تعتبر بعض المؤسسات أن السياسات و منها بالطبع سياسات أمن المعلومات هي فقط ضرورة تفرضها قواعد الامتثال أو الاستجابة لطلبات الجهات الإشرافية بهذا الخصوص. و يتململ الموظفين من فكرة السياسات بذريعة أنها تعيق العمل أو تزيد الضغط على الموظفين و تقيد مرونتهم.
نحن في العصر الرقمي. لا يمكن لمنظمة أعمال مهما كان حجمها أن تبقى بعيدة عن تكنولوجيا المعلومات. فلكل شركة أصولها المعلوماتية التي يجب إدارتها و حمايتها من جميع المخاطر بأفضل الطرق الممكنة. يمكن أن تكون هذه المخاطر فيروس الفدية أو الهجمات الموزعة للحرمان من الخدمة DDOS أو تدمير المعلومات كلياً.
يمكننا تعريف أمن المعلومات بأنه التدابير المتخذة لحماية المعلومات من المخاطر و ضمان سريتها و عدم تعديلها بشكل غير مصرح به، إضافة لتوافرها عند الطلب.
كل نوع من الأعمال يحتاج لنظام حماية مناسب مع المحافظة على سير الأعمال بسلاسة فيه. يعرف هذا النظام بإطاره العام بنظام إدارة أمن المعلومات information security management system (ISMS). الذي يتضمن آليتين رئيستين و هما: إدارة المخاطر و تقييم المخاطر.
مؤشرات و فرامل
تحدد السياسات و الاجراءات متطلبات الأمن و ترسم الخطوط العريضة لجهود حماية المعلومات في المؤسسة. لا تعتبرتلك السياسات بحد ذاتها طوق النجاة للمؤسسة كما يراها البعض. و بالمقابل لا يمكننا اعتبارها ثقلاً إضافياً أو حالة بيروقراطية تعرقل الأعمال و تسبب تعقيدها. لنتذكر إن أسرع السيارات في العالم لديها مؤشر سرعة و فرامل. وظيفة مؤشر السرعة هي أن تبقي قائد المركبة على معرفة بسرعته الحالية. بينما وظيفة الفرامل مساعدته على إيقاف المركبة أو إبطاء سرعتها عند المنعطفات مثلاً أو عند ظهور خلل ما فيها أو في الطريق. هذه بالضبط وظيفة السياسات بشكل عام و منها سياسة أمن المعلومات.
سياسات أمن المعلومات
سياسات أمن المعلومات في الإطار العام هي مجموعة من القواعد والإرشادات التي تملي كيفية استخدام الأصول المعلوماتية وإدارتها وحمايتها. إن هذه السياسات تنطبق على جميع المستخدمين في المؤسسة أو المتعاقدين معها و تشمل كذلك جميع المعلومات المخزنة والخاضعة لسلطتها. الهدف الجوهري لأي سياسة أمن معلومات هو حماية سرية المعلومات و نزاهتها و كذلك ضمان توافرها عند الطلب كما أسلفنا. يتسق ذلك مع CIA المثلث الشهير في هذا المجال.
هناك العديد من السياسات الفرعية لتغطية المخاطر الأمنية التي تتعرض لها المؤسسة. تتمايز هذه السياسات وفق طبيعة عمل و خصائص كل قطاع أعمال. و نستعرض فيما يلي لمحة عن أهم السياسات التي ينبغي على كل مؤسسة أن تضعها.
الاستخدام المقبول للأصول المعلوماتية Acceptable Use Policy
توضح هذه السياسة المسموح و الممنوع بالنسبة للموظفين فيما يتعلق الأنظمة المعلوماتية و التعامل مع المعلومات بشكل عام. ما يكون مقبولاً اليوم قد يتغير غداً و العكس صحيح. مثلاً، أصبح العمل من المنزل استخداماً مقبولاً للأصول المعلوماتية فرضته جائحة Covid-19. لكن ربما سيعاد تعديل هذه السياسات بما يتسق مع عودة الموظفين للمكاتب مجدداً.
المكتب النظيف Clean Desk Policy
تهتم هذه السياسة بحفظ معلومات العمل بطريقة آمنة منعاً من الوقوع بيد المتطفلين. حيث توجه الموظفين بضرورة حفظ كل أوراق العمل في خزن و أماكن مقفلة و آمنة عند مغادرتهم لمكاتبهم لمنع وقوع المعلومات في أيدي المتطفلين و كذلك لمنع الإطلاع العرضي على تلك المعلومات.
النسخ الاحتياطي Data Backup Policy
يمثل النسخ الاحتياطي في بعض الأحيان طوق النجاة لاستعادة أعمال المؤسسة لحالتها السليمة بعد تعرضها لهجوم سيبراني وخصوصاً هجمات فيروس الفدية التي تعمد أحياناً لتشفير النسخ الاحتياطية لإضعاف موقف الضحية بوجه المبتزين. كما يفترض بهذه السياسة أن تحدد آلية النسخ و تكراره و ما يتم نسخه و كذلك طريقة اختبارات الاستعادة للتحقق من النسخ إضافة لضرورة الاحتفاظ بنسخ معزولة offline لمنع تضررها بالهجمات.
الاستجابة لحوادث أمن المعلومات Incident Response Policy
عند تعرض المؤسسة لحدث أمني فلا بد لكل المعنيين أن يعرفوا مهاهم في مواجهة هذا الحدث لتطويقه و معالجته و تعافي المؤسسة منه بأسرع وقت ممكن. تتضمن هذه السياسة تفاصيل المهام المتعلقة بالاستجابة.
التحكم بالوصول لحماية أمن المعلومات Access control
تحدد هذه السياسة الضوابط اللازمة لبيان من لديه أحقية الوصول للأصول المعلوماتية و من أجاز هذا الوصول و من يراجعه و كيف و متى؟
سياسة مخاطر الطرف الثالث 3rd Party Risks Policy
تعتبر العلاقة مع الأطراف الثالثة من أهم مصادر الخطر على منظمات الأعمال. تهدف هذه السياسة إلى تقليل مخاطر تعامل الأطراف الخارجية مع معلومات الشركة.
بالمحصلة، تتمايز هذه السياسات وفق خصوصية كل مؤسسة و مستوى نضجها و لكنها تلتقي عند هدف واحد و هو حماية أمن المعلومات و كذلك سمعة المؤسسة و أعمالها.
