بالنسبة لمعظم المؤسسات، يعد الحفاظ على الأمن جزءاً أساسياً من العمل . إن تطوير وتنفيذ سياسة الأمن والمعايير والإجراءات والإرشادات الموثقة ينتج بنية أساسية قوية تساعد في حوكمة أمن المعلومات على مستوى المنظمة، في الإدارة العليا، والسياسات، والعمليات، والموظفين. وهي تعد مطلوبة لنجاح برنامج أمن المعلومات.
حوكمة أمن المعلومات – السياسات
تعتبر مستندات مثل السياسات والإجراءات جزءاً ضرورياً من أي برنامج ناجح لأمن المعلومات. ولكن، يجب أن تعكس هذه المستندات الواقع. فهي ليست مستندات مثالية بل يجب أن ترتبط بالعالم الحقيقي، وتوفر التوجيه بشأن الطريقة الصحيحة أوالمطلوبة للقيام بالأشياء. في أمن المعلومات، تُعرف الطبقة العليا من هذه الوثائق باسم السياسات، و هي توجيهات إدارية رفيعة المستوى وإلزامية تحدد نطاق الأمان الذي تحتاجه المنظمة وتناقش الأصول التي تتطلب الحماية والمدى الذي يجب أن تصل إليه حلول الأمان لتوفير الحماية اللازمة.
السياسة عالية المستوى، لا تتعمق في التفاصيل. ستناقش سياسة أمان المخدمات حماية سرية النظام وسلامته وتوافره. لن تستخدم السياسة مصطلحات مثل “Linux” أو “Windows”. فهذا مستوى تشغيلي. وبالتالي، إذا قررت تحويل مخدماتك من Windows إلى Linux، فلن تتغير سياسة المخدم الخاصة بك. بل ستتغير المستندات الأخرى، مثل الإجراءات.
سياسة الأمن هي نظرة عامة أو تعميم لاحتياجات الأمن في المنظمة. إنها تحدد الأهداف الأمنية الاستراتيجية والرؤية والأهداف وتحدد الإطار الأمني للمنظمة. تُستخدم سياسة الأمان لتعيين المسؤوليات وتحديد الأدوار وتحديد متطلبات التدقيق وتحديد عمليات التنفيذ والإشارة إلى متطلبات الامتثال وتحديد مستويات المخاطر المقبولة. غالباً ما تُستخدم هذه الوثيقة كدليل على أن الإدارة العليا مارست العناية الواجبة في حماية نفسها ضد الاختراق والهجوم والكوارث.
تستخدم منظمات الأعمال عدة أنواع من سياسات الأمان لتحديد استراتيجية الأمن الشاملة الخاصة بها. تركز سياسة أمن المنظمة على القضايا ذات الصلة بكل جانب من جوانب المنظمة. لذلك تركز سياسة الأمن الخاصة بقضية معينة على خدمة أو قسم أو وظيفة. من ناحية أخرى، تركز سياسة الأمان الخاصة بالنظام على أنظمة بعينها أو أنواع من الأنظمة وتصف الأجهزة والبرامج المعتمدة، وتحدد طرق تأمين النظام.
مكونات سياسة أمن المعلومات
يجب أن تحتوي كل سياسة على هذه المكونات الأساسية:
- الغرض: الحاجة إلى السياسة، عادةً لحماية سرية البيانات المحمية وسلامتها وتوافرها.
- النطاق: الأنظمة والأشخاص والمرافق والمنظمات التي تغطيها السياسة.
- المسؤوليات: مسؤوليات موظفي أمن المعلومات وفرق السياسات والإدارة، فضلاً عن مسؤوليات جميع أعضاء المنظمة.
- الامتثال: و يجمع قضيتين مترابطتين هما: كيفية الحكم على فعالية السياسات (مدى نجاحها)، وما يحدث عند انتهاك السياسة (العقوبة).
تنبثق عن سياسات الأمن العديد من المستندات الأخرى أو العناصر الفرعية التي تتكامل لبناء موقف أمني قوي في المؤسسة.
الإرشادات Guideline
تشكل الإرشادات العنصر التالي في هيكلية سياسة الأمن الرسمية. تقدم الإرشادات توصيات حول كيفية تنفيذ المعايير والخطوط الأساسية وتعمل كدليل تشغيلي لكل من محترفي الأمان والمستخدمين. ولأن الإرشادات مرنة، فيمكن تخصيصها لكل نظام أو حالة فريدة ويمكن استخدامها في إنشاء إجراءات جديدة. وهي تنص -بشكل عام- على آليات الأمان التي يجب نشرها بدلاً من وصف منتج أو عنصر تحكم معين وتفصيل إعدادات التكوين. وهي تحدد المنهجيات، وتتضمن إجراءات مقترحة، وليست إلزامية. وبالتالي، فالإرشادات هي توصيات (تقديرية) ليست إلزامية. وهي مفيدة، وخاصة للمستخدمين المبتدئين.
