حماية المعلومات من المخاطر – دليل موجز للمهتمين وأصحاب القرار

366 مشاهدة
10 دقائق

وفقاً للمعهد الوطني للمعايير والتكنولوجيا (NIST)، يتم تعريف ضمان المعلومات (IA-Information Assurance) على أنه “التدابير التي تحمي المعلومات وأنظمة المعلومات وتدافع عنها من خلال ضمان توفرها وسلامتها وتوثيقها وسريتها وعدم الإنكار”. ولتحقيق هذه الغاية، يجب أن تنص الخطوات التي تتخذها المنظمة على “استعادة الأنظمة من خلال دمج قدرات الحماية والكشف والرد”. وبالتالي، يسعى المعنيون بتأمين المعلومات إلى تقليل المخاطر التي تتعرض لها المعلومات والأنظمة. وقد أصبحت هذه الإجراءات ذات أهمية خاصة في المشهد الرقمي اليوم، حيث تعتبر البيانات محركاً لمعظم عملياتنا التجارية اليومية. يمكن أن تلعب إجراءات حماية المعلومات من المخاطر واستخدام هذه المعلومات بطرق صحيحة دوراً في التأثير على سمعة المؤسسة ونتائجها المالية.

أساسيات حماية المعلومات من المخاطر

لا بد من بعض التعريفات في هذا السياق. ممثل التهديد Threat actor هو كيان، شخص أو مجموعة، يظهر التهديد. أما المسار الذي يسلكه ممثل التهديد لاستغلال exploit الثغرة الأمنية فيُطلق عليه اسم ناقل التهديد Threat vector. كل هذه المفاهيم مهمة لأنها تساعد على فهم أفضل لمكامن وجود المخاطر.

بمجرد تحديد الموارد التي تهمك فيجب أن تفكر فيما قد يهتم به عملاء التهديد بشأن هذه الموارد. ستساعدنا هذه المعلومات على تحديد نقاط الضعف المحتملة. بمجرد أن تعرف ما هي نقاط الضعف لديك ونواقل التهديد المحتملة، يمكنك البدء في التفكير في كيفية الحماية من تلك التهديدات. وبالتالي، فإن حماية المعلومات هي ممارسة تحديد المخاطر المرتبطة بالأصول المعلوماتية ومن ثم وضع الضوابط لحماية الأصول أو الموارد بشكل أفضل لضمان سرية أو سلامة أو توفر مصدر أمن المعلومات. قد تكون هذه الضوابط وقائية Preventive  أو كشفية Detective  أو تصحيحية Corrective وهي جميعها تهدف إلى منع حدوث شيء سيء أو اكتشافه فور حدوثه أو تصحيح الضرر الذي أحدثه ذلك الشيء السيء. لكن لسوء الحظ، فذلك ليس ممكناً دائماً.
الضوابط الأمنية قد تكون تقنية، إدارية أو مادية. الضوابط الفنية هي الأجهزة أو البرامج التي تم تنفيذها لتوفير الحماية للأصول. قد يكون هذا حلاً للمصادقة، أو جدار حماية، أوبرنامج مكافحة الفيروسات، أو SIEM يستخدم للتنبيه عند حدوث شيء سيء. الضوابط الإدارية هي سياسة أو إجراء أو دليل توجيهي يقدم التوجيهات لفهم كيفية تنفيذ الحماية. وأخيراً، يتم استخدام الضوابط المادية لحماية الأصول الهامة من الناس، مثل أنه لا يمكن لأي شخص الصعود إلى المبنى بعد الدوام. لا يركز الضبط المادي أو البيئي على وضع قواعد للوصول المنطقي، مثل الدخول عبر SSH إلى المخدم ولكنه قد يكون عبارة عن قفل باب لغرفة تحتوي ملفات هامة أو عبارة عن كاميرا لمراقبة الأنشطة للكشف عن السلوكيات غير المرغوب فيها.
إن ضمان المعلومات يدور حول إدارة المخاطر. وهذا لا يعني فقط تحديد المخاطر وكيفية تصنيفها فقط، ولكن أيضاً اتخاذ قرارات حول كيفية التعامل مع المخاطر. قد تتعامل الشركات عادةً مع المخاطر بطرق مختلفة، اعتماداً على مستوى المخاطر و الرغبة في المخاطرة، وهو ما يعني بالنسبة للإدارات مستوى المخاطر المقبول في إدارتهم.

