ما هو أمن المعلومات؟
أمن المعلومات، الذي يُختصر أحيانًا إلى infosec، هو عبارة عن مجموعة من الممارسات التي تهدف إلى الحفاظ على أمان البيانات من الوصول أو التعديلات غير المُصرّح بها، سواء عند تخزينها أو عند نقلها من جهاز أو موقع مادي إلى آخر.. وأحيانًا يُشار إليه بأمان البيانات، نظرًا لأن المعرفة أصبحت واحدة من أهم الأصول في القرن الحادي والعشرين، فقد أصبحت الجهود المبذولة للحفاظ على أمان المعلومات ذات أهمية متزايدة.
وقد نما هذا المجال وتطور بشكل ملحوظ في السنوات الأخيرة، حيث يوفر العديد من مجالات التخصص، بما في ذلك تأمين الشبكات والبنية التحتية لها، وتأمين التطبيقات وقواعد البيانات، واختبار الأمان، وتدقيق أنظمة المعلومات، وغيرها.
ويتم بناء البرامج الأمنية لتحقيق ثلاثة مبادئ، تعرف اختصارا بـ CIA: (السرية Confidentiality) و(النزاهة Integrity) و(التوافر Availability).
- السرية هي المبدأ الذي يتبادر إلى الذهن على الفور، تكون البيانات سرية عندما لا يتمكن من القيام بذلك سوى الأشخاص المصرّح لهم بالوصول إليها؛ لضمان السرية، يجب أن تكون قادرًا على تحديد من يحاول الوصول إلى البيانات وحظر المحاولات من قِبَل أولئك الذين ليس لديهم تصريح. كلمات المرور والتشفير والمصادقة والدفاع ضد هجمات الاختراق كلها تقنيات مصممة لضمان السرية.
- النزاهة تعني الحفاظ على البيانات في حالتها الصحيحة ومنع تعديلها بشكل غير صحيح، سواء عن طريق الصدفة أو بشكل مُتعمّد، العديد من التقنيات التي تضمن السرية ستحمي أيضًا سلامة البيانات، حيث لا يمكن للمتسلل تغيير البيانات التي لا يمكنه الوصول إليها، ولكن هناك أدوات أخرى تُساعد في توفير دفاع قوي عن النزاهة: يمكن أن تساعدك المجاميع الاختبارية في التحقق من البيانات، على سبيل المثال، يمكن أن يساعدك برنامج التحكم في الإصدار والنسخ الاحتياطية المتكررة في استعادة البيانات إلى الحالة الصحيحة إذا لزم الأمر، تشمل النزاهة أيضًا مفهوم عدم التنصل: يجب أن تكون قادرًا على إثبات أنك حافظت على سلامة بياناتك، خاصة في القضايا القانونية.
- التوفر هو صورة طبق الأصل للسرية: بينما تحتاج إلى التأكد من أنه لا يمكن الوصول إلى بياناتك من قبل مستخدمين غير مصرح لهم، تحتاج أيضًا إلى التأكد من إمكانية الوصول إليها من قبل أولئك الذين لديهم الأذونات المناسبة، ويعني ضمان توفر البيانات مطابقة موارد الشبكة والحوسبة مع حجم الوصول إلى البيانات الذي تتوقعه وتنفيذ سياسة نسخ احتياطي جيدة لأغراض التعافي من الكوارث.
يجب دائمًا الحفاظ على سرية بياناتك وفي حالتها الصحيحة ومتاحة للمصرح لهم؛ عمليا غالبًا ما تحتاج إلى اتخاذ خيارات بشأن المبادئ التي يجب التأكيد عليها، وهذا يتطلب تقييم بياناتك، إذا كنت تقوم بتخزين معلومات طبية حساسة، على سبيل المثال، فسوف تركز على السرية، في حين أن المؤسسة المالية قد تؤكد على سلامة البيانات لضمان عدم إضافة أو الخصم من الحساب المصرفي لأي شخص بشكل غير صحيح.
