10 عوامل لتأمين حمايه المعلومات ... هكر

من طرف **هكر** الجمعة يناير 25, 2008 8:44 am

طرح في الكونغرس مقترح يهدف الى صياغة قانون يطبق في كل الولايات وينص على مسؤولية مدراء النظم والشبكات System manages عن معلومات الشركات التي يديرون شبكاتها. ويقول توبي ويس، نائب الرئيس والمدير العام لشركة سي أي المتخصصة في أمن شبكة الإنترنت، ان هذا التشريع سيجعل مدراء شبكات ونظم الكومبيوتر في الشركات والمؤسسات اكثر مسؤولية. ويرى ويس وخبراء آخرون في هذا المجال ان هناك عشرة عوامل مهمة يجبان يضعها مدراء النظم والشبكات في الاعتبار فيما يتعلق بحماية المعلومات وخصوصية هوية الشركة او المؤسسة.
1 السيطرة المحكمة السيطرة المحكمة على المعلومات: يجب ان تتوفر لدى مدراء النظم والشبكات وسائل تأمينية قوية للتحكم والسيطرة، ويجب إشراك كل العاملين في قسم تكنولوجيا المعلومات في هذه العملية، فالشركات في حاجة الى حماية معلوماتها المالية وهويات عملائها وشركائها التجاريين. ويمكن القول ان دور مدير النظام والشبكة بالشركة يتركز حول حماية معلوماتها والحفاظ عليها من السرقة. يعتقد كثير من الخبراء في هذا المجال ان الخطوة الاولى تتمثل في تحديد سياسات وإجراءات الشركة. ورغم ان هذه السياسات والإجراءات تأتي من إدارة اعلى مستوى من إدارة النظم وتكنولوجيا المعلومات، فإنه من الضروري ان يشارك مدراء النظم والشبكات في وضع السياسات والإجراءات والتوصية باتخاذ تحوطات إضافية. ويعتقد سكوت لاليبيرت، خبير نظم أمن المعلومات بشركة «بروتيفيتي» في مينلو بارك بولاية كاليفورنيا الاميركية، ان مدراء نظم المعلومات والشبكات بالشركات هم المسؤولون عن المعلومات الموجودة في الشبكة الداخلية. 2 حساسية المعلومات تحديد المعلومات الحساسة: من الضروري ان تتضمن سياسة الشركة او المشروع قواعد إرشادية او معايير لتحديد سمات المعلومات الحساسة، اي تحديد ما يمكن ان يعتبر معلومات حساسة وما لا يعدو ان يكون معلومات عادية. وفي هذا الشأن يقول دوغ غراهام، كبير المستشارين بشركة «بيزينيس ايدج سوليوشان» في إيست برونزويك بولاية نيوجيرزي الاميركية ان على مدراء النظم والشبكات المطالبة بتعريفات وتحديدات إضافية اذا لم تكن هذه القواعد الإرشادية متضمنة في سياسة المؤسسة او الشركة او انها غامضة وغير محددة المعالم.