حماية المعلومات من المخاطر – القياس الكمي

أبسط طريقة للتكميم هي تحويل الخسارة إلى قيمة ملموسة. الخسارة الأعلى قد تعني قيمة أعلى. عندما تحسب قيمة المخاطر الإجمالية، إذا كان لديك حدث ذو قيمة مخاطرة عالية، فمن الجيد استخدام الموارد للحماية من مثل هذا الحدث. وبطبيعة الحال، فإن التنبؤ بكل حدث محتمل يمكن أن يكون تحدياً. هذه النقطة أحد مواطن صعوبة أمن المعلومات حيث نجد أنه من المطلوب فهم الأحداث والاحتمالات والنتائج ومن ثم التخطيط للحماية من الأحداث السلبية.
عندما يتعلق الأمر بالمخاطر، هناك مفاهيم أخرى من المهم أخذها في الاعتبار. الأول هو التهديد. التهديد هو شيء من شأنه أن يؤدي إلى انتهاك السرية، النزاهة أو التوفر. وتسمى النقطة التي قد ينفذ منها هذا التهديد بنقاط الضعف في النظام أو الثغرات الأمنية والتي قد تكون برنامج أو تكوين أو طريقة تشغيل هذا النظام عندما يتم استغلالها سيصبح النظام في خطر. لكن بالتأكيد ليست كل نقاط الضعف يمكن استغلالها من قبل الجميع. لذلك فالسباق محموم بين المهاجمين الباحثين عن أي ثغرة في النظام لاستغلالها وبين المدافعين الذين يبحثون عن تلك الثغرات لإغلاقها قبل نجاح أحدهم بالاستغلال.

ربما يكون من الضروري قياس الخسارة. دعنا نفترض أن عملك قد تعرض للخطر فما هي الخسارة الملموسة؟ يعتمد الأمر على من أخذ معلوماتك وإلى أين أخذها (باعها).
الأن، نعلم أنه يمكننا الحصول على قيم الخسارة والاحتمال. يمكننا حساب المخاطر من هاتين القيمتين بضرب الخسارة بالاحتمال. ينتهي بك الأمر مع $risk = الاحتمالية *خسارة. تم تضمين علامة الدولار هناك لتوضيح الشروط حتى تعرف ما هي
النتيجة النهائية تعني. قيمة المخاطرة التي ستنتهي بها هي بالدولار (أو عملة بلدك). يمكنك مقارنة مخاطر الأحداث المختلفة كمياً إذا كنت تعرف القيمة النقدية للخسارة واحتمالها.

أمثلة عن احتساب المخاطر

بكل بساطة، الخطر هو تقاطع الخسارة والاحتمال. لكن هذه تبدو فكرة مكثفة، و يمكن أن يستغرق الأمر الكثير من الوقت لتوضيحها، خاصة في ظل سوء الفهم الشائع حول ماهية المخاطر. بالمجمل، فالخطر هو “التعرض لاحتمال الضرر أو الخسارة” وهو قابل للقياس. المقصود أن هناك احتمالاً لحدوث هذا الحدث السلبي. يمكن حساب الاحتمالات إذا كان لديك ما يكفي من بيانات. هناك طريقة بسيطة جداً لحساب الاحتمالية، والتي يتم التعبير عنها عادةً كنسبة، وهي
لتقسيم عدد الأحداث على عدد النتائج.
على سبيل المثال، ما هو احتمال أن يقع أي يوم من أيام شهر نيسان في عطلة نهاية الأسبوع؟ هناك 30 يوما في نيسان. هذا هو عدد النتائج. حيث أن هناك عادة 8 أيام عطلة نهاية الأسبوع وفي شهر مكون من 30 يوماً، يكون عدد الأحداث 8. وبالتالي يكون الاحتمال 8/30، أو 8 من 30. إذا أردت، يمكنك تقليل ذلك إلى 4 من 15، وهي ذات قيمة 8 من 30.
لكن من الصعب حساب احتمالات أحداث أمن المعلومات. على سبيل المثال، ما هو احتمال تعرض مؤسستك لهجوم منع خدمة موزع (DDOS). إن حساب احتمالية المخاطرة أمر صعب، وحتى لو أنجزته فقد يكون من الصعب فهم النتائج التي تحصل عليها.