أنواع برامج أمن المعلومات
-
أمان التطبيق
أمان التطبيقات هو موضوع واسع يغطي نقاط ضعف البرامج في تطبيقات الويب والجوال وواجهات برمجة التطبيقات (APIs)، ويمكن العثور على نقاط الضعف هذه في المصادقة أو التفويض للمستخدمين، وسلامة التعليمات البرمجية والتكوينات والسياسات والإجراءات الناضجة، يمكن أن تؤدي الثغرات الأمنية في التطبيق إلى إنشاء نقاط خرق للبيانات الهامة.
-
أمان السحابة
يركز أمان السحابة على بناء واستضافة التطبيقات الآمنة في البيئات السحابية واستخدام تطبيقات السحابة الخارجية بأمان، تعني “السحابة” ببساطة أن التطبيق يعمل في بيئة مشتركة، يجب أن تتأكد الشركات من وجود عزل مناسب بين العمليات المختلفة في البيئات المشتركة.
-
التشفير
يساعد تشفير البيانات أثناء النقل والبيانات غير المستقرة على ضمان سرية البيانات وسلامتها، تستخدم التوقيعات الرقمية بشكل شائع في التشفير للتحقق من صحة البيانات، ومن الأمثلة الجيدة على استخدام التشفير معيار التشفير المتقدم (AES) وهي خوارزمية مفتاح متماثل تستخدم لحماية المعلومات الحكومية السرية.
-
أمان البنية التحتية
يتعامل أمان البنية التحتية مع حماية الشبكات الداخلية والشبكات الخارجية والمختبرات ومراكز البيانات والخوادم وأجهزة الكمبيوتر المكتبية والأجهزة المحمولة.
-
الاستجابة للحوادث
الاستجابة للحوادث هي الوظيفة التي تراقب السلوك الضار المحتمل وتتحقق منه، يجب أن يكون لدى موظفي تكنولوجيا المعلومات خطة استجابة للحوادث لاحتواء التهديد واستعادة الشبكة، بالإضافة إلى ذلك يجب أن تنشئ الخطة نظامًا للحفاظ على الأدلة لتحليل الطب الشرعي والمقاضاة المحتملة، يمكن أن تساعد هذه البيانات في منع المزيد من الانتهاكات ومساعدة الموظفين على اكتشاف المهاجمين.
-
إدارة نقاط الضعف
إدارة نقاط الضعف هي عملية مسح البيئة بحثًا عن نقاط الضعف (مثل البرامج غير المصححة) وتحديد أولويات المعالجة على أساس المخاطر، في العديد من الشبكات، تضيف الشركات باستمرار التطبيقات والمستخدمين والبنية التحتية وما إلى ذلك. لهذا السبب، من المهم فحص الشبكة باستمرار بحثًا عن نقاط الضعف المحتملة. يمكن أن يؤدي العثور على ثغرة أمنية مسبقًا إلى إنقاذ أعمالك من التكاليف الكارثية للخرق.
تدابير أمنية
- تشمل الإجراءات الفنية الأجهزة والبرامج التي تحمي البيانات – كل شيء من التشفير إلى جدران الحماية
- تشمل الإجراءات التنظيمية إنشاء وحدة داخلية مخصصة لأمن المعلومات، إلى جانب جعل المعلومات والاتصالات جزءًا من واجبات بعض الموظفين في كل قسم.
- تشمل التدابير البشرية توفير التدريب التوعوي للمستخدمين حول ممارسات المعلومات الصحيحة
- تشمل التدابير المادية التحكم في الوصول إلى مواقع المكاتب، وخاصة مراكز البيانات
المسميات الوظيفية
لا يخفى على أحد أن هذه الوظائف مطلوبة بشدة، وفي عام 2019 كان هذا النوع من الوظائف على رأس قائمة أمنيات التوظيف لكل مدير معلومات، وفقًا لدليل أمان تكنولوجيا المعلومات في موندو، هناك مجموعة متنوعة من المسميات الوظيفية المختلفة في عالم المعلومات والاتصالات، يمكن أن يعني نفس المسمى الوظيفي أشياء مختلفة في شركات مختلفة، ويجب أيضًا أن تضع في اعتبارك ما ذكرناه في الأعلى حيث يستخدم الكثير من الأشخاص “المعلومات” فقط لتعني “أشياء متعلقة بالكمبيوتر”، لذلك بعض هذه الأدوار لا تقتصر على أمن المعلومات فقط بالمعنى الدقيق للكلمة.
