مفهوم الأمن في تقنية المعلومات: النظرة العامة والتقنية
إن التطرق إلى أمن المعلومات في أي منشأة يعتبر من الموجبات التي لا يمكن الاستغناء عنها، حال الانتهاء من إكتمال البنية التحتية لها أو حتى أن تسير بصورة متوازية معها. وهنا تكمن الحاجة إلى وضع خطوط واضحة ومدروسة بصورة فنية عن ما هو المطلوب تحقيقه من مفهوم الأمن لتقنية المعلومات. إن هذا الأمر يعتمد بالدرجة الأولى على مدى حاجة المنشأة من هذه التقنية والذي يعتمد أساسا على طبيعة الخدمات التي تقدمها. حيث إنها من الممكن أن تأتي على هيئة شريحة واحدة One Layer وفي داخل هذه الشريحة مجموعة من البرامج والأجهزة المتخصصة أو قد تأتي على عدة شرائح Multi Layers والتي تتيح للمنشأة توفير حماية أكبر لبنيتها التحتية بدءا من شبكة العمل المحلية والخارجية والتطبيقات الجاهزة والمطورة وخوادم الملفات وأجهزة الكمبيوتر والطابعات وإنتهاء بأجهزة التخزين وما تحتويه من البيانات المخزنة والمؤرشفة بكافة أنواعها. على سبيل المثال، معظم إن لم يكن جميع شركات الاتصالات والبنوك وأسواق الأسهم والجهات الأمنية والعسكرية والمطارات تعمل بمبدأ مستويات أمنية متعددة من الشرائح لحساسية المعلومات التي تتعامل بها وللكم الهائل منها. لذا فإن وضع سياسة لأمن المعلومات، والتي لربما تعتبر من أكثر الأمور صعوبة وحساسية، وقبل البدء بتطبيق نظام أمن المعلومات يجب أن يكون من أولويات الجهة المعنية بتقنية المعلومات في أي منشأة. وأن هذه السياسة يجب أن تكون واضحة المعالم لجميع منسوبي المنشأة بحيث يكون معروفا مسبقا حقوق وواجبات كل مستخدم ومستفيد من تقنية المعلومات. إذن ما هي الأهداف المرجوة من وضع سياسة أمنية للمعلومات، وبالتالي العمل بها، يمكن الإجابة على ذلك بأهداف قد تكون عامة وقد يكون البعض منها خاصا، كأن يكون الهدف هو منع حصول الاختراقات الأمنية، قدر الإمكان، من خارج أو حتى من داخل المنشأة الواحدة لغير المصرح لهم والحد من مهاجمة الفيروسات للبنية التحتية والتقليل أو حتى منع وصول الرسائل الإلكترونية غير المرغوب فيها، هذه الأهداف وما شابهها تعتبر عامة ومشتركة. أما من أهم الأهداف الخاصة والتي لربما تكون دعائية هي أن لا تكون سمعة المنشأة محلا للشبهات أمام من يتعامل معها وأن بنيتها التحتية غير قابلة للاختراق الأمني وهو هدف له تأثير معنوي أكثر من كونه تقنيا.
بعد أن يتم وضع أهداف محددة لأمن تقنية المعلومات تكون الأمور قد أصبحت ممهدة للبدء في التطبيق الفعلي وفق خطة مدروسة تفي بمتطلبات البنية التحتية للمنشأة والتي من الممكن تطبيقها على مراحل أو في مرحلة واحدة. حيث يبدأ العمل على أثرها في تركيب الأجهزة والبرامج المتخصصة من خوادم ملفات والجدران النارية Firewalls ومكونات شبكة العمل المحلية والخارجية وخطوط الاتصال والربط وخدمات الإنترنت وبرامج مكافحة الفيروسات والدخلاء أو غير المصرح لهم على مستوى معين وغيرها. بعد الانتهاء من ذلك، تقع على عاتق الفنيين في إدارة تقنية المعلومات مهمة متابعة ومراقبة أداء العمل في داخل منظومة أمن المعلومات. وهنا تكمن أهمية وضع سياسة خاصة لكيفية متابعة ومراجعة ذلك من وقت لآخر وأن تكون هذه السياسة مرنة وقابلة للتغيير وأن تتكيف مع ما يستجد من حاجات في وقتها، كأن تكون هذه المراجعة بصورة سنوية أو نصف سنوية أو ربع سنوية أو شهرية أو حسب الحاجة وعلى مدى حساسية المعلومات التي يتم التعامل بها. التثقيف التقني والمهني للمستفيد من الأمور المهمة التي يجب عدم الإغفال عنها، وذلك لرفع مستوى التفاعل مع الخطة الأمنية ولإعلامه من أن ذلك ليس موجها ضده، وإنما لمصلحته ومصلحة العمل بشكل أعم. كما ذكرنا أعلاه، تعتبر بيانات المنشأة من الأمور المهمة التي يجب حمايتها وبمستويات معينة حسب تصنيفها. ويمكن وضع تصنيف للبيانات بقدر أهميتها: بيانات ذات أهمية أو خطورة عالية ولا تكون متاحة للاطلاع عليها إلا من قبل أعلى مسئول في المنشأة والافصاح عنها يشكل خطورة، وبيانات خاصة لا يشكل الافصاح عنها خطورة ويكون ذلك عبر موافقات مسبقة وبيانات متاحة للعامة للاطلاع عليها بدون قيود.
لكي نحقق أقصى إستفادة من أمن المعلومات لا بد وأن نضع نصب أعيننا أنه بدون خطة مدروسة واضحة المعالم وتنفيذ سليم وتقييم الوضع بصورة مستمرة ووجود طاقم فني متمكن لتقديم خدمات الدعم الفني والصيانة والمتابعة كل ما دعت الحاجة إلى ذلك، فلن يكتب لها النجاح المطلوب منها.
* مدير إدارة تقنية المعلومات
مؤسسة اليمامة الصحفية