ما هو أمن المعلومات و بماذا يختلف عن الأمن السيبراني؟
يغطي امن المعلومات الأدوات والعمليات التي تستخدمها المؤسسات لحماية المعلومات. يتضمن هذا الإجراءات التي تمنع الأشخاص غير المصرح لهم من الوصول إلى المعلومات التجارية أو الشخصية.
يعد تخصص أمن المعلومات مجالًا متناميًا ومتطورًا يغطي مجموعة واسعة من المجالات ، من أمان الشبكة والبنية التحتية إلى الاختبار والتدقيق.
يحمي أمن المعلومات المعلومات الحساسة من الأنشطة غير المصرح بها ، بما في ذلك التفتيش والتعديل والتسجيل وأي تعطيل أو إتلاف و الهدف هو ضمان سلامة وخصوصية البيانات الهامة مثل تفاصيل حساب العميل أو البيانات المالية أو الملكية الفكرية.
تشمل عواقب الحوادث الأمنية سرقة المعلومات الخاصة والتلاعب بالبيانات وحذفها و يمكن للهجمات أن تعطل إجراءات العمل وتضر بسمعة الشركة كما أن لها تكلفة ملموسة.
لذلك يجب على المؤسسات تخصيص أموال لأمن المعلومات والتأكد من استعدادها لاكتشاف الهجمات والاستجابة لها ومنعها بشكل استباقي مثل التصيد الاحتيالي أو الوقع ضحية للبرامج الضارة والفيروسات وبرامج الفدية.
ما هي عناصر أمن المعلومات؟
العناصر الأساسية لأمن المعلومات هي السرية والسلامة والتوافر و يجب تصميم كل عنصر من عناصر أمن المعلومات لتنفيذ واحد أو أكثر من هذه المبادئ
.
تهدف عناصر أمن المعلومات إلى كشف الوصول غير المصرح به للمعلومات الغرض من مبدأ السرية هو الحفاظ على خصوصية المعلومات الشخصية والتأكد من أنها مرئية ومتاحة فقط للأفراد الذين يمتلكونها أو يحتاجون إليها لأداء وظائفهم التنظيمية.
إن الحماية من التغييرات غير المصرح بها (الإضافات والحذف والتعديلات وما إلى ذلك) على البيانات مهمة جدا و يضمن مبدأ السلامة أن البيانات دقيقة وموثوقة ولا يتم تعديلها بشكل غير صحيح ، سواء عن طريق الخطأ أو بشكل ضار.
التوافر
التوافر هو التأكد من قدرة النظام على إتاحة البيانات بالكامل عندما يحتاجها المستخدم (أو في وقت محدد) لعملية تنظيمية أو لعملاء المؤسسة.
أمن المعلومات و الأمن السيبراني
يختلف أمن المعلومات عن الأمن السيبراني في كل من النطاق والغرض و غالبًا ما يتم استخدام المصطلحين بالتبادل ، ولكن لنكون دقيقين يعتبر الأمن السيبراني فرعا من أمن المعلومات.
أما أمن المعلومات فهو مجال واسع يغطي العديد من المجالات كما أنه يرتبط ارتباطًا وثيقًا بتأمين المعلومات والذي يحمي المعلومات من التهديدات مثل الكوارث الطبيعية وإخفاقات الخادم.
يتعامل الأمن السيبراني بشكل أساسي مع التهديدات المتعلقة بالتكنولوجيا من خلال الممارسات والأدوات التي يمكن أن تمنعها أو تخفف من حدتها.
فئة أخرى ذات صلة هي أمان البيانات والتي تركز على حماية بيانات المؤسسة من التعرض لأطراف غير مصرح لها.
سياسة أمن المعلومات
سياسة أمن المعلومات (ISP) هي مجموعة من القواعد التي توجه الأفراد عند استخدام أصول تكنولوجيا المعلوما و يمكن للشركات إنشاء سياسات لأمن المعلومات للتأكد من أن الموظفين والمستخدمين الآخرين يتبعون بروتوكولات وإجراءات الأمان.
تهدف سياسات الأمان إلى ضمان أن المستخدمين المصرح لهم فقط يمكنهم الوصول إلى الأنظمة والمعلومات الحساسة.
يعد إنشاء سياسة أمنية فعالة واتخاذ خطوات لضمان الامتثال خطوة مهمة نحو منع التهديدات الأمنية والتخفيف من حدتها و لجعل سياستك فعالة حقًا قم بتحديثها بشكل متكرر بناءً على تغييرات الشركة والتهديدات الجديدة والاستنتاجات المستخلصة من الانتهاكات والتغييرات في أنظمة وأدوات الأمان.
