أهمية أمن المعلومات وسياساته (١)

أهمية أمن المعلومات وسياساته (١)
بقلم:المهندس اسماعيل بابكر
ما هو أمن المعلومات
يعرّف أمن المعلومات بأنه مجموعة العمليات والممارسات التي تهدف إلى حماية المعلومات والمحافظة عليها من الأخطار الخارجية، مثل الإتلاف أو السرقة أو التخريب. يعتمد أمن المعلومات بشكل رئيسي على حماية المعلومات بكافة أنواعها وأينما وجدت، بشكل تحدده سياسة الشركة أو الفرد المالك لها.
عمِد المهتمين بحماية المعلومات إلى تشفيرها وابتكار شيفرات سرية تمكنهم من التواصل وتبادل الرسائل بشكل يضمن انعدام إمكانية سرقتها، بالإضافة إلى عدم قدرة السارق على فهمها وتسريبها، بالتالي الفشل في الاستفادة منها.
أخذت طرق حماية المعلومات مع التقدم التكنولوجي والأمني تصبح أكثر تعقيدًا عمّا سبق، عبر استخدام وسائل تشفير أكثر فعالية وبالتالي إمكانية استخدام وسائل التواصل العادية في نقلها دون الخوف من تعرضها للاختراق.
تبلور مصطلح أمن المعلومات بشكله الحالي بعد اختراع الإنترنت والحواسيب التي تتضمن المعلومات السرية، والتي لا يرغب الأفراد والشركات والدول على حد سواء في تسريبها وتعرضها للسرقة والتخريب.
لهذا أخذت الشركات تعمل على تطوير وسائل حماية المعلومات بشكل كبير، بسبب ازدياد التنافسية بينها بالإضافة إلى اتساع آفاق استخدام شبكة الإنترنت في تبادل وتخزين المعلومات (التخزين السحابي).
الفرق بين الأمن السيبراني وأمن المعلومات
قبل التعرف على الفروق التي تميز أمن المعلومات عن الأمن السيبراني علينا أن نتعرف على معنى مصطلح الأمن السيبراني أو cybersecurity.
ما هو الأمن السيبراني
هو مجموعة الإجراءات التي تهدف إلى حماية الأجهزة والشبكات ككل من الهجمات غير المتوقعة، بالإضافة إلى منع الوصول غير المصرح فيه إلى المعلومات التي تحتويها.
يشمل الأمن السيبراني حماية كلٌ من:
الحواسيب.
السيرفرات.(المخدمات)
التخزين السحابي.
حيث تسعى الشركات ولا سيما الكبيرة منها إلى توظيف فريق من المختصين ذوي الخبرة العالية في مجال الأمن السيبراني، حيث يعود الأمر إلى إمكانية تعرض الشركة أو أحد منتجاتها إلى هجمات ومحاولات اختراق إما بهدف السرقة أو التخريب من قبل الشركات المنافسة.
إذ تعد التنافسية العالية بين الشركات إحدى أكثر الأسباب التي تؤدي إلى حصول الهجمات الإلكترونية، علاوةً على ما سبق تسعى الدول والمنظمات لتأمين بياناتها ومعلوماتها عبر حماية الخوادم الحكومية وغيرها من الحواسيب التي تحمل معلومات خاصة.
ذلك بغرض تفادي جميع أنواع الهجمات الإلكترونية التي تكون لأغراض سياسية بالمرتبة الأولى، والتي بدورها قد تؤدي إلى مشاكل دبلوماسية وغيرها، حيث تتم الهجمات الإلكترونية بشكل رئيسي عبر الإنترنت.
يمكن اعتبار الفرق الرئيسي بين أمن المعلومات والأمن السيبراني هو في نوعية المواد المحمية، حيث يسعى أمن المعلومات بشكل رئيسي إلى المحافظة على بيانات الشركات أو المستخدمين على حد سواء من التعرض للسرقة أو الاختراق أينما وجدت بغض النظر عن الأجهزة التي تحويها.
بينما يعمل الأمن السيبراني على حماية الأجهزة المادية التي تتضمن المعلومات من التعرض للسرقة أو الاختراق لأغراض تخريبية أو لغيرها.
علاوةً على ما سبق يستطيع المستخدم أو الجهة المسؤولة تحديد تصريحات وإمكانيات بالإضافة إلى مدى تطبيق أمن المعلومات.
يظهر نظام حماية المعلومات للجهة المسؤولة أي محاولة للاختراق وسرقة البيانات بينما يتمثل الأمن السيبراني في عملية الكشف عن محاولات السرقة والاختراق بالإضافة إلى تتبع الجهة المُخترقة والوصول إليها.
يتطلب التمكن من الأمن السيبراني امتلاك خبرات عالية المستوى وذلك لحماية الحواسيب والخوادم التي تحوي المعلومات من التعرض للهجمات ومحاولات الوصول غير المصرح به، بالإضافة إلى ذلك يشمل الأمن السيبراني حماية النظم والحواسيب والشبكات ككُل من التعرض للاختراق بينما يستهدف أمن المعلومات حماية المعلومات بشكل خاص من أي عملية سرقة أو تخريب.
بلغة أخرى إذا أمكن التشبيه بالدماغ البشري، أمن المعلومات يحمي الأفكار من السرقة والاختراق بينما الأمن السيبراني يحمي الدماغ من التعرض للاختراق والتخريب المتعمد بشكل كامل.
سياسة أمن المعلومات
تركز سياسة حماية المعلومات على تطبيق المعايير الدولية في حماية المعلومات واتخاذ الإجراءات المناسبة في هذا الصدد، حيث تشتمل سياسة أمن المعلومات بشكل رئيسي على:
1.تحديد الغرض من حماية المعلومات
رغم أنه يعد من البديهي قليلًا تحديد الغرض من أمن المعلومات ألا وهو حمايتها من الوصول غير المصرح به، تسعى الشركات إلى تحديد الغرض بغية إيضاح ما تريد الوصول إليه في ضمان أمن المعلومات وسلامتها

2.نطاق تطبيق مفهوم حماية المعلومات
يشمل تحديد الجهات الخارجية والداخلية على حد سواء التي تخضع إلى سياسة حفظ المعلومات، أي بلغة أخرى تبيان المعلومات التي تهتم الشركات في المحافظة عليها بشكل رئيسي دون غيرها.
3.تحديد الجهات المسؤولة والراعية
يعني المصطلح السابق تحديد المسؤولين المخولين بإجراء التعديلات والتغييرات على سياسات أمن المعلومات دون غيرهم بالإضافة إلى تحديد الجهات المسؤولة عن ضمان تطبيق سياسة الأمن وسرية المعلومات.
تتغير سياسات الشركات تبعًا لتغيرات أوساط وزمن وآليات تبادل المعلومات بشكل مستمر، وذلك لضمان حمايتها من الاختراق بشكل مطلق وصحيح.
4.تحديد قيود التنفيذ
حيث ترسم المؤسسات والشركات لتحديد قيود تفعيل سياسة حماية المعلومات والتبعات المترتبة على مخالفة قواعد أمن المعلومات، والتي قامت برسمها مسبقًا.
5.تاريخ تطبيق السياسة
أي تحديد المدة الزمنية التي ينبغي فيها تطبيق السياسة ومدة نفاذ القوانين التي تحددها الشركات في مجال أمن المعلومات.