أمن المعلومات
أمن المعلومات علم مختص بتأمين المعلومات المتداولة عبر شبكة الانترنت من المخاطر التي تهددها. فمع تطور التكنولوجيا ووسائل تخزين المعلومات وتبادلها بطرق مختلفة أو ما يسمى نقل البيانات عبر الشبكة من موقع لاخر أصبح أمر أمن تلك البيانات والمعلومات يشكل هاجسًا وموضوعًا حيويًا مهمًا للغاية.
عناصر أمن المعلومات
- السرية وتعني عدم السماح للأشخاص الذين لا يحقّ لهم الاطلاع على المعلومات.
- إدامة عمل الخدمة: فمن عناصر أمن المعلومات هو المحافظة على صلاحية المعلومات للمحافظة على استمرار الخدمة المتوفّرة من خلالها، واستمرارية القدرة الوصول إليها لمن يخوّل له ذلك.
- المحافظة على صحّة المعلومات الموجودة والتأكد من عدم العبث بها أو تعديلها أو تغييرها في أي مرحلةٍ من مراحل المعالجة واستخدامها.
- حسن المراقبة: حيث تتوفّر القدرة على معرفة كلّ شخص وصل إلى المعلومات وما أجرى عليها، وبالتالي السيطرة على الأمور حتى لو أنكر الشخص ذلك.
مهددات امن المعلومات (أنواع الاختراقات)
إن أكثر ما يهدد أمن المعلومات في زمن الإنتشار الزاخر للمعلومات و الشبكات و الأجهزة هي :
- الوصول الغير شرعي للأجهزة والمعدات مثل:.
- الأجهزة المركزية .Servers
- الأجهزة الطرفية للشبكة Workstation
- أجهزة توزيع حركة الشبكة Hubs / Routers / Switches .
الهدف من التهديد:
- تدمير وإتلاف الأجهزة أو المعلومات.
- سرقة أو تعديل المعلومات.
- وضع أنظمة للتجسس والمراقبة، ويتم مكافحة ذلك النوع بالتأمين المادي للأجهزة.
الوسائل التقنية لحماية المعلومات
يُمكن حماية المعلومات والحفاظ عليها من خلال الوسائل التقنية الآتية:
- عمل نسخة احتياطية عادية، وحفظ أهمّ ملفات البيانات من خلال تقنية التخزين عن بعد.
- عمل نسختين احتياطيتين لجميع النظم الفرعية للشبكة المتعلقة بأمن البيانات.
- إمكانية استدعاء مصادر الشبكة عند حدوث خلل بسبب المستخدمين.
- تشغيل أنظمة تزويد الطاقة الكهربائية الاحتياطية عند حدوث خلل ما.
- التأكد من حماية المعلومات من التلف في حال حدوث حريق أو وصول ماء إليها.
- تثبيت البرامج التي تمنع الوصول إلى قواعد البيانات أو أيّ معلومات لمن ليس لديهم الحق في ذلك.
إدارة المخاطر
- ينص التعريف التالي لإدارة المخاطر : “إدارة المخاطر هي عملية التعرف على نقاط الضعف والتهديدات الموجهة إلى موارد المعلومات التي تستخدمها المنظمة أو الشبكة المعلوماتية في تحقيق الأهداف التجارية أو الاخرى، والحد والتقليل من نقاط الضعف إن وجدت، لتأخذ في الحد من المخاطر إلى مستوى مقبول، على أساس قيمة موارد المعلومات إلى المنظمة. “
- هناك أمران في هذا التعريف قد يحتاجان إلى بعض التوضيح. أولا، عملية إدارة المخاطر هي تكرار العمليات الجارية ويجب أن يتكرر إلى ما لا نهاية لان بيئة العمل المتغيرة باستمرار، والتهديدات الجديدة والضعف تظهر كل يوم. والثانية اختيار التدابير المضادة (الرقابة) المستخدمة لإدارة المخاطر يجب أن توازن بين الإنتاجية، والتكلفة، وفعالية التدابير المضادة، وقيمة الموجودات وحماية البيانات.
