إن موضوع أمن المعلومات غاية في الأهمية، ويمس بشكل مباشر كل المتعاملين مع الوسائط الإليكترونية، وينعكس على مصالحهم وسبل حماية أعمالهم، حيث تعتبر المعلومات بالنسبة للمنظمات البنية التحتية التي تمكنها من أداء مهامها، إذ أن نوع المعلومات وكميتها وطريقة عرضها تعتبر الأساس في نجاح عملية صنع القرارات داخل المنظمات المعاصرة وعليه فإن للمعلومات قيمة عالية تستوجب وضع الضوابط اللازمة لاستخدامها وتداولها ووضع السبل الكفيلة بحيازتها، لذا فإن المشكلة التي يجب أخذها بالحسبان هي توفير الحماية اللازمة للمعلومات وإبعادها عن الاستخدام غير المشروع لها.

 

إنّ التقدم التكنولوجي الكبير، وتطوّر وسائل التواصل والاتصال المتنوعة، وانفتاح العالم على بعضه، واعتماده على إرسال شتى أنواع البيانات خلال الشبكات، كلّ ذلك أدى إلى إحداث خطر على تسرّب هذه البيانات، ووصولها للأشخاص الخاطئين، أو المنافسين، وبالتّالي أصبحت الحاجة ملحّة للحفاظ على أمن المعلومات.

 

لذلك أخذ نشاط البحث والتطوير في هذا المجال ينمو بشكل متزايد ومتسارع ويفوق الكثير من أنشطة البحث والتطوير في المجالات الأخرى.

 

وللأسف قد يستهتر البعض بأهمية المعلومات التي يمتلكها ولا يعلم أنّها قد تساوي الكنوز عند بعض الأشخاص أو الجهات، لذلك لا بدّ لكلّ مؤسسةٍ أن توعّي موظفيها بأهمّية أمن المعلومات لتحقيق السلامة العامّة

 

مفهوم أمن المعلومات :-

هناك عدة تعريفات لأمن المعلومات

- فيرى البعض أنه العلم الذي يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة الاعتداء عليها.

 - ويقصد به من زاوية أخرى الوسائل والأدوات والإجراءات اللازم توافرها لضمان حماية المعلومات من الأخطار الداخلية والخارجية

- بينما يقصد به من منظور نظام التشغيل أنه تدبير حماية النظام وذلك بالتحقق من المستخدمين قبل السماح بالدخول إليه، وتصنيف مستوى السماح بالوصول للمعلومات الذي يملكه المستخدم، وتحجيم مستوى الوصول تبعاً للسياسة التي يحددها مدير النظام وحماية المعلومات والبيانات المتداولة عبر الحاسب الآلى من العبث والتخريب والتبديل، أو من أي خطر يهددها مثل وصول أي شخص غير مخول للوصول إليها والعبث ببياناتها والاطلاع عليها.

تطور مفهوم أمن المعلومات

إن مفهوم الأمن المعلوماتي مر بمراحل تطوير عدة أدت إلى ظهور ما يسمى بأمن المعلومات، ففي الستينات كانت أجهزة الحاسب هي كل ما يشغل العاملين في أقسام المعلومات، وكان همهم هو كيفية تنفيذ البرامج والتعليمات ولم يكونوا مشغولين بأمن المعلومات بقدر انشغالهم بعمل الأجهزة وكان مفهوم الأمن يدور حول تحديد الوصول أو الاطلاع على البيانات من خلال منع الغرباء الخارجيين من التلاعب في الأجهزة لذلك ظهر مصطلح أمن الحواسب Computer Security والذي يعني حماية الحواسب وقواعد البيانات.

 

ونتيجة للتوسع في استخدام أجهزة الحاسوب وما تؤديه من منافع تتعلق بالمعالجة للأحجام الكبيرة من البيانات، تغير الاهتمام ليمثل السيطرة على البيانات وحمايتها .

