات أخرى. علي سبيل المثال، تضيف عملية التشفير Encryption حتى في الحالات التي تكون فيها مقاييس الأمن الطبيعية أو تلك المتعلقة بالأفراد أو المقاييس الإدارية ضعيفة، يصبح التشفير أحد معالم الدفاع الأخيرة للمساعدة في حماية أي أخطار تواجه سرية المعلومات.
وعند التخطيط لأمن المعلومات، يجب توازن قيمة المعلومات لإدارة المنظمة مع الحجم النسبي لأنواع المعلومات الأخرى في مواجهة حد الأمن المتوسط في الأساس. وفي كثير من المصالح والأجهزة الحكومية، يجب توافر متطلبات أمن صارمة لمعالجة وتخزين واسترجاع المعلومات ونقلها بطريقة تحمي سريتها وسلامتها في مستودعاتها المقروءة آليا.
وفيما يتصل بإطار المعلومات، يمكن ملاحظة تواجد مدخلا يتضمن طبقتين لمراجعة أمن المعلومات. ويرتكز هذا المدخل علي توظيف الإدراك المشترك والسليم في توازن تكلفة الأمن المبنية في نظام لقيمة المعلومات المتدفقة في نظام المعلومات.
وتشتمل الطبقة الأولي من هذا المدخل الخاصة بتحليل المخاطرة علي المراجعة من أعلي لأسفل، وتحديد التكاليف الصافية المحتاج إليها، والخبرة والموارد المتوافرة، والتحليل المفصل. أما الطبقة الثانية المرتبطة بإدارة المخاطرة فتتضمن توصيا الأمن العام والمقاييس المعينة، والتحليل الإضافي الكمي، ومرحلة التنفيذ المتعلقة بالمقاييس المفصلة المتضمنة تكلفة الصيانة.
3-3 مكونات ومحاور أمن المعلومات:
تنفيذ وتشغيل نظام أمن المعلومات يمثل طريقة حياة تعتمد علي أربع مكونات أساسية كل منها كل منها مهم ولا يمكن التعامل معه بصفة فردية مستقلة.
1. العمليات: Possesses تعتبر العمليات لا غني عنها لأي نظام أمن، فهي جوهرية وذات طبيعة مستمرة. ويحكم أداة عمليات أمن المعلومات مجموعة من المعايير كتلك التي قررتها المنظمة الدولية للتوحيد القياسي ISO التي تعتبر ذات قيمة كبيرة لأي نظام أمن معلومات. وتطبق العمليات بطريقة منظمة كما تراجع باستمرار في إطار الخبرة المتراكمة بغية استبعاد الأخطاء والمخاطر.
2. البشر: People الذين يمثلون العاملين، المستشارين، المتعاقدين، والفنيين وينجزون كل العمليات والخدمات، ويحتاج إلي تواجدهم بأعداد وتخصصات ملائمة وبمهارات وخبرات ودافعية مناسبة.
3. التكنولوجيا: Technology تعتبر متوافرة وجاهزة، ولمنتجاتها دورات حياة قصيرة نسبيا. وتعتبر سوق التكنولوجيا ذات طبعة تنافسية، يتوافر لها عدد كبير من المنتجين و الموردين والبائعين والموزعين الذين يأتون ويذهبون ، وقد يندمجون في شركات أكبر أو قد يخسرون ويخرجون من سوق الأعمال. ويجعل ذلك من الصعب تقييم التكنولوجيا عما كانت عليه في الماضي.
4. الثقافة: Culture ترتبط بتفسير بيئة الأعمال وتتعلق بأخلاقيات المنظمة تجاه المجتمع، حيث يكون لإدارة المنظمة دورا رئيسيا تؤديه في حفظ ثقافة المنظمة المتوافقة مع ثقافة مجتمعها. ومن أمثلة الثقافات الناجحة في إدارة أمن المعلومات التي يمكن تتبعها في مجالين رئيسيين:
الاستخبارات، الأمن والدفاع.
الصرافة، التبادل الخارجي والتأمين.