3 حماية قوية توفير نظام حماية قوي: يؤكد خبراء في مجال أمن وحماية الإنترنت على ضرورة معرفة كيفية التصرف في حال تعطل جزء من نظام تأمين الشبكة (مثل جدران النار لصد المتسللين Firewalls). ويرى هؤلاء ان أي معلومات تحتاج الى حماية يجب ان تكون الوسائل المتبعة في حمايتها غاية في القوة والفعالية مع الأخذ في الاعتبار ضرورة الاستعداد الفني الكافي لرصد وكشف محاولات التسلل واتخاذ الخطوة الضرورية في حال حدوث خطأ. 4 تطوير وتحديث رصد التطورات الداخلية والخارجية: يجب ان يكون لمدراء النظم دور نشط في متابعة التطور والتحديث على المستوى الداخلي وعلى مستوى مختلف القطاعات لمواكبة التغيرات ذات الصلة بأخطار سرقة المعلومات. ويعتقد خبراء في هذا المجال ان مثل هذه المعرفة تساعد مدراء النظم على التوصل الى إدراك افضل لأي هجمات محتملة من المفترض ان تكون اجراءات الوقاية والحماية بشأنها متوفرة في النظم التي شهدت تطويرا. 5 تخويل الدخول التحكم في الدخول الى المعلومات: يجب على مدير النظم الإطلاع المستمر على الدخول وإعداد تقرير حول الأشخاص المخول لهم الدخول الى المواقع التي تتضمن معلومات. ويقول ويس ان دخول الأشخاص من المؤسسة او الشركة وخارجها يجب السماح بالدخول الى المعلومات على أساس الحاجة اليها. وفيما من المحتمل ان يكون مدير النظم هو الشخص الأكثر حاجة الى الدخول الى الكثير من المواقع التي تتضمن معلومات، يجب ان تكون هناك قواعد لتنظيم عملية الدخول الى هذه المواقع. 6 نسخة اضافية استخدام نسخة ثانية من المعلومات: يوصي جو كوبانو، المدير الفني لشركة »سولسوفت« في ماونت فيو بولاية كاليفورنيا بضرورة عمل مدراء النظم مع الشركات صاحبة البرامج للتأكد من انهم يستخدمون نسخة ثانية من قواعد المعلومات، ذلك ان استخدام نسخة ثانية احتياطية من قواعد المعلومات تضمن استخدام الشخص فقط للقواعد المسموح له باستخدامها ولا تسمح له بالوصول الى المعلومات غير المصرح له بالإطلاع عليها. 7 صلات النظم ضرورة استيعاب وفهم الصلات بين النظم المختلفة: يعتقد ماثيو كيرتيس، مؤسس شركة «إنترهاك» في كولومبوس بولاية اوهايو، ان إدراك مدراء النظم لكيفية عمل النظم المختلفة بغرض فهم ما يحدث للمعلومات عند انتقالها من نظام إلى آخر، أمر غاية في الضرورة. ربما تكون المعلومات في الطرف الأخير مؤمنة، إلا ان نظم المعلومات في الطرف الأمامي ربما لا تكون مؤمنة بالقدر المطلوب. وربما لا تحتاج نظم الطرف الأمامي ان تكون مؤمنه ما دام انها لا توصل الى المعلومات الحساسة، ولكن اذا كان هناك أي وسيلة للوصول إلى الطرف الخلفي عبر الدخول الى معلومات الطرف الأمامي يصبح من الضروري اتخاذ الاجراءات اللازمة لمنع التسلل. 8 مراقبة المحتوى ضرورة مراقبة المحتوى: مراقبة محتوى أي معلومات تخرج عبر شبكة الشركة تعتبر جزءا من طرق حماية المعلومات، إذ ان هذا النوع من الحماية يقع ضمن الوظائف التي يجب ان يضطلع بها مدراء النظم بحكم مسؤوليتهم وسلطتهم فيما يتعلق بنظم الرسائل والبريد الإلكتروني للشركة، لذا يجب عليهم استخدام نظم المسح التي تسمح بمراقبة المعلومات وقفل الطريق أمام الوصول الى المعلومات الحساسة مثل أرقام الضمان الاجتماعي.

9 تحميل تلقائي استخدام نظم التحميل التلقائي: يرى مارك بيدلز، كبير المصممين في شركة اندفورس في دبلن بولاية اوهايو، ان عمل نظم المسح والتنزيل وتطبيق الإجراءات الوقائية أو أي إجراءات اخرى يجب ان يكون بصورة أوتوماتيكية. 10 شفرات ورموز استخدام نظام التشفير: التشفير الاوتوماتيكي للمعلومات الحساسة، من الإجراءات الأخرى المهمة التي يجب ان يحرص مدراء النظم على تطبيقها. ويمكن القول ان اتباع هذه الإجراءات يساعد على حماية معلومات الشركات وعملائها و**ائنها، كما يساعد مدراء النظم على المحافظة على وظائفهم، على حد تعليق ويس، خصوصا في ظل التوقعات التي تشير الى احتمال سن قانون ينص على مسؤولية التنفيذيين في الشركات المباشرة في حماية المعلومات الخاصة بهوية عملاء الشركات و**ائنها. وفيما لا يتوقع ان يشير القانون الى المسؤولية المباشرة لمدراء النظم بالشركات، فإن الواقع يقول ان المسؤولية داخل الشركة ستكون على مدراء النظم من زاوية المسؤولية المشتركة.