اختيار وتطبيق تدابير الحماية من مخاطر أمن المعلومات

473 مشاهدة
6 دقائق

تعتمد عملية اختيار وتطبيق تدابير الحماية أو الإجراءات المضادة أو الضوابط في مجال إدارة المخاطر بشكل كبير على نتائج تحليل التكلفة والفائدة. ومع ذلك يجب أن نضع في الاعتبار العديد من العوامل الأخرى عند القيام باختيار الضوابط الأمنية.

قواعد اختيار وتطبيق تدابير الحماية:

  • تكلفة إجراء الحماية المضاد أقل من قيمة الأصل المراد حمايته.
  • أن تجعل نتيجة الإجراء المضاد المطبق تكلفة الهجوم على مرتكب الجريمة أكبر من الفائدة المرجوة من الهجوم.
  • يوفر الإجراء المضاد حلاً لمشكلة حقيقية ومحددة (لا تقم بتطبيق إجراءات مضادة فقط لأنها متاحة أو لأنها تبدو رائعة).
  • لا تعتمد فائدة الإجراء المضاد على سريته أي أن “الأمن من خلال الغموض” ليس تدبيراً مضاداً قابل للتطبيق وأي إجراء مضاد يجب أن يكون صامداً امام الكشف العلني.
  • فائدة الإجراء المضاد قابلة للاختبار والتحقيق.
  • أن يوفر الإجراء المضاد حماية موحدة لجميع المستخدمين والأنظمة والبرتوكولات والأمور الأخرى.
  • يحوي الإجراء المضاد على القليل من الأثار السلبية أو التبعيات للتقليل من حالات الفشل.
  • أن يتطلب الإجراء المضاد الحد الأدنى من التدخل البشري بعد النشر والإعداد الأولي.

يجب أن نضع في الاعتبار وبشكل دائم أن الحماية والأمان يجب أن تصمم لدعم وتمكين مهام ووظائف العمل. وبالتالي يجب تقييم التدابير المضادة والضمانات في سياق مهمة العمل. ويمكن تطبيق الضوابط الأمنية والتدابير المضادة والضمانات بعدة أشكال: إدارياً وتقنياً و مادياً ويجب العمل على تطبيق الفئات الثلاثة لضمان مبدأ الحماية متعددة الطبقات أو ما يعرف باسم الحماية بالعمق.

اختيار وتطبيق تدابير الحماية -الضوابط التقنية:

تتضمن الضوابط التقنية والتي تعرف أيضاً باسم الضوابط المنطقية الأجهزة والآليات المستخدمة لإدارة الوصول وتوفير الحماية للموارد والأنظمة. وكما يوحي الاسم يتم استخدام التكنولوجيا لتنفيذ هذه المهمة. تتضمن الضوابط التقنية أو المنطقية طرق المصادقة (مثل أسماء المستخدمين وكلمات السر والبطاقات الذكية والعوامل الحيوية) والتشفير وقوائم التحكم بالوصول والبرتوكولات والجدران النارية وأجهزة الراوتر وأنظمة كشف الاختراق IDS.

الضوابط الإدارية:

وهي السياسات والإجراءات التي تحددها سياسة الحماية الخاصة بالشركة وتتضمن اللوائح والمتطلبات اللازم اتباعها. وتركز هذه الضوابط على الأفراد والممارسات التجارية. وتتضمن ممارسات وعمليات التوظيف وتصنيف البيانات والوعي الأمني والتدريب والتقارير والمراجعات والإشراف على عمل الموظفين.

الضوابط المادية:

وهي العناصر التي يمكن لمسها وتشمل الآليات المادية المنتشرة لمنع الوصول المباشر للأنظمة والمناطق المهمة داخل الشركة ومراقبتها وكشفها. وتتضمن الحراس والأسوار وحساسات الحرارة والأبواب والأقفال وحماية الكابلات وكاميرات المراقبة وأجهزة الإنذار.

أنواع الضوابط المطبقة:

يشير مصطلح التحكم الأمني إلى مجموعة واسعة من عناصر التحكم التي تؤدي مهام معينة لضمان أن المستخدمين المصرح لهم فقط يمكنهم تسجيل الدخول والوصول للنظام أو البيانات أو الموارد ومنع المستخدمين الغير مصرح لهم من الوصول لهذه الموارد.
تعمل الضوابط على تخفيف مجموعة متنوعة من المخاطر المحتملة. بالتأكيد كلنا نرغب بمنع حدوث أي مشاكل أو حوادث أمنية ولكن هذا الأمر لا يمكن أن يكون بنسبة مئة بالمئة وإنما تساعد الضوابط الأمنية على اكتشاف الأحداث بأسرع وقت ممكن وهذا الأمر يساعد في عملية الإصلاح.

