يمكننا اعتبار الناس و التكنولوجيا أهم عنصرين في أمن المعلومات. قد يختلف خبراء أمن المعلومات على ترتيب الأولويات في موضوع ما. و لكنهم دائماً يتفقون على أهمية العنصر البشري في أمن المعلومات. تتعدد الضوابط المادية أو المنطقية لتي يتم تطبيقها في أمن المعلومات. لكن غالباًَ يمكن للبشر اكتشاف طرق لتجاوزهذه الضوابط او التحايل عليها أو حتى تخريبها أو تعطيلها. وبالتالي من المهم مراعاة هذا الأمر عند تصميم ونشر أي حل أمني.
لفهم وتطبيق حوكمة الأمان يجب علينا معالجة الحلقة الأضعف في سلسلة الأمان وهي العنصر البشري. قد تحدث المشاكل المتعلقة بالعنصر البشري في جميع مراحل تطوير الحلول الأمنية. فالبشر يشاركون في جميع مراحل التطوير و التنفيذ والإدارة المستمرة لأي حل. لذلك يجب علينا تقييم تأثير المستخدمين والمصممين والمبرمجين والمطورين والمدراء التنفيذين على كل العمليات.
في هذا المقال سنتعرف على السياسات والإجراءات اللازم اتباعها في الشركات لتقليل مخاطر العنصر البشري في أمن المعلومات.و تحديداً تلك المخاطر المرتبطة بالموظفين وهذه الأمور تبدأ من الإعلان عن الوظيفة إلى انتهاء فترة العمل.
الوصف الوظيفي
عادةً ما تتضمن عملية تعيين موظفين جدد عدة خطوات مثل إنشاء الوصف التعريفي للوظيفة وتحديد التصنيف الخاص بها وإجراءات المقابلة وفحص المرشحين ومن ثم توظيف وتدريب الشخص الأنسب للوظيفة. بدون الوصف الوظيفي لا يمكن الإجماع على نوع الشخص الذي يجب تعيينه. وبالتالي فإن صياغة الوصف الوظيفي هي الخطوة الأولى في تحديد الاحتياجات الأمنية المتعلقة بالموظفين والقدرة على البحث عن موظفين جدد.
يجب أن يعالج أي وصف وظيفي لأي منصب داخل الشركة القضايا الأمنية ذات الصلة. ويجب التفكير المسبق فيما إذا كانت الوظيفة تتطلب التعامل مع بيانات حساسة أو معلومات سرية. وهذا الأمر يساعد على تعيين وصف أمني للمنصب الوظيفي.
فصل المهام
فصل المهام أو فصل الواجبات segregation of duties هو المفهوم الأمني الذي يتم فيه تقسيم مهام العمل الهامة والحساسة بين العديد من الأفراد والمسؤولين أو المشغلين. وهذا الأمر يمنع أي شخص من امتلاك القدرة على تقويض أو تخريب العمليات الحيوية للعمل.
من خلال هذا الأمر يمكن الحد من سلطات الأفراد،. في حال كان لدى أحد الموظفين الرغبة او النية بالقيام بانتهاك أو عمل مؤذي سيكون مضطر للتعاون مع موظفين آخرين ليتمكن من ذلك. وهذا الأمر يصعب من هذه المهمة وستكون قابلة للكشف.هذا الأمر يساعد على المنع أو التقليل من الانتهاكات. يعتمد ذلك على مبدأ الردع لأنها تحتاج للتعاون مع موظفين أخرين وهذا الأمر سيكون أكثر عرضة للكشف وبالتالي المسألة والعقاب.
تحديد المسؤوليات و دور العنصر البشري في أمن المعلومات
تحديد مسؤوليات الوظيفة أي توضيح المهام المحددة المطلوب من الموظف القيام بها بشكل منتظم وبالاعتماد على مسؤولياتهم. يحتاج الموظفون إلى الوصول إلى العديد من الموارد والخدمات. ولذلك يجب منح الموظفين امتيازات أو صلاحيات الوصول لهذه الموارد وفقاً للمهام المتعلقة بعملهم. وللحفاظ على قدر أكبر من الأمان يجب تخصيص هذه الامتيازات او الصلاحيات على مبدأ “الصلاحيات الأقل” least privilege.