وتشتمل الأوجه الثقافية ذات الطبيعة الحرجة في إدارة نظام أمن المعلومات الناجح
علي التالي:
- المساندة والالتزام الكامل تجاه أمن المعلومات من قبل الإدارة العليا بالمنظمة.
- الانضباط التنظيمي القوي.
- السياسة الموثقة والموصلة بوضوح لكل العاملين.
- العمليات الموثقة والمساندة بواسطة المراجعات المستمرة.
- توافق عمليات المراجعة المستمرة.
- الاختبارات والمراجعات العادية الدورية.
3-4 تهديدات أمن نظم المعلومات: Threats to Information Systems
توجد كثير من التحديات تؤثر علي الأداء السليم لوظائف نظم المعلومات، التي منها: التطورات التكنولوجية المتسارعة، المشكلات الفنية المتزايدة، الأحداث البيئية المتغيرة، الضعف البشري، وعدم ملاءمة المؤسسات الاجتماعية والسياسية والاقتصادية الراهنة للمتغيرات المتلاحقة، الخ. وتنبع التهديدات والمخاطر التي تواجه نظم المعلومات من الأفعال والتصرفات المقصودة وغير المقصودة علي السواء التي قد ترد من مصادر داخلية أو خارجية، كما أنها تتراوح من أحداث مفاجئة أو أحداث ثانوية تؤدي إلي عدم الكفاءة اليومية المتوقعة. علي سبيل المثال، قد تنتج الأعطال من أعطال كبيرة تؤدي إلي توقف العمل، أو إبطاء العمل بصفة دائمة، أو تقلل قيمة النظام وتفسخ خدماته.وفي هذه الحالة يجب مراعاة توقيتات الأعطال والتشويش الذي يتعرض له النظام عند التخطيط لأمن المعلومات من البداية.
والعوامل الفنية التي تؤدي لفشل نظم المعلومات عديدة ومتنوعة، كما قد تعتبر غير مفهومة في بعض الأحيان، أو تتغير علي الدوام.
وقد تنبع أخطاء النظام من سوء استخدام الأجهزة والبرمجيات، الأخطاء الكامنة Bugs، التحميل الزائد أو المشكلات التشغيلية وغير ذلك. وقد تظهر الصعوبة في مكون النظام الداخلي كما في حالة أجهزة وملحقات النظام المتعلقة بوحدة الذاكرة، تجميع نظام الحسابات الشبكي أو النظام الموزع؛ أو في برمجيات نظم التشغيل والتطبيقات مثل المحرر Editor ، الجامع Compiler، شبكة الكمبيوتر المحلية LAN. وقد تكون الصعوبة نابعة من مكون النظام الخارجي كما في حالة دوائر الاتصالات عن بعد أو الأقمار الصناعية، أو نتيجة لتواصل وترابط مكونات النظام المختلفة معا.
وقد تتسبب المشكلات الفنية نتيجة للهجمات المختلفة التي يتعرض لها النظام. فغالبا تدخل الفيروسات Viruses في النظام من خلال البرمجيات المصابة Infected ، المتطفلين Parasites ، أبواب الشراك Trap Doors ، الديدان Worms، أو القنابل المنطقية Logic Bombs، الخ. التي تمثل بعض الوسائل الفنية المستخدمة لتعطيل النظام وتشويه ، إتلاف أو تحريف بياناته ووظائفه المختلفة.
والصعوبة في صيانة وحماية أمن المعلومات والنظم والشبكات قد تنبع من تواجد بيئات متعددة من الأطراف المرتبطة بها كالمتعهدين، الموردين، البائعين، الخ. علي سبيل المثال، توجد مشكلة جوهرية تتعلق بعدم توافر برمجيات تحكم ورقابة علي الوصول المعتمد التي يتفق عليها كل الأطراف المعنية. ومن مقاييس الأمن الشائعة ضرورة توافق البرمجيات في بيئة الموردين المتعددة. وحتى يمكن التوصل لذلك، يصبح من الضروري موافقة منظمات التوحيد القياسي، الموردين، والمنظمات ومستخدمي نظم المعلومات علي المعايير والتوجيهات الحاكمة لقياسات الأمن ذات الطابع الدولي.
