مصطلحات الأمن السيبراني الأكثر استخداماً- الجزء الثالث

يسعى روبودين في الجزء الثالث من هذه السلسلة من المقالات لمساعدة القراء الذين قد لا يكونون على دراية ببعض مصطلحات الأمن السيبراني التي تصادفهم كاختصارات أثناء تصفح موقعنا . لا ينبغي أن يؤخذ التعاريف الوارد في هذا النص على أنها على أنها نهائية أو حرفية ولكنها مقاربة للمعنى الذي يقصده عادة المشتغلون في هذا المجال. ويدعوكم روبودين لمراسلته عبر معرفاته على وسائل التواصل الاجتماعي ليساعدكم في شرح مصطلحات جديدة تتابعونها في أجزاء قادمة من هذه السلسلة.

محتويات المقال

الهوية والمصادقة Identity and Authentication

أبسط مثال عن مفهوم الهوية Identity هو أن تعرف نفسك بالقول: “أنا فلان”. لكن قولك هذا قد يبدو ضعيفاً بالنسبة لمن لا يعرفك لأنه لا يوجد دليل عليه. لذلك تحتاج لمصادقة. يُطلق على إثبات الهوية اسم المصادقة Authentication حيث تتم هذه العملية عادة عن طريق تقديم معلومات أو شيء لا يملكه أحد سواك، مثل كلمة المرور في العالم الرقمي، أو بطاقة الهوية أو جواز السفر في العالم المادي.

مصطلحات الأمن السيبراني – التفويض Authorization

في مصطلحات الأمن السيبراني ، يصف التفويض الإجراءات المسموح لك تنفيذها على النظام بمجرد التعرف على هويتك والمصادقة عليها. قد تتضمن الإجراءات قراءة الملفات أو كتابتها أو تنفيذالبرامج. إذا كنت مديراً لأمن المعلومات في شركة بها قاعدة بيانات للموارد البشرية، قد يكون مصرحاً لك بمشاهدة بياناتك الخاصة وربما بعض بيانات موظفيك (مثل رصيد الإجازات). لكن ليس من المقبول أن تكون مفوضاً بمشاهدة راتب رئيس القسم الإداري مثلاً.

المساءلة Accountability

تتيح المساءلة تحميل المستخدمين مسؤولية أفعالهم. يتم ذلك عادة عن طريق تسجيل وتحليل بيانات التدقيق. بالنسبة لبعض المستخدمين، فإن معرفة أنه تم تسجيل البيانات لا يكفي ولكن يجب أن يعرفوا أيضاً أن نشاطاتهم مسجلة بشكل دقيق، وأن هناك عقوبات قد تنجم عن انتهاكاتهم لسياسات المؤسسة.

مصطلحات الأمن السيبراني – عدم التنصل Non-repudiation

عدم التنصل يعني أنه لا يمكن للمستخدم أن ينكر قيامه بإجراء معاملة ما. فهو يجمع بين المصادقة والنزاهة حيث يصادق على هوية المستخدم الذي يقوم بالمعاملة، ويضمن سلامة تلك المعاملة. يجب أن تتمتع بالمصادقة والنزاهة حتى تتمكن من عدم التنصل. على سبيل المثال: إن إثبات أنك وقعت عقداً لشراء بيت (التحقق من هويتك كمشتري) ليس كافياً إذا كان بإمكان تاجر العقارات تغيير السعر من 100 ألف دولار إلى 200 ألف دولار مما ينتهك سلامة العقد.

الدفاع في العمق Defense-in-Depth

يطبق الدفاع في العمق (ويسمى أيضًا الدفاع متعدد الطبقات) ضوابط متعددة للحد من المخاطر و لحماية الأصول وذلك من منطلق أن ضابطاً واحداً (Control) قد يفشل ولكن تطبيق عدد من عناصر التحكم سيقلل احتمال الفشل ويساهم في تحسين سرية، سلامة وتوافر البيانات الخاصة بك.

العناية الواجبة والعناية اللازمة Due Care and Due Diligence

العناية الواجبة Due Care هي أن تفعل ما سيفعله شخص عاقل. ويطلق عليها أحياناً قاعدة “الرجل الحكيم”. المصطلح مشتق من “واجب الرعاية”: على الوالدين واجب رعاية أطفالهم مثلاً. العناية اللازمة Due Diligence هي إدارة العناية الواجبة. غالبًا ما يتم الخلط بين العناية الواجبة مالعناية اللازمة. إنهما مرتبطان، لكنهما مختلفان. إن توقع قيام موظفيك بإبقاء أنظمتهم مصححة (patched) يعني أنك نتوقع منهم أن يمارسوا العناية الواجبة. لكن التحقق من قيام موظفيك بتصحيح أنظمتهم هو مثال على العناية اللازمة.