اختيار وتطبيق تدابير الحماية-ضوابط الردع:

العديد من الضوابط أو عناصر التحكم ممكن أن تكون عناصر تحكم وقائية أو وسائل ردع مثل وضع رسالة تحذيرية في صفحات تسجيل الدخول الخاصة بمدير الموقع أو وضع سياج حول مبنى الشركة لمنع الوصول الفيزيائي من قبل الأشخاص الغير مصرح لهم.
يتم نشر عناصر التحكم من هذا النوع لردع عمليات انتهاك السياسات الأمنية. والضوابط الرادعة مشابهة للضوابط الوقائية ولكنها غالباً ما تعتمد على طبيعة الأشخاص أو الأسلوب المتبعز و في لمقابل فإن التحكم أو الضوابط الوقائية تعمل على منع الإجراء بشكل فعلي. تتضمن بعض الأمثلة على هذه الضوابط: السياسات والتدريب والتوعية الأمنية والأقفال والأسوار والحراس وكاميرات المراقبة.

ضوابط الوقاية:

يتم نشر عناصر التحكم الوقائية لإحباط وإيقاف حدوث أي نشاط غير مرغوب به او غير مصرح به. وتشمل الأسوار والأقفال وعوامل المصادقة وأنظمة الإنذار وفصل المهام والتناوب الوظيفي وتصنيف البيانات.كما تشمل عمليات اختبار الاختراق والتشفير والتدقيق والتدريب والتوعية الأمنية واستخدام برامج الحماية كمضادات الفيروسات والجدران النارية وأنظمة منع الاختراق IPS.

ضوابط الكشف والتحقق:

يتم نشر هذا النوع من الضوابط لاكتشاف النشاط الغير مرغوب له أو الغير مصرح به وتعمل هذه الضوابط بعد وقوع الحدث ولا يمكنها كشف النشاط إلا بعد حدوثه. وتشمل أنظمة كشف الحركة وأنظمة تسجيل الأحداث ومراجعتها وأنظمة كشف الاختراق IDS وتقارير الانتهاك ومراجعة المستخدمين وعمليات التحقيق في الحوادث.

الضوابط التعويضية-اختيار وتطبيق تدابير الحماية

يتم نشر عناصر التحكم من هذا النوع لتوفير خيارات متنوعة للضوابط الحالية الأخرى وللمساعدة في تطبيق ودعم السياسات الأمنية. ويمكن أن تكون أي عناصر تحكم مستخدمة. فعلى سبيل المثال قد تملي السياسة التنظيمية على ضرورة تشفير جميع معلومات تحديد الهوية الشخصية وتكشف مراجعة عناصر التحكم الوقائي أنه جميع البيانات الشخصية مشفرة ضمن قواعد البيانات ولكن عملية إرسالها عبر الشبكة تتم بلا تشفير (نص صريح) وهنا يمكننا إضافة عنصر تحكم تعويضي لحماية البيانات أثناء النقل.

ضوابط الاستعادة أو الاسترداد:

تعد عناصر التحكم في الاسترداد امتداداً لعناصر التحكم التصحيحية ولكنها تتمتع بقدرات أكثر تقدماً وتعقيداً وتتضن عناصر التحكم بالاسترداد عمليات النسخ الاحتياطي وكل الأمور التي تتعلق باستمرارية الأعمال والتعافي من الكوارث.

ضوابط التوجيه:

يتم نشر عناصر التحكم التوجيهية لتقييد أو للتحكم في تصرفات الأشخاص لإجبارهم أو لتشجيعهم على الامتثال للسياسات الأمنية وتتضمن هذه الضوابط معايير وسياسات الحماية والإخطارات والمراقبة.

الهدف من اختيار الضوابط بأنواعها و تقسيماتها المختلفة هو حماية المعلومات بشكل مستدام و بأقل التكاليف مع المحافظة على استمرار الأعمال.

شارك المقال
اضف تعليق

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر قراءة

شهادة CISA -مدقق نظم المعلومات المعتمد
شهادة CISA – مهنة مدقق نظم المعلومات المعتمد، ماذا تعرف عنها؟ وهل تناسبك؟
الطب الشرعي الرقمي
الطب الشرعي الرقمي – لمحة موجزة
التحكم بالشبكات اللاسلكية
أنظمة التحكم بالشبكات اللاسلكية WLC – مرونة و أمان
امرأة أنيقة تسير في أحد شوارع طوكيو - لقطة من فيديو منشئ باستخدام SORA
الذكاء الاصطناعي SORA – المارد الذي تخاف منه هوليود
تحديات عام 2024
تحديات عام 2024 في الأمن السيبراني – مراجعة سريعة لربع مضى
حصان طروادة المصرفي
حصان طروادة المصرفي الجديد – أموال ذهبت مع الريح
النظافة السيبرانية
النظافة السيبرانية – خطوات لا غنى عنها لحماية الأفراد و المؤسسات
تدقيق الأمن السيبراني
تدقيق الأمن السيبراني – درهم وقاية خير من قنطار هجمات