وتقع التهديدات الطبيعية لنظم المعلومات في مجموعتين عريضتين: الأحداث البيئية الجسيمة، وأوضاع التجهيزات الطبيعية المعكوسة. وتشتمل الأحداث البيئية الجسيمة علي الحرائق، الزلازل، الفيضانات، العواصف الكهربائية، الموجات الحرارية المرتفعة، والرطوبة الزائدة وما شابه ذلك. وقد يقع نظام المعلومات يضم الحاسبات الآلية وخطوط الاتصال، حيث قد يكرس له حجرات للحاسبات الآلية وحجرات تخزين البيانات لها ارتباطات وتجهيزات للطاقة الكهربائية والاتصالات تتعرض كلها للأحداث البيئية الجسيمة عند حدوثها. أما أوضاع التجهيزات الطبيعية المعكوسة فقد تظهر من خلال اختراق مقاييس الأمن الطبيعية في حالات انقطاع التيار الكهربائي، سوء استخدام أجهزة التكييف، تسرب المياه، أو بسبب الغبار والأتربة، الخ. وقد يتأثر نظام المعلومات من الإهمال المباشر في الأماكن المخصصة له، أو غير المباشر في نقاط الربط الجوهرية خارج المنظمة كما في إمداد الكهرباء أو قنوات الاتصال عن بعد. كما يساهم البشر وما ينشأونه من مؤسسات مختلفة اقتصادية، سياسية أو اجتماعية في قصور قيمتها وأدائها مما ينجم عنه مشكلات أمنية أيضا. وقد يؤدي التنوع الكبير لمستخدمي نظام المعلومات والمتعاملين معه (العاملون، المستشارون، العملاء، المنافسون والجمهور العام) فيما يتعلق بتوعيتهم وتدريبهم واهتماماتهم المختلفة والمتفرقة في ظهور صعوبات خاصة بأمن المعلومات ونظمها.
إن نقص التدريب والتوعية الملائمة عن أمن المعلومات وأهميته تسهم في الجهل باستخدام نظم المعلومات المناسبة. وبدون تنظيم دورات تدريب ملائمة، قد يجهل كثير من العاملين والمستخدمين بأعراض الأضرار النابعة من سوء استخدام نظم المعلومات، كما قد لا يستخدمون أي مقاييس أمن حتى البدائية منها ، مما قد يؤدي إلي مزاولات تعود بالإساءة لأمن المعلومات. ويقدم اختيار كلمة المرور Password الذي يمثل نشاط المستخدم في كل أنحاء العالم بل يمثل النشاط الرئيسي لأي نظام معلومات مثالا واضحا لأمن المعلومات. فعلي الرغم من أن كلمات المرور تطبق عادة علي رقابة الوصول إلي معظم نظم المعلومات، لا زال عدد قليل جدا من المستخدمين يعلم بأهمية الحاجة لأمن كلمة المرور بالطريقة التي تتمثل في تحديد أو إنشاء كلمة المرور ومن العواقب التي تتمثل في سوء استخدام النظام.
علي أنه بدون تدريب أو توجيه، يستطيع كثير من المستخدمين اختيار كلمات مرور واضحة يسهل تذكرها والتحقق منها مثل أسماء العائلة، الأسماء القصيرة، أو الكلمات المرتبطة بالمهام، الخ. وبعد الدخول أو الولوج في النظام، قد يترك المستخدمون غير المدربين كلمات المرور الخاصة بهم معروضة وغير مستخدمة علي النهايات الطرفية النشطة المرتبطة بنظم الشبكة ، كما يفشلون في إنشاء ملفات بيانات إضافية مساندة، ويشتركون في رموز التعريف وكلمات المرور، ويتركون منافذ الرقابة والوصول مفتوحة في مواقع الأمن مما يعرضها للاختراق. وكل ذلك يمثل مشكلات الأمن التي تظهر من الدخول علي ملفات الحاسب لآلي، التحويل علي الحاسبات أو النهايات الطرفية وامتلاك كلمات المرور وسوء استخدامها.
