ما هو أمن المعلومات والأمن السيبراني وأهدافه وأهميته للمؤسسات والأفراد ؟
ازدادت المخاطر والتهديدات المتعلقة بالبيانات والمعلومات بشكل كبير في الأونة الأخيرة ويرجع ذلك الي استحداث الطرق والأدوات التي يستخدمها مجرمي الإنترنت في الاختراق ، وتتنوع أساليب اختراق البيانات فمنها ما يتعلق ببرامج الفدية التي انتشرت علي نطاق واسع وتعمل علي تشفير البيانات والمطالبة بالمال ، وكذلك برامج التجسس والبرامج الضارة وغيرها .
أمن المعلومات والأمن السيبراني هما مصطلحان متشابهان بشكل كبير يستخدمان بالتبادل ، لكن هل هما حقًا نفس الشيء ؟ نفسر الاختلافات الدقيقة بين هذين النظامين المترابطين بشكل وثيق ولكنهما مختلفان .
محتويات الموضوع :
نفسها ولكن مختلفة ؟
الأمن السيبراني هو الاسم الذي يطلق على مجموعة السلوكيات ، والضوابط ، والتقنيات التي تشكل استجابة المؤسسة لخطر هجوم إلكتروني. يحمي الأمن السيبراني البيانات والأجهزة والمستخدمين والمؤسسة نفسها من جميع أنواع التهديدات السيبرانية .
أمن المعلومات – Infosec – معني بحماية المعلومات. يتضمن ذلك الوصول غير المصرح به أو التدمير ، ولكنه يشمل أيضاً الاستخدام غير القانوني للمعلومات ، والكشف عنها غير المصرح به أو تعطيلها أو تعديلها . وعلى وجه الخصوص ، لا يلزم تخزين المعلومات رقمياً: يشمل أمن المعلومات أيضاً السجلات المادية .
لذا فإن الأمن السيبراني يتعلق بحماية جميع أصول وأنشطة تكنولوجيا المعلومات والأصول الإلكترونية ، في حين أن أمن المعلومات يهتم فقط بالمعلومات. تحمي Infosec المعلومات وتضمن جمعها ومعالجتها ونقلها بشكل قانوني .
سيتم تحقيق بعض أهداف المعلومات الخاصة بك بفضل جهود الأمن السيبراني العامة الخاصة بك ، ولكن أهداف تقنية المعلومات الأخرى هي إجراءات الحوكمة أو الضوابط المادية التي يجب عليك تنفيذها وصيانتها وتشغيلها لتلبية احتياجات المؤسسة وكذلك أي تشريع معمول به لحماية البيانات .
أيضا ، المعلومات ليست هي نفسها البيانات. ليست كل البيانات معلومات. البيانات هي قيم خام. فقط عندما يتم تفسير البيانات الأولية وإضفاء المعنى عليها تصبح معلومات. لكننا لن نذهب إلى حفرة الأرانب الفلسفية هذه. المعلومات التي نناقشها هي معلومات خاصة حول موضوعات مثل مؤسستك أو منتجاتك أو فريق العمل أو علاقات العمل سواء كانت مخزنة في وسيط رقمي أو فيزيائي .
أهداف أمن المعلومات
يجب حماية معلومات التعريف الشخصية (PII) بشكل خاص ، ويجب اعتبار المعلومات مثل المعلومات الطبية أو المعلومات المتعلقة بالأطفال فئة خاصة أو معلومات حساسة. ستدرج تشريعات حماية البيانات المحلية الخاصة بك مثل اللائحة العامة لحماية البيانات أو قانون خصوصية المستهلك في كاليفورنيا فئات المعلومات التي يتم تصنيفها على أنها بيانات فئة خاصة .
يجب أن يتم تصميم أنشطة المعلومات الخاصة بك لضمان سلامة المعلومات وسريتها وتوافرها.
- السرية : التحكم في من يمكنه الوصول إلى المعلومات وكيفية مشاركتها أو الكشف عنها بطريقة أخرى سيحافظ على سرية معلومات التعريف الشخصية وغيرها من المعلومات التجارية الحساسة.
