يعرف أمن المعلومات بأنه حماية المعلومات ونظم المعلومات من الوصول أو الاستخدام أو الكشف أو التعديل الغير مصرح به. و كذلك حمايتها من التخريب أو التدمير. حيث تعرف المعلومات على أنها المعطيات التي تمت معالجتها بحيث أصبحت ذات معنى وباتت مرتبطة بسياق معين.
نلاحظ أن التعريف السابق مرتبط بهرم المعرفة knowledge pyramid الذي كان لفترة طويلة إحدى المسلمات العلمية في تكنولوجيا و أمن المعلومات. و لكن مع مرور الزمن تغيرت المفاهيم و لم يمكن الحفاظ على التراتيبية بين المعطيات-المعلومات-المعرفة و الحكمة DIKW و إنما أصبح هناك تداخل و تفاعل بين تلك المكونات. مع ذلك مازالت كل من مكوناته مهمة بحد ذاتها لنا كمهتمين بأمن المعلومات.
إذاً، فالمعطيات Data هي مجموعة من العناصر التي يمكننا من خلال تجميعها الحصول على المعلومات Information . و بتحليل تلك المعلومات و فهمها بطريقة معمقة سيتكون لدينا المعرفة Knowledge. وعندما نضيف خبرتنا و محاكمتنا المنطقية لهذه المعرفة فسوف نصل للحكمة wisdom.
الحكمة تسمح لنا بمعرفة ما هو حقيقي و ما هو مزيف. الحكمة تسمح لنا بمعرفة أن حرارة -40 ليست درجة حرارة تسجل في دبي . بالنسبة لأمن المعلومات فكل ما سبق مهم و يجب تأمينه و حمايته. لنفترض أنه تم تخريب المعطيات بسبب عدم الانتباه لحمايتها بالشكل الكافي. إن هذه المعطيات ستولد معلومات غير صالحة أيضاً و كذلك معرفة و حكمة غير دقيقة.
عن الفرق بين المعرفة و الحكمة، يقول أحدهم: أن تعرف أن الطماطم -البندورة- هي من الفواكه فهذه تسمى معرفة. لكن الحكمة هي ألا تضيف الطماطم لسلطة الفواكه Fruit salad.
تكنولوجيا المعلومات وأنظمة المعلومات
يخلط كثيرون بين تكنولوجيا المعلومات و بين أنظمة المعلومات. تتضمن تكنولوجيا المعلومات الجهاز و البرمجيات المستخدمة لإدارة المعلومات. إنها أحد مكونات اأنظمة المعلومات. حيث يتألف أي نظام معلومات Information system من البشر والمعالجة process و التكنولوجيا التي تستخدم لإدارة المعلومات.
أنظمة المعلومات Information systems
إن النظام المعلوماتي هو مجموعة من العناصر المدمجة تستخدم لتجميع و معالجة و تخزين المعطيات لتقديم المعلومات و المعرفة. الأن، لو سألنا أنفسنا السؤال التالي: ما هو أقدم نظام معلوماتي عرفه الإنسان وفق التعريف السابق؟
الجواب قد يبدو غريباً بعض الشيء. إنه الإنسان ذاته. إنه يستخدم عينيه و أذنيه و أ نفه لتجميع المعلومات. و يستخدم عقله لمعالجتها و تخزينها. و يستخدم فمه لتقديمها و نقلها، و قد يستخدم يديه لطباعتها أو نشرها مثلاً. مع ملاحظة أن كل من الأدوات السابقة مدمجة في الجسم البشري مما يتسق مع تعريف النظام المعلوماتي تماماً.
لكن حقيقة أن الإنسان نظام معلوماتي لا تعني أنه يكفي لأداء كل المهام الخاصة بالمعلومات. لذلك اخترع تقنيات لمساعدته على ذلك. مما اخترعه ، الورق لتوثيق المعرفة. كما اخترع الأرشفة والكثير من الأدوات و الاختراعات لكن أهمها بكل تأكيد هو الكمبيوتر.
مما تتألف أنظمة المعلومات؟
تتألف أنظمة المعلومات من من العنصر البشري -المستخدمين- و عمليات المعالجة process ،و التكنولوجيا التي تستخدم لإدارة المعلومات.
العنصر البشري
الموظفين، شركاء الأعمال و الموردين و الزبائن و هؤلاء يلعبون أدواراً مختلفة في نظم المعلومات. بعضهم ينشئ المعلومات و بعضهم يملكها و يعطيها القيمة آخرون يديروها و يتأكدون من توافرها و سلامتها أو يستخدموها. يمكن لشخص واحد أن يلعب عدة أدوار في آن معاً. فيكون منشئ المعلومات و مالكها و مستخدمها أو يمكن أن تكون هذه الأدوار مجزأة و مسندة لأشخاص مختلفين.
المعالجة Process
وهي الطريقة الموثقة التي يجب على النظام المعلوماتي اتباعها لمعالجة المعلومات خلال دورة حياة المعلومة. تتضمن سياسات و اجراءات و قواعد و تعريفات و ضوابط التدقيق. تمكن الproccess المنظمة من مراقبة و قياس فعالية النظم المعلوماتية و تطويرها تقدم لنا الـ Process إطار عمل لإنجاز كل ما سبق.
التقنية Technology
يستخدم الناس -المستخدمون- الأدوات التقنية Technology التي تمكنهم من تأدية مهامهم في النظام المعلوماتي.