وقد تحدث الأخطاء والاختراقات في تجميع البيانات والمعلومات ومعالجتها وتخزينها وإرسالها وحذفها. كما أن فشل عمل نسخ بديلة ومساندة للملفات والبرمجيات ذات الطبيعة الحرجة يضاعف من آثار الأخطاء والاختراقات ذات الطابع السلبي. وعندما لا توجد سياسة أمن للمنظمة المعينة تتصل بإعداد وحفظ نسخ إضافية مساندة لملفات المعلومات والبرمجيات التي تمتلكها، فإنها سوف تتحمل نفقات وخسائر واضحة ترتبط بالوقت والجهد والمال الذي ينفق في إعادة إنشائها من جديد.
إن سوء الاستخدام المقصود للنظام والوصول غير المعتمد له بغرض التطفل والنزوع للأذى وتعمد التخريب والتدمير والاحتيال أو السرقة تعتبر مخاطر وتهديدات خطيرة تؤثر سلبيا علي قابلية نمو حياة النظام والمنظمة المالكة له بل تؤثر أيضا علي القابلية للبقاء والتواجد. علي سبيل المثال، استنساخ البرمجيات غير المعتمد المنتشر علي نطاق واسع قد يؤدي إلي خسائر كبيرة علي النظم والمنظمات.
ومن المألوف أن جزءا أعظم من التهديدات التي تواجه نظم المعلومات يأتي غالبا من المصادر الخارجية. كما أنه علي النقيض من ذلك، فإن الأشخاص الذين منحوا حق الوصول المعتمد للنظام قد يعرضون تهديدات أعظم تواجه نظم المعلومات أيضا. فعلي الرغم من أنهم قد يكونوا مؤتمنين أو عاملين من ذوي النوايا الحسنة فإنهم بسبب التعب أو الإرهاق أو التدريب غير الملائم قد يقترفون أفعالا غير متعمدة قد تسهم في حذف كميات كبيرة من البيانات الهامة للمنظمة التي يعملون بها. وفي حالة كون الأشخاص غير مؤتمنين فإنهم يسيئون استخدام نظم المعلومات أو يتعمدون الوصول المعتمد علي العبث والتلاعب في النظام بطرق متعمدة بغية الاستغلال أو الثراء الذاتي للإضرار بالمنظمة التي يعملون بها.
وبرامج الحاسبات التي تمثل عنصرا مهما من عناصر نظام المعلومات، من المحتمل أن تكون مجالا خصبا للتهديدات التي يتعرض لها النظام، حيث قد تشتمل هذه البرامج علي فيروسات الحاسبات الوالجة في النظام مما قد يعرض سرية بياناته وخصوصيتها وتوافرها للخطر المتزايد. بالإضافة لذلك فإن التحميل المتزايد للبيانات والمعلومات في النظام، أو تحويرها وتغييرها، وانتهاكات اتفاقيات الترخيص الممنوحة قد تعرض أمن نظام المعلومات للخطر الإضافي. علي سبيل المثال، فإن تبديل البرنامج المرخص به بطريقة غير معتمدة، قد يؤدي إلي قصور الأداء عند تفاعل البرمجيات المعدلة والمراجعة مع أجزاء النظام الأخرى. كما أن إفشاء البيانات الضمنية قد يضر بالوضع التنافسي للمنظمة مما يؤدي إلي خسارتها بل وبقائها.
من هذا المنطلق، يجب أن تمتد إجراءات الأمن الملائمة لما بعد النهايات الطرفية وخطوط الاتصال إلي مجال نظام المعلومات بالكامل. فعلي سبيل المثال، عدم ملاءمة تداول وسائل تخزين البيانات والمعلومات (سواء كانت ورقية، ممغنطة، ضوئية، الخ)، بالإضافة إلي عدم ملاءمة طريقة التخلص أو تدمير التقارير التي تمثل مخرجات النظام تؤدي إلي ثغرات أمنية مكلفة. فمثلا قد تشتمل مخرجات الحاسبات الورقية علي معلومات ضمنية أو تنافسية أو مفاتيح تخص الوصول للنظام وأصوله، كما أن كثيرا من الشركات أو المؤسسات المختلفة لا يتوافر لها سياسات واضحة للتخلص أو استبعاد أصولها المعلوماتية مما يجعل أمن المعلومات سهلا في الاختراق.