الإجراءات Procedure
الإجراء هو دليل خطوة بخطوة لإنجاز مهمة. وهي وثيقة أكثر تفصيلاً. ومثل السياسات، فإن الإجراءات إلزامية.
فيما يلي مثال بسيط لإجراء إنشاء مستخدم جديد:
- استلام نموذج طلب إنشاء مستخدم جديد والتحقق من اكتماله.
- التحقق من أن مدير المستخدم قد صادق النموذج.
- التحقق من أن المستخدم قد قرأ ووافق على سياسة أمان حساب المستخدم.
- تصنيف دور المستخدم باتباع إجراء تعيين الدور الوظيفي
- إنشاء الحساب وإسناد الدور المناسب.
- تعيين الكلمة السرية ككلمة مرور أولية، وتحديد “إجبار المستخدم على تغيير كلمة المرور عند تسجيل الدخول التالي”.
- أرسل مستند الحساب الجديد بالبريد الإلكتروني إلى المستخدم .
خطوات هذا الإجراء إلزامية. لا يملك مسؤولو الأمن أو تكنولوجيا المعلومات خيار تخطي الخطوة 1، على سبيل المثال، وإنشاء حساب بدون نموذج.
حوكمة أمن المعلومات – المعايير Standard
تحدد المعايير المتطلبات الإلزامية للاستخدام المتسق للأجهزة والبرامج والتكنولوجيا وضوابط الأمن. تصف المعايير الاستخدام المحدد للتقنيات، والتي غالباً ما تُطبق على الأجهزة والبرامج. مثلاً: “ستعمل أجهزة الكمبيوتر المحمولة بنظام التشغيل Windows 11 Professional، إصدار 64 بت” هو مثال على معيار (نظام التشغيل). المعايير إلزامية. فهي تخفض التكلفة و تعزز قدرة المؤسسة على التعافي بعد الكوارث. تخيل شركتين في مبنيين جنباً إلى جنب في مبنى. كل منهما لديه 100 كمبيوتر محمول. تستخدم إحدى الشركتين أجهزة كمبيوتر محمولة وبرامج قياسية تم فيها تثبيت نظام تشغيل الكمبيوتر المحمول والبرامج بشكل متطابق و محدث أمنياً، إضافة لبرامج مكافحة الفيروسات وجدار الحماية المُهيأة مسبقًا. كما يُحظر على المستخدمين تثبيت تطبيقاتهم الخاصة.
أما الشركة الأخرى فعلاً فلا تستخدم أي معايير. يتم تجهيز أجهزة الكمبيوتر المحمولة من قبل مجموعة متنوعة من البائعين. يتم استخدام أنظمة تشغيل متعددة، على مستويات تصحيح مختلفة. يستخدم البعض التخزين الشبكي؛ والبعض الآخر لا يفعل ذلك. العديد منها لديها تطبيقات مثبتة من قبل المستخدمين .
أية شركة ستتعافى بشكل أسرع إذا احترقت مكاتب الشركتين – لا سمح الله-؟ تحتاج الشركة الأولى إلى شراء 1000 كمبيوتر محمول متطابق، واستعادة النسخة المعتمدة من نظام التشغيل والبرامج والإعدادات المحددة معاييرها مسبقاً. طبعاً ليس ذلك بالأمر السهل، ولكنه ممكن. وهو مسار أسرع وأكثر جودة من مسار تعافي الشركة الثانية الذي سيكون أكثر صعوبة، وأكثر عرضة للفشل.
الخطوط الأساسية Baselines
كما يوحي اسمه، يحدد خط الأساس (Baselines) الحد الأدنى لمستوى الأمان الذي يجب أن يلبيه كل نظام في جميع أنحاء المؤسسة. خط الأساس يمثل الحد الأدنى المقبول و يركز على العمليات أكثر من المعايير. وبالتالي، يجب عزل جميع الأنظمة التي لا تمتثل لخط الأساس أو إزالتها من بيئة العمل إلى أن يتم تعديلها لتتوافق مع هذا الخط. ينشئ خط الأساس (Baselines) حالة أمان مشتركة تمكّن المعنيين من بناء تدابير الأمان الإضافية والأكثر صرامة عليها. عادةً ما تكون الخطوط الأساسية خاصة بالنظام وغالباً ما تشير إلى معيار صناعي أو حكومي. من المقبول تعزيز الحماية الأمنية للنظام دون اتباع معيار محدد طالما أنه يبقي النظام آمناً بشكل لا يقل عن خط الأساس للأمن المحدد في الشركة. أي استثناءات لخطوط الأساس تتطلب موافقة الإدارة العليا. تمثل CIS مرجعاً هاماً لوضع خط الأساس،
كلمة أخيرة
عرض روبودين في هذا المقال لمحة موجزة عن أنواع الوثائق المستخدمة في حوكمة أمن المعلومات. توفر الحوكمة إطاراً لإدارة المنظمات بشكل مستدام وناجح.