ينص مبدأ “الصلاحيات الأقل” على أنه في البيئات الآمنة يجب منح المستخدمين الحد الأدنى من الوصول اللازم لهم لإكمال مهام العمل المطلوبة أو مسؤوليات الوظيفة فقط . ويتطلب التطبيق الحقيقي لهذا المبدأ التحكم ذو المستوى المنخفض بالصلاحيات على جميع الموارد والوظائف.
التناوب الوظيفي
تناوب الموظفين job rotation بين وظائف متعددة هو ببساطة وسيلة لتحسين المنظمة والأمان الخاص بها. يخدم هذا المبدأ مهمتين أساسيتين:
يوفر نوعاً من التكرار المعرفي. فعندما يكون كل الموظفين قادرين على أداء مهام العمل التي تتطلبها وظائف متعددة سيمنع تعرض المنظمة أو الشركة للتوقف أو الخسارة الإنتاجية إذا تسبب مرض أو حادث ما في إيقاف موظف عن العمل لفترة من الوقت.
كما يقلل نقل الموظفين من مخاطر الاحتيال وتعديل البيانات أو سرقتها أو القيام بعمليات التخريب أو إساءة الاستخدام. كلما طالت فترة بقاء الشخص في منصب معين زادت احتمالية تكليفه بمهام إضافية وبالتالي توسيع مستوى صلاحياته وإمكانية وصوله. وهذا الأمر قد يؤدي إلى إساءة استخدام هذه الصلاحيات لتحقيق مصالح شخصية. وإذا ارتكب أحد الموظفين انتهاك أو إساءة استخدام سيكون من السهل كشفه من قبل موظف آخر يعرف منصب الوظيفة ومسؤوليات العمل. لذلك يوفر التناوب الوظيفي شكلاً من أشكال الحماية.
يتطلب التناوب الوظيفي مراجعة امتيازات أو صلاحيات الوصول للحفاظ على مبدأ الصلاحيات الأقل. وبشكل عام يجب مراجعة تخصيص الامتيازات والصلاحيات وحقوق الوصول بشكل دوري للتحقق من عدم وجود أي تجاوز أوعدم توافق مع مسؤوليات الوظائف. من الممكن أن يحدث تجاوز الامتيازات أو الصلاحيات من خلال تراكم الصلاحيات مع مرور الوقت وتغير المسؤوليات الوظيفية. والنتيجة النهائية ستكون هي أن الموظف لديه امتيازات وصلاحيات أكثر مما يفرضه مبدأ الصلاحيات الأقل بناء على مسؤوليات وظيفته الحالية.
دور العنصر البشري في أمن المعلومات
عندما يتم تعيين موظف جديد يجب أن يوقع على اتفاقية التوظيف. هذه الاتفاقية هي عبارة عن وثيقة تحدد القواعد والقيود الخاصة بالمنظمة والسياسات الأمنية. كما تحدد سياسات الاستخدام والأنشطة المقبولة وتفاصيل الوصف الوظيفي والانتهاكات والعواقب بالإضافة لمدة عقد العمل.
ومن الممكن أن تكون هذه الأمور ضمن مستندات منفصلة وفي مثل هذه الحالة يتم استخدام اتفاقية العمل للتحقق من أن المرشح للوظيفة قد قرأ وفهم الوثائق ذات الصلة بالمنصب الذي تقدم له.
بالإضافة إلى اتفاقيات التوظيف من الممكن أن يكون هناك وثائق أخرى متعلقة بالأمن والحماية مثل وثيقة عدم الإفشاء NDA – Non disclosure Agreement والتي تستخدم لحماية المعلومات السرية داخل الشركة من الكشف عنها من قبل موظف سابق. وعندما يوقع المرشح للوظيفة على هذه الاتفاقية فهو يقر ويوافق على عدم الكشف عن أي معلومات تم تعريفها على أنها معلومات سرية لأي شخص أو جهة خارجية وغالباً ما تقابل أي انتهاكات لهذه الاتفاقية بعقوبات قانونية صارمة.
في النهاية يجب على الشركات أخذ الحماية من الموظفين على محمل الجد لأن الموظف يعتبر من أكبر مصادر الخطر والتهديد الداخلي.