وقد يؤدي عدم وجود سياسات واضحة لاستخدام نظام المعلومات إلي مشكلات أمن ضخمة يتعرض لها النظام، كما في حالة أعمال الصيانة والسلامة عند نقص الأفراد المؤهلين، أو بسبب تغيير ودوران العمالة ، أو إدخال تكنولوجيات متقدمة تتطلب مهارات جديدة، أو إبطاء العمل أو توقفه التي يجب مراعاتها من بدء التخطيط لنظم الأمن والشفافية المطلوبة.
ومن الملاحظ أن كثيرا من المؤسسات أو المنظمات السياسية والاقتصادية والاجتماعية القائمة حاليا وخاصة في المجتمعات النامية لم تجاري حتى الآن التطور والنمو التكنولوجي المرتبط باستخدام نظم المعلومات وتأمينها، فلا يزال يوجد قصور واضح ونقص كبير في التقنين والتوحيد لعدم الأخذ بالمعايير الدولية والتشفير الخاص بالمزاولة الأحسن، إلي جانب قصور الإرشاد والتوعية والحقوق والالتزامات القانونية، مما يزيد في النفقات ويسبب تأخير الأعمال وعدم تكامل البيانات. إن السماح باستمرار الوضع الراهن يحد من النمو المستقبلي ويؤخر اللحاق بعصر المعلومات والمعرفة المستهدف.
3-5 الأضرار الناجمة من قصور أمن المعلومات:
الأضرار التي تنجم عن قصور وفشل إجراءات الأمن تؤدي إلي خسارة مباشرة تعود بالضرر علي المنظمة المعنية. علي سبيل المثال، تتمثل الخسارة المباشرة في المصالح أو الأجهزة الحكومية علي المعالجات، محطات العمل، الطابعات، الأقراص والأشرطة وأجهزة الاتصالات؛ البرامج المتضمنة في نظم التشغيل وبرمجيات التطبيقات؛ التوثيق المتضمن المواصفات وأدلة المستخدم وإجراءات التشغيل؛ والقوي العاملة المشتملة علي المشغلين والعاملين الفنيين والمساندين للنظام والمستخدمين؛ إلي جانب البيئة الطبيعية المتضمنة حجرات الحاسبات والاتصالات وأجهزة التكييف وإمداد الطاقة الكهربائية. وعلي الرغم من أن الخسارة المباشرة قد تشكل نسبة صغيرة من الخسارة الكلية النابعة من فشل إجراءات الأمن، إلا أن الاستثمار الكامل من تطوير وتشكيل النظام يعتبر جوهريا في العادة. ويتطلب نظام المعلومات حماية تختص بحقوقه من أصول المعلومات المخزنة في أوعيته وقنواته المختلفة والمتعددة. وتتصل الحاجة لحماية النظام والطريقة التي يعمل بها بالأسلوب المرتبط بحماية البيانات والمعلومات التي يقوم النظام بتخزينها ومعالجتها ونقلها لكي يحافظ علي توافرها وسريتها وخصوصيتها، وبما يمنع تبديل أوعيتها أو قنواتها التي يدخل من خلالها البيانات والمعلومات أو تصبح عرضة للفيروسات ذات التأثير الضار والمدمر علي تشغيل واستخدام النظام.
وقد تحدث الخسارة الناجمة عن ذلك، من فشل نظام المعلومات في تحقيق الأهداف المتوقعة وأداء الأنشطة والمهام والخدمات المطلوبة منه. وتشتمل الخسارة النابعة من فشل إجراءات أمن النظام علي التالي:
· خسارة السلع، الأصول الملموسة الأخرى، الاعتمادات أو الملكية الفكرية؛ خسارة معلومات قيمة.
· خسارة الرغبة في العمل الكفء المتسم بالجودة العالية للعملاء أو الموردين.