أهم تهديدات أمن المعلومات
هناك المئات من فئات تهديدات أمن المعلومات و فيما يلي نغطي بعض التهديدات الرئيسية التي تمثل أولوية لفرق الأمان في المؤسسات الحديثة.
1. الأنظمة غير الآمنة أو الضعيفة
غالبًا ما تؤدي السرعة والتطور التكنولوجي إلى تنازلات في الإجراءات الأمنية و في حالات أخرى ، يتم تطوير الأنظمة دون مراعاة الأمان ، وتظل قيد التشغيل في المؤسسة كنظم قديمة لذلك يجب على المنظمات تحديد هذه الأنظمة غير المؤمنة بشكل جيد والتخفيف من التهديد عن طريق تأمينها أو تصحيحها ، أو إيقاف تشغيلها ، أو عزلها.
هجمات وسائل التواصل الاجتماعي
يمتلك العديد من الأشخاص حسابات على وسائل التواصل الاجتماعي و غالبًا ما يشاركون عن غير قصد الكثير من المعلومات عن أنفسهم. و يشن الهاكرز هجمات مباشرة عبر وسائل التواصل الاجتماعي ، على سبيل المثال عن طريق نشر البرامج الضارة عبر رسائل وسائل التواصل الاجتماعي ، أو بشكل غير مباشر ، باستخدام المعلومات التي تم الحصول عليها من هذه المواقع لتحليل نقاط ضعف، واستخدامها للهجوم مرة أخرى.
الهندسة الاجتماعية
تتضمن الهندسة الاجتماعية المهاجمين الذين يرسلون رسائل البريد الإلكتروني والرسائل التي تخدع المستخدمين لتنفيذ إجراءات قد تعرض أمنهم للخطر أو تكشف عن معلومات خاصة و يتلاعب المهاجمون بالمستخدمين باستخدام محفزات نفسية مثل الفضول أو الاستعجال أو الخوف.
نظرًا لأن مصدر رسالة الهندسة الاجتماعية يبدو موثوقًا به فمن المرجح أن يمتثل الأشخاص ،
على سبيل المثال عن طريق النقر فوق رابط يقوم بتثبيت برامج ضارة على أجهزتهم أو من خلال تقديم معلومات شخصية أو بيانات اعتماد أو تفاصيل مالية.
يمكن للمؤسسات التخفيف من الهندسة الاجتماعية من خلال توعية المستخدمين بمخاطرها وتدريبهم على تحديد الرسائل المشتبه بها وتجنبها. بالإضافة إلى ذلك ، يمكن استخدام الأنظمة التكنولوجية لمنع الهندسة الاجتماعية من مصدرها أو منع المستخدمين من تنفيذ إجراءات خطيرة مثل النقر على روابط غير معروفة أو تنزيل مرفقات غير معروفة.
البرامج الضارة
يعمل المستخدمون المؤسسيون مع مجموعة كبيرة بما في ذلك أجهزة الكمبيوتر المكتبية وأجهزة الكمبيوتر المحمولة والأجهزة اللوحية والهواتف المحمولة ، والعديد منها مملوك للقطاع الخاص ولا يخضع لسيطرة المؤسسة ، وكلها تتصل بانتظام بالإنترنت.
التهديد الأساسي لجميع هذه الأجهزة هو البرامج الضارة والتي يمكن أن تنتقل من خلال مجموعة متنوعة من الوسائل ويمكن أن تؤدي إلى سرقة البيانات.
برامج مكافحة الفيروسات التقليدية غير كافية لحظر جميع الأشكال الحديثة من البرامج الضارة ويتم تطوير أساليب أكثر تقدمًا لتأمين نقاط النهاية ، مثل اكتشاف نقطة النهاية والاستجابة لها (EDR).
عدم وجود تشفير
يعالج التشفير تشفير البيانات بحيث لا يمكن فك تشفيرها إلا من قبل المستخدمين الذين لديهم مفاتيح سرية وهو فعال للغاية في منع فقدان البيانات أو تلفها في حالة فقد الأجهزة أو سرقتها ، أو في حالة تعرض الأنظمة للاختراق من قبل الهاكرز.
لسوء الحظ ، غالبًا ما يتم التغاضي عن هذا الإجراء بسبب تعقيده وعدم وجود التزامات قانونية مرتبطة بالتنفيذ السليم.