- النزاهة : يجب عليك حماية المعلومات وحمايتها بحيث لا يكون من الممكن إجراء تعديل أو إتلاف غير مصرح به للمعلومات. هذا يحافظ على جودة وأصالة المعلومات.
- التوفر : يجب أن تكون المعلومات متاحة لأولئك الذين لديهم إذن بالوصول إليها واستخدامها. يمكن أن يكون عدم التوافر حالة عدم امتثال بموجب تشريعات معينة لحماية البيانات ، مثل اللائحة العامة لحماية البيانات.
أدت هذه المبادئ الثلاثة إلى ظهور اختصار CIA المعروف جيداً المكون من ثلاثة أحرف . بالإضافة إلى ذلك ، يتضمن أمن المعلومات مبدأ عدم التنصل.
- عدم الإنكار : التنصل هو عندما ينكر شخص ما تلقي بعض المعلومات التي تم نقلها إليه ، أو ينفي المرسل إرسال المعلومات ، أو يكون هناك شك في أن المعلومات قد تم تغييرها أثناء النقل. يمكن أن يساعد التشفير هنا ، إذا تم استخدام التوقيعات الرقمية والمفاتيح الخاصة. لا يمكن تغيير البيانات أثناء النقل بسبب التشفير. تثبت التوقيعات الرقمية من أرسل المعلومات. يمكن أن يثبت تتبع الرسائل والتحقق من التسليم أنه تم تسليم المعلومات.
- المصداقية : يتطلب هذا تحديد المستخدمين بشكل صارم ويمكن التحقق من أن المعلومات المستلمة قد أتت بالفعل من مرسل موثوق به. يتم إنتاج التوقيع الرقمي عادةً عن طريق إنشاء قيمة تجزئة للمفتاح الخاص للمرسل ومحتوى الرسالة. يمكن للمستلم فك تشفير الرسالة باستخدام المفتاح العام للمرسل الذي يولد قيمة تجزئة أخرى. إذا تم تجزئة الرسالة مرة أخرى وتطابق التجزئتان الجديدتان ، فيمكن اعتبار الإرسال أصلياً .
- المساءلة : المساءلة تعني امتلاك القدرة على مراجعة تصرفات الأفراد وتتبع الفرد الذي قام بعمل ما. كما يتطلب إجراء طلب التغيير للتغييرات التي لا يستطيع المستخدم العادي إجراؤها ويتم إدارتها نيابة عنه بواسطة فريق أو قسم مرخص.
إدارة أمن المعلومات
ضمن إطار حوكمة تكنولوجيا المعلومات الخاص بك للسياسات والإجراءات ، سيكون لديك سياسة أمان تكنولوجيا المعلومات الشاملة. اعتماداً على حجم مؤسستك ، واحتياجات مؤسستك ، ومتطلبات التشريع المحلي ، ربما تكون قد عينت مسؤول أمن المعلومات (CISO) أو مسؤول حماية البيانات (DPO). هذه الأدوار ليست متكافئة تماماً. باختصار ، يهتم CISO بالأمان والبيانات السرية ، ويركز DPO على الخصوصية والبيانات الشخصية.
لا يعتبر CISO و DPO دوراً متكافئاً بشكل مباشر. يمكن أن يطلب مسؤول حماية البيانات – مباشرة إلى أعلى مستوى من الإدارة – أن يتم ، على سبيل المثال ، إجراء اختبار الاختراق أو تنفيذ إجراء أمني آخر. يمكن لـ CISO بشكل عام تحقيق ذلك.
إذا لم يكن لديك CISO ، فيجب على شخص آخر تحمل مسؤولية تقنية المعلومات. هذا ليس شيئاً يمكن إلقاؤه في قسم تكنولوجيا المعلومات لمجرد أنه يبدو وكأنه شيء يتعلق بالشبكات والأمان. إن Infosec ليست تكنولوجيا معلومات ، على الرغم من أن تكنولوجيا المعلومات متداخلة معها – تماماً كما أن تقنية المعلومات ليست أماناً إلكترونياً ولكن الأمن السيبراني متضمن. عند تخصيص هذه الأدوار ، احذر من تضارب المصالح. في الواقع ، تحظر المادة 38 ، البند 6 من اللائحة العامة لحماية البيانات ، مسؤول حماية البيانات من القيام بمهام وواجبات أخرى قد تؤدي إلى تضارب في المصالح. لذلك لا يمكن أن يكون رئيس قسم تكنولوجيا المعلومات .