- الخطر هو احتمال أن شيئا ما سيئا سيحدث يسبب الأذى لأحد الأصول المعلوماتية (أو الخسارة في الأصول). الضعف هو الضعف الذي يمكن أن يستخدم لتعريضها للخطر أو التسبب في ضرر لأحد الأصول المعلوماتية. التهديد أي شيء فعل (من صنع الإنسان او فعل من أفعال الطبيعة) لديه القدرة على التسبب في ضرر.
- احتمال أن يشكل تهديدا سوف تستخدم من التعرض للضرر يتسبب في خطر. عندما لا يشكل تهديدا استخدام الضعف لإلحاق الاذى، لما له من أثر. في سياق أمن المعلومات، وأثر هو خسارة لتوافر والنزاهة والسرية، وربما غيرها من الخسائر (الدخل المفقود، والخسائر في الأرواح وخسائر في الممتلكات العقارية). وتجدر الإشارة إلى أنه ليس من الممكن تحديد جميع المخاطر، ولا هو ممكن القضاء على جميع المخاطر. المخاطر المتبقية تسمى المخاطر المتبقيه.
تتألف عملية إدارة المخاطر من:
- تحديد الموجودات وتقدير قيمتها. تشمل ما يلي: الأفراد والمباني والأجهزة والبرامج والبيانات (الإلكترونية والمطبوعة وغيرها)، واللوازم.
- إجراء تقييم التهديد. وتشمل: أفعال الطبيعة، أعمال الحرب والحوادث والأفعال الضارة القادمة من داخل أو خارج المنظمة.
- إجراء تقييم الضعف، ولكل الضعف، وحساب احتمال أن يكون للاستغلال. تقييم السياسات والإجراءات والمعايير، والتدريب، الأمن المادي، مراقبة الجودة والأمن التقني.
- في حسبانها تأثير كل ذلك من شأنه أن يكون خطرا على كل الموجودات. استخدام التحليل النوعي أو التحليل الكمي.
- تحديد واختيار وتطبيق الضوابط المناسبة. تقدم ردا متناسبا. النظر في الإنتاجية، وفعالية التكاليف، وقيمة الموجودات.
- تقييم فعالية تدابير المكافحة. ضمان توفير الضوابط اللازمة لحماية فعالة من حيث التكلفة دون فقدان ملحوظ في الإنتاجية.
- عند أي خطر معين، يمكن أن تختار الإدارة التنفيذية قبول المخاطرة استنادا إلى انخفاض القيمة النسبية للموجودات، وتواتر حدوث منخفضة نسبيا، وأثر انخفاض نسبي على الأعمال التجارية. أو، قد تختار القيادة التخفيف من المخاطر من خلال تحديد وتنفيذ تدابير الرقابة المناسبة للحد من المخاطر. في بعض الحالات، يمكن أن يكون خطر نقل إلى آخر أعمال التأمين عن طريق شراء أو التسنيد إلى آخر الأعمال. قد واقع بعض المخاطر يمكن الجدال فيها. في مثل هذه الحالات قد تختار القيادة إنكار المخاطر. هذا هو في حد ذاته يشكل خطرا محتملا.
الأمن العسكري
- يعني ضمنًا قدرة الدولة القومية على الدفاع عن نفسها و/أو ردع أي عدوان عسكري. كما يعبّر الأمن العسكري عن قدرة الدولة القومية على إنفاذ خياراتها السياسية باستخدام القوة العسكرية. ويُعتبر مصطلح “الأمن العسكري” مرادفًا لمصطلح “الأمن” في كثير من استخداماته؛ إذ أن أحد تعريفات الأمن الواردة في قاموس العسكرية والمصطلحات المتعلقة بها تشير إلى أنه:«حالة تنتج عن وضع التدابير الوقائية التي تضمن حالة من الأمان ضد الأعمال أو التأثيرات العدائية والحفاظ عليها.» – قاموس العسكرية والمصطلحات المتعلقة بها
- ويُعتبر هذا من الناحية التقليدية أقرب صورة معترف بها من صور الأمن القومي. وقد اتسع نطاق الأمن العسكري من الأشكال التقليدية للصراع بين الدول القومية ليشمل الجيل الرابع من الحروب بين الدول والجهات الفاعلة من غير الدول.