 

وفي السبعينات تم الانتقال إلى مفهوم أمن البيانات (Data Security)

 

وواكب ذلك استخدام كلمات السر البسيطة للسيطرة على الوصول للبيانات إضافة إلى وضع إجراءات الحماية لمواقع الحواسب من الكوارث وحفظ نسخ إضافية من البيانات والبرمجيات بعيدا عن موقع الحاسوب، وفي مرحلة الثمانينات والتسعينات ازدادت أهمية استخدام البيانات، وساهمت التطورات في مجال تكنولوجيا المعلومات بالسماح لأكثر من مستخدم للمشاركة في قواعد البيانات، كل هذا أدى إلى الانتقال من مفهوم أمن البيانات إلى أمن المعلومات، وأصبح من الضروري المحافظة على المعلومات وتكاملها وتوافرها ودرجة موثوقيتها، حيث أن الإجراءات الأمنية المناسبة يمكن أن تساهم في ضمان النتائج المرجوة وتقليص اختراق المعلومات والتلاعب بها، وكانت شركة IBM الأمريكية أول من وضع تعريف لأمن المعلومات، وكانت تركز على حماية البيانات من حوادث التزوير، والتدمير أو الدخول غير المشروع على قواعد البيانات وأشارت الشركة إلى أن أمنا تام للبيانات لا يمكن تحقيقه ولكن يمكن تحقيق مستوى مناسب من الأمنية

عناصر أمن المعلومات :-

1- السرية أو الموثوقية CONFIDENTIALITY: أي تكون المعلومات سرية ولا يطلع عليها غير الأشخاص المخولين لذلك.

2- التكاملية وسلامة المحتوى INTEGRITY : أي تكون محتويات المعلومات سليمة ولم يتم العبث أو التعديل عليها.

3- عدم إنكار التصرف المرتبط بالمعلومات ممن قام به Non-repudiation

 بحيث نضمن أن الشخص المتصل بنظام المعلومات لا ينكر أي تصرف يصدر منه، حيث نستطيع التحديد أنه هو الشخص المتصل وفي وقت معين.

4- استمرارية توفر المعلومات أو الخدمة AVAILABILITY : بحيث نتأكد أن النظام المعلوماتي مستمر وأن مستخدم هذه المعلومات لن يمنع منها ولن يسمح لشخص آخر بالدخول إليها.

5- حسن المراقبة: حيث تتوفّر القدرة على معرفة كلّ شخص وصل إلى المعلومات وما أجرى عليها، وبالتالي السيطرة على الأمور حتى لو أنكر الشخص ذلك.

الأخطار التي يمكن أن تتعرض لها أنظمة المعلومات المعتمدة على الحاسب

لقد أصبح اختراق أنظمة المعلومات ونظم الشبكات والمواقع المعلوماتية خطراً يهدد العديد من المنظمات في السنوات الأخيرة ومع مرور الزمن نجد أن على الرغم من سبل الحماية التي تتبعها المنظمات، إلى أن هناك ارتفاعا واضحا في معدل الإختراقات مع تنوع الوسائل المستخدمة في الإختراق .

أما عن طبيعة الأخطار التي يمكن أن تواجهها نظم المعلومات فهي عديدة، فالبعض منها قد يكون مقصود كسرقة المعلومات أو إدخال الفيروسات وغيرها وهي الأشد ضررا على نظم المعلومات ويكون مصدرها أحيانا من داخل أو خارج المنظمة، وقد يصعب أحيانا التنبؤ بالدوافع العديدة للأشخاص الذين يقومون بها، أما البعض الآخر فقد يكون غير مقصود كالأخطاء البشرية والكوارث الطبيعية ويمكن تصنيف الأخطار المحتملة التي يمكن أن تتعرض لها نظم المعلومات إلى ثلاث فئات :

أ . الأخطاء البشرية  Humane Errors

و هي التي يمكن أن تحدث أثناء تصميم التجهيزات أو نظم المعلومات أو خلال عمليات البرمجة أو الاختبار أو التجميع للبيانات أو أثناء إدخالها إلى النظام، أو في عمليات تحديد الصلاحيات للمستخدمين، وتشكل هذه الأخطاء الغالبية العظمى للمشاكل المتعلقة بأمن وسلامة نظم المعلومات في المنظمات .