· خسارة المطالبة بالعقوبات من الانتهاكات الضارة وعدم الالتزام بالاتفاقات والتشريعات القانونية المنظمة.
· الخسارة والأضرار النابعة من ارتباك الأعمال وعدم مصداقيتها أمام الرأي العام والأجهزة الرقابية المسئولة.
في ضوء كل ذلك تصبح مهمة حماية وتأمين البيانات والمعلومات لها الأولوية القصوى والمطلقة في تخطيط وعمل نظم المعلومات علي كافة أنواعها وتوجهاتها.
3-6 تعزيز أمن النظم:
يجب موازنة أغراض السرية والسلامة والتوافر في مواجهة الأولويات التنظيمية الأخرى مثل فعالية التكلفة ضد انتهاكات الأمن السلبية ويجب ألا تتعدى التكلفة العائد المتوقع. وعلي ذلك يجب أن تكون أساليب الرقابة علي الأمن كافية لمنع المتطفلين والمخربين الذين يحاولون دخول نظم المعلومات لرؤية المعلومات غير المصرح بها أو الحصول عليها أو تداولها، حيث أن استخراج أو استخلاص التكاليف وكمية الوقت المطلوب تعتبر أعظم من القيمة التي الممكنة التي تكسب من الاقتحام غير المعتمد.
وتساعد المقاييس الملائمة لأمن نظم المعلومات في تأكيد دقة وسلاسة الأداء الوظيفي لنظم المعلومات. إلي جانب ذلك فيما يتصل بالعوائد التي تعود بالنفع علي نظم المعلومات التجارية، فإن أمن نظم المعلومات قد يساعد في حماية البيانات والخصوصية الشخصية والملكية الفكرية لهذه النظم التي قد تخدم أيضا في تعزيز إجراءات الأمن المستهدفة. كما أنه من جهة أخري، أدي استخدام نظم المعلومات التجارية في جمع البيانات الشخصية وتخزينها وإحالتها أو الاتجار فيها إلي بزوغ الحاجة الملحة لحماية تلك النظم من الوصول إليها والاستخدام غير المعتمد لها. وتشتمل طرق حماية نظم المعلومات علي ضرورة التحقق من المستخدم لإضفاء الشرعية والصلاحية له، الرقابة علي الوصول لملفات البيانات والتحكم في النهايات الطرفية ومراجعة شبكة المعلومات. وفي العادة تساهم تلك المقاييس علي أمن نظم المعلومات وحماية البيانات والخصوصية الشخصية.
ومن الممكن أن يساء استخدام بعض المقاييس المطبقة والمكيفة لأمن المعلومات فيما يتصل بانتهاك الخصوصية الشخصية. علي سبيل المثال، من المحتمل أن الشخص المستخدم لنظام المعلومات رصد بياناته لغرض غير مرتبط بالأمن للحصول علي معلومات عنه قد ترتبط ببياناته المالية والوظيفية والطبية وغيرها من البيانات الشخصية. وتعطي المبادئ والتوجيهات والمعايير التي تحدد لأمن وحماية خصوصية المعلومات الشخصية وتدفقها عبر حدود النظم بل والأمم توجيهات محددة في تحقيق واقع متوافق مع أهداف أمن نظم المعلومات وحماية خصوصية البيانات الشخصية، كما سوف يتعرض له في هذا العمل لاحقا.
وكما سبق بيانه، تتضمن نظم المعلومات الأجهزة، برامج الحاسب، قواعد البيانات، تصميمات ترتيب شرائح أشباه المعالجات Semiconductors ، البيانات والمعلومات، إلي جانب العناصر التي تحمى بواسطة قوانين الملكية الفكرية والصناعية. وتعتبر الملكية الفكرية في نظم المعلومات غير محسوسة وتتخطى الحدود الافتراضية غير المدركة وعرضة للهجمات الضارة، كما قد يقوي أمن نظم المعلومات حماية الملكية الفكرية بقصرها علي الوصول المعتمد والمصرح به لمكونات النظام كالبرمجيات أو المعلومات ذات الطابع التنافسي.