التنسيق بين متطلبات الامن والاجراءات المضادة والعمل
تبين ، مرة أخرى ، إحصائيات نهاية السنة الأخيرة الصادرة عن مركز التنسيق ( CERT ( CERT - CC في جامعة Carnegie Mellon ، عدم وجود ما يثبت التحسن في الاطمئنان على المعلومات . إن مجموعة الحوادث التي أبلغ عنها لـ ( CRET - CC ) مجدداً قد وصلت إلى ضعف تلك الخاصة بالسنة السابقة تقريباً ، وتجاوزت للمرة الأولى العدد ذا الأرقام الستة 137,529 المسجل عام . ( CERT , 2004 ) 2003 إن المسوحات المتعددة ، لمجتمع شركات الأعمال ، قد قدرت تكلفة انتهاكات أمن المعلومات ببلايين الدولارات .
ولقد قدر المسح الذي أجرته شركة الأمن ( Trend Micro ) تكلفة المخاطر الناتجة من فيروسات الحاسوب وحدها بـ 55 بليون دولار في كل أنحاء العالم في عام 2003 2004 , Reuters ) .
وقد أوضحت نتائج مسح آخر شمل حكومات ومدراء شركات من أنحاء العالم ، أجـرتـه شـركـة ) Price Waterhouse Coopers & CIO Magazine ) ، بأن أولى أولوياتهم في عام 2004 يجب أن تكون رفع وعي المستخدم (2003,CIO) . وهذا يشير إلى أن التشديد على أهمية أمن المعلومات ، عبر المنظمات إدارتها إلى قواعدها ، لا يزال ناقصاً . من تستمر المنظمات الحكومية أيضاً بالسعي الحثيث إلى ضمان أمن معلوماتها . ولا تزال الوكالات الحكومية الفيدرالية في الولايات المتحدة الأمريكية تذكر كأحد الأمثلة على ضعف حماية المعلومات لديها . فلقد ذكر تقرير كانون الثاني / يناير لعام 2003 الصادر عن مكتب المحاسبة العامة General ) ( Accounting Office - GAO أن العديد من الوكالات الحكومية الفيدرالية قد لاحظت « الانتباه المتزايد والشعور بالمسؤولية من قبل إدارتها في مجال أمن المعلومات » وذلك منذ صدور تشريع قانون إصلاح أمن المعلومات الحكومية في عام 2001 م ، ولكن « على الرغم من تقدم هذه التحسينات إلا أن التحقيقات الحديثة أربع وعشرين وكالة ، تعتبر من أضخم الوكالات الفيدرالية ، أظهرت ضعفاً كبيراً في أمن المعلومات ، الأمر الذي يجعل العمليات الفيدرالية الحساسة والأصول في من هـذه الـوكـالات في خطر » ( 2004 , GAO ) . يحدد هذا التقرير ، على وجه الخصوص ، أن إدارة برامج أمن المعلومات والتحكم بالنفاذ هما نقطتا الضعف الأكثر شدة في أغلب الأحيان .
ادارة برنامج امن المعلومات
في الواقع إدارة برنامج أمن المعلومات المعرفة من قبل (GAO) على أنها : « إطار العمل الذي يضمن بأن المخاطر قد فهمت وبأن آليات التحكم الفعالة قد اختيرت وطبقت كما يجب » ، كانت المشكلة الوحيدة التي وجدت ضعيفة في كل وكالة من الوكالات الأربع والعشرين الرئيسية المدققة . إن هذه النتيجة لم تتغير عن نتيجة التحقيق الذي أجرته الـ ( GAO ) في السنة التي سبقتها . لماذا تبقى إدارة برنامج أمن المعلومات نقطة الضعف لدى كل وكالة فيدرالية تقريباً ؟ ولماذا انعكس هذا الأمر أيضاً على عالم الشركات ؟ قد يتساءل المرء كذلك لماذا يبقى نشر الوعي الهم الأعلى ، بالرغم من هذا الانتشار الواسع والتأثير الكبير للحوادث . ما العقبات التي تواجه كلاً هي والحكومة في إعطاء صفة الهيكلية المؤسساتية لموضوع أمن وتأمين المعلومات الصناعة في عصر المعلومات ؟ عندما العديد من الأشخاص بمصطلحات تأمين أو أمن المعلومات ، فإنهم ينصرفون إلى التفكير في المشكلات . مما لا شك فيه أن ذكر مصطلحات
تأمين أو أمن المعلومات
للعديد من الأشخاص اليوم ، يذكرهم على الفور بالمشاكل التي عانوها شخصياً ، أو عانتها منظماتهم مع آخر جولة من جولات البرمجيات الخبيثة ، الـ ( malware ) . أحياناً وفي المنظمات التي تتعامل مع معلومات أكثر حساسية أو سرية ، يفكر الأشخاص المعنيون بمشكلتهم الأكبر ، التهديد من داخل المنظمة . ألا وهي قد يقول الأفراد المطلعون تقنياً ، وعن قناعة راسخة ، أن المشكلة تكمن بشكل رئيسي في انتشار توزيع واستخدام البرمجيات غير الآمنة أصلا . من جهة أخرى ، إن الأشخاص الذين يقرأون الكثير من المنشورات العامة والقصص الإخبارية قد يقولون بأن المشكلة الكبيرة في أمن المعلومات اليوم تكمن في : ما هو لاسلكي . إن لوم ما يسمى بالقراصنة ) hackers ) شائع جداً ، إلا أن هذه الفكرة قد عف عليها الزمن . وثمة أشخاص أيضاً يحبون أن يظهروا لنا على أنهم مفكرون إستراتيجيون كبار بكل معنى الكلمة ، وعلى أنهم يمعنون النظر في « كراتهم الكريستالية السحرية » ليتنبأوا بالمستقبل ، يدعون بأن شكلاً جديداً من الإرهاب ، إرهاب الـ ( cyber ) ، يحوم الآن فوقنا وأن هذه المشكلة كبيرة وكبيرة جداً . إن هذه النظرة إلى تأمين المعلومات نظرة سلبية في أحسن الأحول ، وغير مجدية البتة في أسوأ الأحوال .
الامن الفعال للمعلومات
في الواقع قد تكون النقيض لحقيقة الأمن الفعال للمعلومات . لأن حصر المشكلة في بضع مهددات لأمن معلوماتك وأنظمتك ، رغم وجود العديد من هذه المهددات ، وكذلك في بضع ثغرات في معلوماتك وأنظمتك ، رغم وجود العديد العديد من هذه الثغرات ، هو أمر يجعل معالجتك للمسألة خارجة عن السياق الحالي لها ، ويتجاهل متطلبات أمن المعلومات ، وربما سيؤدي إلى منهجية ترقيعية للحد من المخاطر المستقبلية على معلومات منظمتك .
لذلك إذا نقبنا بعمق أكبر في « المشكلات » ، قد نبدأ بطرح بعض الأسئلة كهذه : الطرق المحتملة هل فعلنا كل ما بوسعنا القيام به من أجل حماية . جميع التي من خلالها يمكن أن تدس الفيروسات والديدان والبرمجيات الخبيثة الأخرى (malware )
انتهى الموضوع ...
شكراً لكم