 

ب . الأخطار البيئية  Environmental Hazard

وهذه تشمل الزلازل والعواصف والفيضانات والأعاصير والمشاكل المتعلقة بأعطال التيار الكهربائي والحرائق إضافة إلى المشاكل القائمة في تعطل أنظمة التكييف والتبريد وغيرها، وتؤدي هذه الأخطار إلى تعطل عمل هذه التجهيزات وتوقفها لفترات طويلة نسبيا لإجراء الإصلاحات اللازمة واسترداد البرمجيات وقواعد البيانات .

ج. الجرائم التي تقع باستخدام الحاسب  Computer Crime

تمثل هذه النوعية تحديا كبيرا لإدارة نظم المعلومات لما تسببه من خسارة كبيرة ويمكن أن تتم الجرائم المحوسبة سواء من قبل أشخاص خارج المنظمة يقومون باختراق نظام الحاسوب (غالبا من خلال الشبكات) أو من قبل أشخاص داخل المنظمة يملكون صلاحيات الدخول إلى النظام ولكنهم يقومون بإساءة استخدام النظام لدوافع مختلفة، ومن تشير الدراسات التي أجراها، المركز الوطني لبيانات جرائم الحاسوب في لوس أنجلوس بأن 70% جرائم الكمبيوتر المسجلة حدثت من الداخل، أي من قبل من يعملون داخل المنظمات، هذا وأن جرائم الحاسوب تزداد بصورة واضحة مما أصبحت تشكل تحديا خطيرا يواجه الإدارات العليا عموما وإدارة نظم المعلومات على وجه الخصوص .

 

هذا وتقع مسئولية خطة الحماية للأنشطة الرئيسية على مدير نظم المعلومات في المنظمة على أن تتضمن هذه الخطة ما يلي :

- تطوير السياسات والمعايير الأمنية وتطبيقها

-المشاركة في تطوير وتقييم واعتماد جميع النظم والبيانات والتطبيقات

-إعداد البرامج الخاصة بالحماية الأمنية المعلوماتية

- التحكم في مستخدمي نظم المعلومات ومنح الصلاحيات

- الوقاية من الأخطار غير المتعمدة .

- إعاقة أو صنع الأعمال التخريبية المتعمدة .

- اكتشاف المشاكل بشكل مبكر قدر الإمكان .

- المساعدة في تصحيح الأعطال واسترجاع النظام .

ويمكن تصميم نظام الرقابة ضمن عملية تطوير نظام المعلومات ويجب أن يركز هذا النظام على مفهوم الوقاية من الأخطار، ويمكن أن يصمم لحماية جميع مكونات النظام بما فيها التجهيزات والبرمجيات والشبكات.

هذا وتعتبر عملية الحماية من الأخطار التي تهدد أنظمة المعلومات من المهام المعقدة والصعبة والتي تتطلب من إدارة نظم المعلومات الكثير من الوقت والجهد والموارد المالية وذلك للأسباب التالية :

- العدد الكبير من الأخطار التي تهدد عمل نظم المعلومات .

- توزيع الحواسب وملحقاتها على العديد من المواقع التي يمكن أن تكون أيضا متباعدة .

- وجود التجهيزات الخاصة بالحواسب في عهدة أفراد عديدين في المنظمة وأحيانا خارجها .

- صعوبة الحماية من الأخطار الناتجة عن ارتباط المنظمة بالشبكات الخارجية .

- التقدم التقني السريع يجعل الكثير من وسائل الحماية متقادمة بعد فترة وجيزة من استخدامها.

- التأخر في اكتشاف جرائم الحاسب مما لا يتيح للمنظمة إمكانية التعلم من التجربة والخبرة المتاحة.

- تكاليف الحماية يمكن أن تكون عالية بحيث لا تستطيع العديد من المنظمات تحملها .