تتبنى المؤسسات التشفير بشكل متزايد ، من خلال شراء أجهزة التخزين أو استخدام الخدمات السحابية التي تدعم التشفير ، أو استخدام أدوات الأمان المخصصة.
التهيئة الخاطئة للأمان
تستخدم المؤسسات الحديثة عددًا كبيرًا من المنصات والأدوات التكنولوجية ، لا سيما تطبيقات الويب وقواعد البيانات وتطبيقات البرامج كخدمة (SaaS) أو البنية التحتية كخدمة (IaaS) من مزودي خدمات مثل Amazon Web Services.
تحتوي الأنظمة الأساسية والخدمات السحابية على مستوى المؤسسة على ميزات أمان ، ولكن يجب تكوينها بواسطة المؤسسة حيث يمكن أن تؤدي التهيئة الخاطئة بسبب الإهمال أو الخطأ البشري إلى خرق أمني.
يمكن للمؤسسات تخفيف التهيئة الأمنية الخاطئة باستخدام الأنظمة الأساسية التكنولوجية التي تراقب الأنظمة باستمرار وتحدد فجوات التكوين ، وتنبه أو حتى تعالج تلقائيًا مشكلات التكوين التي تجعل الأنظمة عرضة للخطر.
الهجمات النشطة و الهجمات السلبية
يهدف أمن المعلومات إلى حماية المؤسسات من الهجمات الضارة و هناك نوعان أساسيان من الهجمات هما الهجمات النشطة والسلبية.
تعتبر الهجمات النشطة أكثر صعوبة في منعها وينصب التركيز على اكتشافها والتخفيف من حدتها والتعافي منها و أما الهجمات السلبية فمن السهل منعها من خلال تدابير الأمان القوية.
الهجوم النشط
يتضمن الهجوم النشط اعتراض اتصال أو رسالة وتعديلها من أجل التأثير الضار و هناك ثلاثة أنواع شائعة من الهجمات النشطة:
-
المقاطعة – يقاطع المهاجم الاتصال الأصلي و يبعث رسائل خبيثة جديدة ، متظاهرًا بأنه أحد الأطراف.
-
التعديل – يستخدم المهاجم الاتصالات الموجودة ويعيدها إما لخداع أحد الأطراف المتصلين أو تعديلها للحصول على ميزة.
-
التصنيع – يُنشئ الهاكر اتصالات وهمية أو اصطناعية عادةً بهدف تحقيق رفض الخدمة و هذا يمنع المستخدمين من الوصول إلى الأنظمة أو إجراء العمليات العادية.
الهجوم السلبي
في الهجوم السلبي ، يقوم المهاجم بمراقبة النظام ونسخ المعلومات بشكل غير قانوني دون تغييره. ثم يستخدم هذه المعلومات لتعطيل الشبكات أو اختراق الأنظمة المستهدفة.
لا يقوم المهاجمون بإجراء أي تغيير على أنظمة الاتصال و هذا يجعل اكتشافه أكثر صعوبة. ومع ذلك ، يمكن أن يساعد التشفير في منع الهجمات السلبية مما يجعل من الصعب على المهاجمين استخدامها.
الهجمات النشطة |
الهجمات السلبية |
تعديل الرسائل أو الاتصالات أو البيانات |
لا يتم إجراء أي تغيير على البيانات أو الأنظمة |
يشكل تهديدًا على توافر وسلامة البيانات الحساسة |
يشكل تهديدًا على سرية البيانات الحساسة. |
قد ينتج عنه ضرر للأنظمة التنظيمية. |
لا يسبب ضررًا مباشرًا للأنظمة التنظيمية. |
يعرف الضحايا عادة عن الهجوم |
لا يعرف الضحايا عادة شيئًا عن الهجوم. |
ينصب التركيز الأمني الرئيسي على الاكتشاف والتخفيف. |
ينصب التركيز الأمني الرئيسي على الوقاية. |
قوانين أمن المعلومات وحماية البيانات
يتفاعل أمن المعلومات باستمرار مع القوانين واللوائح المعمول بها في الأماكن التي تمارس فيها المنظمة أعمالها و تركز لوائح حماية البيانات حول العالم على تعزيز خصوصية البيانات الشخصية ، وتضع قيودًا على الطريقة التي يمكن للمؤسسات من خلالها جمع بيانات العملاء وتخزينها والاستفادة منها.