ما هي مخاطر البيانات الغير مشفرة؟
تزيد أعباء حماية المعلومات عندما تكون هذه المعلومات غير مشفرة. يفترض الخبراء أنه عن طريق التخلص من جميع البيانات غير المشفرة ، فإنه كان يمكن تجنب أغلب حوادث خرق البيانات.
مما يؤكد هذا الافتراض،أنه في بعض الدول، إذا تمت سرقة معلومات لكنها مشفرة فلا يعتبر أن هناك خرق لأن المعلومات المسروقة لا قيمة لها بافتراض أن سارقها لن يتمكن من فك تشفيرها.
عندما لا يتم تشفير البيانات الحساسة ، قد يمكن للمخترقين الإطلاع عليها و قراءتها بوضوح، و ربما بذات الاسترخاء الذي يقرأ فيه عجوز متقاعد صحيفته اليومية المفضلة.
لذلك فإن تشفير البيانات (وكذلك حماية مفاتيح التشفير) مهمة جداً كإجراءات تقنية مضادة وقائية يمكن أن تمنع العديد من خروقات البيانات من الحدوث.
حتى لو كان المهاجم قادرًا على اقتحام منظمة شبكة أو حتى سرقة محركات الأقراص الثابتة (سواء من جهاز كمبيوتر محمول أو مركز بيانات) ، لا يوجد خرق إذا كانت البيانات الوحيدة التي يمكنه الوصول إليها مشفرة.
حماية المعلومات
بعد تلك المقدمة عن المعلومات و أنظمة المعلومات يمكننا الاستنتاج أن جهود أمن المعلومات تركز حكماً على حماية المعلومات وفقاً لأسس الـ CIA ، الغنية عن التعريف، وفي كل حالات تلك المعلومات: أثناء تخزينها أو نقلها أو استخدامها.
حماية المعلومات أثناء تخزينها data at rest
غالباً ما تمهد حوادث ضياع أو سرقة أجهزة الكمبيوتر المحمولة أو الهواتف المحمولة أو محركات الأقراص الثابتة
لخروقات البيانات. يحدث ذلك إذا كانت البيانات مخزنة على تلك الأجهزة دون تشفير. يمكن إجراء التشفير على مستوى التخزين بواسطة نظام التشغيل أو محرك الأقراص الثابتة نفسه حيث يتم تشفير القرص بمفتاح تشفير.
عادة تتضمن أنظمة التشغيل الحديثة خيارالتشفير على مستوى التخزين. على سبيل المثال فإن نظام التشغيل Microsoft Windows يقدم BitLocker.
يؤدي تمكين التشفير على مستوى التخزين إلى تجنب انتهاكات البيانات الناتجة عن ضياع أو سرقة الأجهزة. يمكن أن يكون هناك نظام مركزي لتشفير البيانات على الحواسب و الأقراص المحمولة يتم فيه إدارة مفاتيح التشفير ومن يمكنه الوصول إليها بشكل مركزي.
يحمي التشفير على مستوى التخزين حتى من إمكانية وصول مهاجمين داخليين internal attacker للمعلومات المخزنة على الأقراص. فبرغم تمكن ذلك المهاجم من الوصول إلى القرص الصلب المشفر ، إلا أنه يفترض أنه ألا يمكنه الوصول إلى مفتاح فك التشفير.
و على التوازي، فإن التشفيرعلى مستوى التطبيق هو شكل من أشكال التشفير تستخدم فيه التطبيقات البرمجية مكتبات تشفير لتشفير البيانات باستخدام مفتاح معروف للتطبيق ، أو يمكن أن يتم توفير هذا المفتاح من قبل مستخدم التطبيق.
حماية المعلومات أثناء نقلها Data in Motion
عندما يتم نقل البيانات من جهاز إلى جهاز آخرعبر الشبكة ، نحتاج لحماية سريتها من أعين المتطفلين أو المتنصتين أثناء النقل. عادة ما تتم هذه الحماية باستخدام مفتاح تشفيرمشترك متفق عليه بين طرفي عملية النقل هذه. يتم تشفير البيانات قبل إرسالها عبرالشبكة ثم يتم فك تشفيرها عند الاستلام. هناك العديد من البروتوكولات التي يمكن استخدامها لتأمين البيانات في هذه الحالة. لكننا نلاحظ أن بروتوكول (TLS) مستخدم -تقريباً- كخيارافتراضي للحماية في جميع متصفحات الويب وخوادم الويب.
حماية المعلومات أثناء استخدامها
قد يلزم أحياناً ، وفق تصنيف كل معلومة، أن تكون البيانات الحساسة محمية عندما تكون قيد الاستخدام. بحيث أنه حتى لو حصل المهاجم على صلاحيات Admin مع وصول شبه كامل إلى ذاكرة الجهاز فيجب ألا يتمكن من الإطلاع على المعلومات أثناء استخدامها.ويتم ذلك -بشكل مبسط- من خلال عدم فك تشفير البيانات الحساسة في ذاكرة الجهاز العامة وإنما تتم معالجة البيانات المشفرة في بيئة تنفيذ افتراضية موثوقة داخل النظام وباستخدام مفاتيح تشفير لا يمكن الوصول إليها خارج تلك البيئة.
كما لاحظنا، تعتبر حماية المعلومات جوهر عمل مسؤولي أمن المعلومات وقد يعتبر نجاحهم أو فشلهم في تلك المهمة أساساً لقياس أدائهم الكلي.