يجب أن يكون لدى أي شخص يشغل منصب CISO أو DPO مدخلات في إطار عمل الحوكمة الخاص بك لضمان تلبية الاحتياجات الخاصة لمعلومات المعلومات ، بالإضافة إلى تلبية تشريعات حماية البيانات ذات الصلة. الحكم الخاص بك لا بد أن يكون أحكاما لضمان النزاهة والسرية، وتوافر المعلومات الخاصة بك ، هذا يعني أنه يجب جمع المعلومات وتخزينها ومعالجتها ونقلها وحذفها وفقاً لتشريعات حماية البيانات أو أي معايير أخرى اعتمدتها ، وأن أي حقوق يتمتع بها أصحاب البيانات فيما يتعلق ببياناتهم تدعمها مؤسستك.
يجب أن تتطلب حوكمة الأمن العامة الخاصة بك التدابير التالية :
- فني : تشمل الإجراءات الفنية جميع الأجهزة والبرامج التي تحمي البيانات. تعد جدران الحماية والتشفير وأنظمة الكشف عن المتسللين وأجنحة حماية نقطة النهاية إجراءات فنية .
- التنظيمي : تشمل الإجراءات التنظيمية إطار عمل حوكمة تقنية المعلومات والاتصالات ، والتدابير والموارد ، بما في ذلك الموارد البشرية ، التي يتم نشرها لدعم المتطلبات المنصوص عليها في السياسات والإجراءات .
- الإنسان : ويشمل ذلك تدريب وتوعية الموظفين والتعليم والتوظيف لمرشحين ذوي مهارات مناسبة لشغل مناصب تقنية المعلومات الأساسية .
- المادية : تشمل هذه التدابير الوصول المحكوم والمقيّد إلى مخازن المعلومات الرقمية ومجموعات الأصول مثل غرف الخوادم ومراكز البيانات ، وكذلك إلى المناطق التي يتم فيها تخزين السجلات المادية.
بالإضافة إلى الإدخالات المتعلقة بتقنية المعلومات في وثائق حوكمة تقنية المعلومات العامة ، يجب أن يكون لديك سياسة مخصصة لأمن المعلومات. يجب أن يشمل هذا أقساماً مثل :
- الغرض والنطاق والأهداف : قسم يصف الغرض من برنامج infosec ونطاقه داخل المنظمة – هل هو على مستوى الشركة أو موقع محدد – وأهدافه العامة .
- التحكم في الوصول : وصف لعناصر التحكم في الوصول الموجودة ، وما يجب على الموظف فعله لتقديم طلب للوصول .
- خطة العمليات : خطة العمليات هي مجموعة الأحكام النشطة التي تم تصميمها للتأكد من أن معلوماتك متاحة دائماً لمن يحتاجون إليها.
- المسؤوليات : قائمة بأدوار ومناصب موظفي المنظمة التي تشارك في الحماية ، بما في ذلك المسؤول النهائي عن تقنية المعلومات. الأفراد المعينون
- المسرد : مسرد للمصطلحات الرئيسية المستخدمة في الوثيقة. من يقرأها يجب أن يفهمها. وثائق السياسة التي لا يمكن اختراقها ليست مثيرة للإعجاب ، فهي تشكل عقبة أمام فعاليتها.
يتعلق الأمر بمعالجة المخاطر
مثل الأمن السيبراني ، فإن أمن المعلومات يتعلق بالمخاطر. فهم المخاطر واستخدام التكنولوجيا والتدابير الأخرى للتخفيف من المخاطر ، وإدارة استخدام المعلومات من خلال السياسات والإجراءات لضمان استخدامها بأمان وقانون .