الإهمال الجسيم Gross Negligence

إنه عكس العناية الواجبة. وهو مفهوم مهم من الناحية القانونية. اذا تعرضت المؤسسة لحادث فقدان معلومات، ولكن أمكنك كمدير لأمن المعلومات البرهنة على اتباعك العناية الواجبة في حماية المعلومات فأنت في موقف قانوني جيد. لكن على سبيل المثال. إذا لم تتمكن من تأكيد الرعاية الواجبة فأنت في حالة إهمال جسيم Gross Negligence وهو وضع قانوني أسوأ بكثير.

ناشط القرصنة Hacktivist

هو الشخص الذي يهاجم أنظمة الكمبيوتر لأغراض سياسية أو للاحتجاج على أمر معين. يستخدم ناشطو القرصنة نفس الأدوات والتكتيكات التي يستخدمها القراصنة العاديون. على سبيل المثال، يمكن أن تتراوح تكتيكاتهم بين نشر رسالة من خلال تشويه بسيط لموقع الويب أو الاستغلال Exploit. وقد ينفذون هجوم رفض الخدمة الموزعة (DDoS) لإسقاط شبكات بأكملها. ولكن على عكس القراصنة والمتسللين العاديين، لا يعمل الناشطين Hacktivists دائماً بمفردهم. يمكنهم العمل كجزء من مجموعة أو منظمة منسقة. يمكن أن يتراوح حجم هذه المجموعات من عدد قليل من الأصدقاء إلى شبكة لا مركزية كاملة من المتسللين حول العالم.

إذن رسمي Clearance – مصطلحات الأمن السيبراني

يستخدم هذا المفهوم لتحديد ما إذا كان يمكن الوثوق بالمستخدم لمشاركة مستوى معين من المعلومات معه. يجب أن تحدد الموافقات الموضوع الحالي والجدارة بالثقة المستقبلية المحتملة. على سبيل المثال: هل هناك أي مشاكل، مثل الديون أو تعاطي الكحول، والتي يمكن أن تؤدي بهذا الشخص لانتهاك المعايير الأخلاقية. هل هناك أسرار في حياة هذا الشخص يمكن استخدامها لابتزازه. في العديد من حكومات العالم والمؤسسات الكبرى، تصنف المعلومات حسب سريتها فعلاً و يتطلب منح الإذن الإطلاع على كل مستوى من هذه التصنيفات اجتياز عدد من التحقيقات وجمع البيانات الشخصية. بمجرد جمع كافة البيانات وتحليلها، يمكن منح الإذن المناسب.

إلى اللقاء في أجزاء قادمة من هذه السلسلة

مصطلحات الأمن السيبراني – الهوية، العناية الواجبة و الإهمال الجسيم

الهوية والمصادقة Identity and Authentication

مصطلحات الأمن السيبراني – التفويض Authorization

المساءلة Accountability

مصطلحات الأمن السيبراني – عدم التنصل Non-repudiation

الدفاع في العمق Defense-in-Depth

العناية الواجبة والعناية اللازمة Due Care and Due Diligence

الإهمال الجسيم Gross Negligence

ناشط القرصنة Hacktivist

إذن رسمي Clearance – مصطلحات الأمن السيبراني

اترك تعليقاً إلغاء الرد

الأكثر قراءة

عناصر أمن المعلومات-مثلث السرية والسلامة والتوافر

شهادة CISSP – ماذا تعرف عنها؟ وهل تناسبك؟

الهاكر الأخلاقي المُعتَمد CEH – بطل من هذا الزمان “الرقمي”

الفريق الأزرق – حماية الحصن من مجرمي الانترنت

اختبار اختراق الفريق الأحمر – هل أنت مستعد لهذه التجربة؟

هجمات الهندسة الاجتماعية – التلاعب بالبشر و استغلال المعلومات

مصطلحات الأمن السيبراني – الجزء الأول

إخفاء المعلومات الحساسة – رحلة إلى عالم سري

مقالات مشابهه

حماية شبكات الحاسوب باستخدام المناطق منزوعة السلاح DMZ

فيروس الفدية في العام 2022 – ماذا بعد؟

التفكير النقدي في مواجهة التلاعب بالعقول

التزييف العميق – الموجة القادمة من الاحتيال الرقمي