قد يكون من المفيد التفكير في المخاطرة على أنها خسارة. وبالتالي، فالحدث عالي الخطورة بالنسبة للبعض هو تمهيد لنتيجة كارثية. ولهذا السبب، إذا سألت شخصاً ما عن الحدث شديد الخطورة في حياته، خارج نطاق أمن المعلومات، فقد يعطيك مثالاً لحدث قد يؤدي إلى الوفاة، مثل القيادة بلا فرامل. ولا يأخذون في الاعتبار احتمال وقوع حدث كارثي. إنهم يفكرون فقط في النتيجة المحتملة في أقصى حالاتها الكارثية. لكن هذا ليس مفيداً عندما نحاول تقييم المخاطر في سياق أمن المعلومات. يتم استخدام المخاطر كوسيلة لتحديد ما هو مهم. فالهدف هنا هو حماية ما هو مهم وقيم.

معالجة المخاطر – خيارات متعددة

  • قبول المخاطر وهو عملية تفهم بها الشركة طبيعة المخاطر، ضرره (المال الذي يكلفه هذا الخطر فيما لو حدث) واحتمال حدوثه، وفي هذه الحالة تختار الشركة ألا تفعل أي شيء حيال المخاطر. ويعني ذلك أنه في حالة تحقق الخطر، ستكون الشركة مسؤولة عن جميع الخسائر والتكاليف المرتبطة به، بالإضافة إلى أية أضرار أخرى قد تنجم عنه.
  • نقل أو تحويل المخاطر Risk transfer فهو عندما تختار الشركة نقل المخاطر إلى كيان آخر لإدارتها بطريقة ما. إحدى الطرق الشائعة لتنفيذ تحويل المخاطر هي شراء بوليصة التأمين. وهو يشبه مفهوم التأمين بالنسبة للأفراد، تأمين على السيارة والمنزل. كما يعتبر استئجار الشركة لمبنى بدلاً من شراءه بمثابة تحويل للمخاطر المرتبطة بالشراء إلى المؤجر. وفي حالة نقل المخاطر لشركة التأمين فإنهم سيتحملون أي التزامات مقابل مبلغ يتفق عليه تعاقدياً.
  • التخفيف من المخاطر فهو تطبيق الضوابط التي من شأنها تقليل المخاطر. ويمكن أن يحدث التخفيض على العاملين اللذين يشكلان المخاطرة – الخسارة والاحتمال. يمكن تنفيذ ضوابط تقلل من احتمالية تحقيق المخاطر من خلال تنفيذ ضوابط فنية مختلفة، على سبيل المثال، لتقييد الوصول إلى الموارد لعدد محدود من الناس من مواقع محددة.
  • تجنب المخاطر هو اختيار عدم المشاركة في النشاط الذي قد يؤدي إلى المخاطر. يمثل هذا السلوك ممارسة مشروعة، على الرغم من أنه إذا كان النشاط ضرورياً للأعمال، فقد لا يكون تجنب المخاطر ممكناً على أرض الواقع وهو ما يفرض على أصحاب القرار اختيار نهج آخر إذا كانوا يعتزمون الحصول على الفائدة من النشاط الجاري المقترح.

كلمة أخيرة

مع كل ما سبق، تمثل حماية المعلومات من المخاطر ضرورة لأي مؤسسة تبحث عن مكان في سوق تنافسي أصبحت فيه المعلومات محركاً للاقتصاد وهدفاً للمنافسين ولمجرمي الانترنت والجهات الضارة بمختلف أشكالها.

شارك المقال
اضف تعليق

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر قراءة

أمن قواعد البيانات
أمن قواعد البيانات – خطوات بسيطة نحو حماية أفضل
أمن انترنت الاشياء
أمن انترنت الأشياء IOT الاسباب والحلول
تقييم المخاطر
كيفية تقييم مخاطر الأمن السيبراني في خمس خطوات
مبادئ أمن المعلومات
مبادئ أمن المعلومات – العناصر الخمسة في AAA
هجوم حقن قواعد البيانات SQL
هجوم حقن قواعد بيانات SQL – دليل سريع للحماية
الهجمات على الشبكات اللاسلكية
التشفير في الشبكات اللاسلكية – طرق الحماية و حدودها
المرونة الإلكترونية للحماية من المخاطر السيبرانية
نهج عملي لإدارة المخاطر والمرونة الإلكترونية
مراقبة الشبكة و تحليل البيانات
مراقبة الشبكة – أنواعها، أدواتها و أهميتها في عالم الأعمال