كيف يحصل الشخص على وظيفة في أمن المعلومات؟
من المؤكد أن الحصول على درجة جامعية في علوم الكمبيوتر هو أمر جيد، على الرغم من أنها ليست الطريقة الوحيدة؛ فقد أصبحت تقنية المعلومات والاتصالات أكثر احترافًا، تقدم العديد من الجامعات الآن شهادات عليا، قد تكون هذه البرامج هي الأنسب لأولئك الموجودين بالفعل في هذا المجال والذين يتطلعون إلى توسيع معرفتهم وإثبات أن لديهم ما يلزم لتسلم هذه الوظيفة.
من جهة أخرى توجد دورات تدريبية مجانية ومنخفضة التكلفة عبر الإنترنت في تقنية المعلومات والاتصالات، والعديد منها يركز على نطاق ضيق إلى حد ما.
إذا كنت تعمل بالفعل في هذا المجال وتتطلع إلى مواكبة آخر التطورات فقد ترغب في الحصول على شهادة أمن المعلومات، ومن بين أفضل الشهادات:
- ممارس معتمد لأمن الأنظمة (SSCP)
- محترف الإنترنت المعتمد (CCP)
- أخصائي أمن نظم المعلومات المعتمد (CISSP)
- الهاكر الأخلاقي المعتمد (CEH)
- التدريب المعتمد من GCHQ (GCT)
الفرق بين الأمن السيبراني وأمن المعلومات
غالبًا ما يتم الخلط بين أمن المعلومات والأمن السيبراني، يعد أمن المعلومات جزءًا مهمًا من الأمن السيبراني، ولكنه يشير حصريًا إلى العمليات المصممة لأمن البيانات، الأمن السيبراني هو مصطلح عام .
نظرًا لأن تكنولوجيا المعلومات أصبحت هي العبارة الشائعة المقبولة لدى الشركة والتي تعني بشكل أساسي “أجهزة الكمبيوتر والأشياء ذات الصلة”، فسترى أحيانًا استخدام أمن المعلومات والأمن السيبراني بالتبادل. بالمعنى الدقيق للكلمة، الأمن السيبراني هو الممارسة الأوسع للدفاع عن أصول تكنولوجيا المعلومات من الهجوم، وأمن المعلومات هو تخصص محدد تحت مظلة الأمن السيبراني.. لا يمكنك تأمين البيانات المنقولة عبر شبكة غير آمنة أو التلاعب بها بواسطة تطبيق مسرب، بالإضافة إلى ذلك، هناك الكثير من المعلومات التي لا يتم تخزينها إلكترونيًا والتي تحتاج أيضًا إلى الحماية.
ما الشهادات المطلوبة لوظائف الأمن السيبراني؟
يمكن أن تختلف الشهادات لوظائف الأمن السيبراني، بالنسبة لبعض الشركات يمكن أن يتطلب كبير مسؤولي أمن المعلومات (CISO) أو مدير أمن المعلومات المعتمد (CISM) تدريبًا خاصًا.
بشكل عام، تقدم المنظمات غير الربحية مثل اتحاد شهادات أمن نظم المعلومات الدولية، شهادات أمان مقبولة على نطاق واسع، يمكن أن تتدرج الشهادات من +CompTIA Security إلى أخصائي أمن أنظمة المعلومات المعتمد (CISSP).
ختاما نؤكد على أن هذا المجال لا يتعلق فقط بتأمين المعلومات من الوصول غير المصرح به، بل هو في الأساس ممارسة لمنع الوصول غير المصرح به أو الاستخدام أو الإفصاح أو التعطيل أو التعديل أو الفحص أو التسجيل أو إتلاف المعلومات.. يمكن أن تكون المعلومات مادية أو إلكترونية، يمكن أن تكون المعلومات أي شيء مثل التفاصيل الخاصة بك أو يمكننا أن نقول ملفك الشخصي على وسائل التواصل الاجتماعي، وبياناتك في الهاتف المحمول، والقياسات الحيوية الخاصة بك وما إلى ذلك. وبالتالي، فإن أمن المعلومات يمتد إلى العديد من مجالات البحث مثل التشفير، والحوسبة المتنقلة، والطب الشرعي الإلكتروني، ووسائل التواصل الاجتماعي عبر الإنترنت، وغيرها.
