الطريقة المثلى لتفعيل وتطبيق سياسة أمن المعلومات في المؤسسات
تكلمنا في موضوع سابق عن سياسة أمن المعلومات بشكل عام تجاه الأفراد، وسنتكلم في هذا الموضوع عن مدى تطبيق هذه السياسة تجاه المؤسسات في ظل تطور العلم والتكنولوجيا ووسائل تخزين المعلومات وتبادلها بطرق مختلفه عبر الشبكة وغيرها.
هناك كثير من المؤسسات، لا تقوم بكتابة وتنفيذ سياسات أمن المعلومات إلا بعد وقوعها في المشكلة الأمنية الأولى، وعندها يكون التفكير ووضع الخطط لتغطية المشاكل الأمنية المحتمل وقوعها مستقبلاً، والذي لا بد من معرفته هنا أن كتابة سياسات أمن المعلومات لمؤسسة ما في المراحل الأولى لتأسيسها، أسهل بكثير من كتابتها لمؤسسات قائمة.
يمكن تقسيمهم المهتمين بسياسة أمن المعلومات في المؤسسات إلى ثلاث فئات:
1. المستخدمون وهم أكثر المتأثرين بسياسات أمن المعلومات.
2. موظفو الدعم الفني، لأنهم مطالبون بتنفيذ وتأييد هذه السياسات.
3. الإدارة والتي تهتم بحماية المعلومات وكذلك التكلفة المصاحبة لها.
من الواضح أن أضعف حلقة في سلسلة الأمن هو العنصر البشري، كما يمكن أن يكون الضعف في المكونات المادية من الأجهزة والملفات، وقواعد البيانات، والاتصالات الخارجية، وعندما يتم اعتماد سياسية لأمن المعلومات فإنه يجب أن تشمل كلاً من العنصر البشري والمعلوماتي، والنشاطات المعتادة في مثل هذه السياسية هي:
• توفر البيانات وحمايتها:
هذه الخطوة أولى أولويات المؤسسات التي بدونها لاحجة لوجود المؤسسة، وينبغي هنا توصيف ما ينبغي حمايته لتبقى البيانات متوفرة”availability” ، كما ينبغي توصيف من المرخص له لتبقى البيانات سرية “confidentiality” ، وهما – أي التوفر والسرية – من عناصر أمن المعلومات وبتحقيقهما يكون التكامل “integrity” في سياسة أمن المعلومات.
• التحكم في الوصول للشبكة:
يعتبر التحكم في الوصول إلى شبكة الاتصال أمرًا حاسمًا لأمن المعلومات، لذلك يجب توفير مختصين ذو خبرة عالية للقيام بهذه المهمة التي يبدو أن بعض المنظمات قامت بها في الشبكات السلكية نظرًا لانتشارها، لكن الحال ليس كذلك مع الشبكات اللاسلكية فقد يجرى التغاضي عن جوانب الأمن لتسهيل تعامل المستخدمين معها، وقد يبدو تأمين الشبكات اللاسلكية خطوة تالية لتأمين الشبكة السلكية لذلك فإن وجود قدر عالي من التحكم في الوصول اللاسلكي قد يُعتبر مؤشرًا على وجود شبكة سلكية آمنة.
•وسائل التقيد بالصلاحيات:
يجب تحديد الوسائل التي يتم عن طريقها حث العاملين على التقيد بهذه السياسات، وكذلك توضيح العقوبات التي ستنفذ على المخالف عند عدم التقيد بهذه السياسات الأمنية، يجب أن تكون العقوبات موضحة للعاملين، ومن هنا يأتي دور عرض السياسات الأمنية على المتخصصين في الأنظمة والقانون.
كما أنه يجب أن تقوم المؤسسة ببعض المهام لتحقيق الطرق المثلى في أمن المعلومات والتي يعتبر أهمها
• تثقيف العاملين عبر دورات ونشرات توعية بشكل يواكب التقدم التكنولوجي.
• إدارة المخاطر التقنية في المؤسسة وتقييمها والاستفادة منها لتطوير الذات.