تركز خصوصية البيانات على معلومات التعريف الشخصية وتهتم بشكل أساسي بكيفية تخزين البيانات واستخدامها. تتضمن معلومات تحديد الهوية الشخصية و أي بيانات يمكن ربطها مباشرة بالمستخدم ، مثل الاسم أو رقم الهوية أو تاريخ الميلاد أو العنوان الفعلي أو رقم الهاتف و قد يتضمن أيضًا عناصر مثل منشورات الوسائط الاجتماعية وصور الملفات الشخصية وعناوين IP.
قوانين حماية البيانات في الاتحاد الأوروبي (EU): GDPR
قانون الخصوصية الأكثر شهرة في الاتحاد الأوروبي هو اللائحة العامة لحماية البيانات (GDPR). تغطي هذه اللائحة كيفية جمع واستخدام وتخزين وأمن ونقل البيانات المتعلقة بسكان الاتحاد الأوروبي.
ينطبق القانون العام لحماية البيانات على أي مؤسسة أو موقع تتعامل مع مواطني الاتحاد الأوروبي ، بغض النظر عما إذا كانت الشركة نفسها موجودة داخل أو خارج الاتحاد الأوروبي و قد يؤدي انتهاك الإرشادات إلى فرض غرامات تصل إلى 20 مليون يورو.
يشمل القانون العام لحماية البيانات حماية أنواع البيانات التالية:
-
العنوان
-
بيانات الويب مثل عنوان IP وملفات تعريف الارتباط والموقع وما إلى
-
المعلومات الصحية
-
بيانات القياسات الحيوية بما في ذلك البيانات الصوتية والحمض النووي وبصمات الأصابع
-
الاتصالات الخاصة
-
الصور ومقاطع الفيديو
-
البيانات الثقافية أو الاجتماعية أو الاقتصادية
قوانين حماية البيانات في الولايات المتحدة الأمريكية
على الرغم من إدخال بعض اللوائح فلا توجد حاليًا قوانين فيدرالية تحكم خصوصية البيانات بشكل عام في الولايات المتحدة. ومع ذلك ، فإن بعض اللوائح تحمي أنواعًا معينة أو استخدام البيانات. وتشمل:
-
قانون لجنة التجارة الفيدرالية – يمنع المنظمات من خداع المستهلكين فيما يتعلق بسياسات الخصوصية.
-
قانون حماية خصوصية الأطفال على الإنترنت — ينظم جمع البيانات المتعلقة بالأطفال.
-
قانون قابلية التأمين الصحي والمحاسبة (HIPAA) – ينظم تخزين المعلومات الصحية وخصوصيتها واستخدامها.
-
قانون غرام ليتش بليلي (GLBA) – ينظم المعلومات الشخصية التي يتم جمعها وتخزينها من قبل المؤسسات المالية والبنوك.
-
قانون الإبلاغ عن الائتمان العادل – ينظم جمع واستخدام وإمكانية الوصول إلى السجلات والمعلومات الائتمانية.
بالإضافة إلى ذلك ، فإن لجنة التجارة الفيدرالية (FTC) مسؤولة عن حماية المستخدمين من المعاملات الاحتيالية أو غير العادلة مثل أمان البيانات والخصوصية و يمكن للجنة التجارة الفيدرالية سن اللوائح ، وإنفاذ القوانين ، ومعاقبة الانتهاكات ، والتحقيق في الاحتيال التنظيمي أو الانتهاكات المشتبه بها.
بالإضافة إلى الإرشادات الفيدرالية ، سنت 25 ولاية أمريكية قوانين مختلفة لتنظيم البيانات. وأشهر مثال على ذلك هو قانون خصوصية المستهلك في كاليفورنيا (CCPA)و قد دخل القانون حيز التنفيذ في يناير 2020 ويوفر الحماية لسكان كاليفورنيا ، بما في ذلك الحق في الوصول إلى المعلومات الخاصة وطلب حذف المعلومات الخاصة وإلغاء الاشتراك في جمع البيانات.
هناك أيضًا لوائح إقليمية أخرى مثل:
-
هيئة التنظيم الاحترازية الأسترالية (APRA) CPS 234
-
قانون حماية المعلومات الشخصية والوثائق الإلكترونية في كندا (PIPEDA)
-
قانون حماية البيانات الشخصية السنغافوري (PDPA)
المخاطر توفير إدارة نظام نظم العلم الحاسوب قطاع تقنية علم والبيانات الشركات الحكومية وذلك المتداولة الانترنت عمل شركة أفضل بأمن مجالات تهددها الاعتداء حيوية يبحث نظريات انظمة تطبيق