CRM

 أمن تكنولوجيا المعلومات؛ 7 مبادئ أساسية لـIT Security

 أمن تكنولوجيا المعلومات؛ 7 مبادئ أساسية لـIT Security

أمن تكنولوجيا المعلومات

إن موضوع أمن تكنولوجيا المعلومات بالنسبة لمحترفي الـIT مقلق للغاية، وخاصة إذا كانت الشركة تحفظ كمًا كبيرًا من البيانات مثل بيانات العملاء أو مستندات مالية أو ملفات قضايا إلى آخره. جميع الأخطار ستكون محتملة مثل فيروسات الفدية والبرمجيات الخبيثة وسرقة البيانات والتحكم عن بعد، كل هذه المخاطر كفيلة ببث القلق بين مسؤولي تكنولوجيا المعلومات، فما الحل؟

دعنا نشرح لك في هذا المقال اهم الممارسات لضمان أمن تكنولوجيا المعلومات

مثلث الحماية CIA

كمختص في مجال تكنولوجيا المعلومات IT، لابد وأن تكون ملم بالمعايير الأساسية لأمن المعلومات، وتتمثل في مثلث الحماية:

  • السرية Confidentiality: ويعني أن المعلومات يجب ألا تكون مرئية إلا للمستخدمين المخول لهم، بحيث تكون المعلومات الخاصة خاصة ومحمية بعيدًا عن أعين المتطفلين.
  • التكامل Integrity: أي أن البيانات موثوقة وكاملة لم يتم التعديل عليها من قبل أي مستخدم آخر غير مصرّح به، هذا المعيار يعني سلامة المعلومات من أي تغيير أثناء انتقالها وهذا قد يحدث من غير قصد بسبب خلل في النظام أو في إدخال البيانات أو بقد بواسطة المخربين.
  • التوفر Availability: أي أن البيانات يجب أن تكون متوفرة للمستخدمين المخولين لها، الأمر يشبه إغلاق محل تجاري بالقوة، ألن يخسر المحل زبائن؟ بالطبع! الأمر نفسه في مجال أمن تكنولوجيا المعلومات فإذا لم يستطع الموظف أو العميل استخدام الخدمة فهذا يمثل خطر.

هذه العناصر تتكامل فيما بينها، وينبغي أن توازنها بالشكل المطلوب حيث لا يطغى عنصر على آخر، مثلًا لو ركزت على عنصر السرية Confidentiality باستخدام خوارزميات تشفير كثيرة، سيضعف هذا جانب آخر! مثل التوفر وهكذا.

الفرق بين أمن تكنولوجيا المعلومات والأمن السيبراني

بينما يركز أمن IT على حماية البيانات الحساسة من أي تهديد، فإن الأمن السيبراني يحمي البرامج والأجهزة المتصلة بالإنترنت من الهجمات الإلكترونية. تختلف طرق إدارة الأمن من مؤسسة إلى أخرى فالبعض يقسّمه إلى فرق أمن منفصلة، وشركات أخرى إلى قسم واحد يعقد اجتماعات مع الأقسام الأخرى للتعاون في حماية بيانات الشركة.

أفضل الممارسات لضمان أمن تكنولوجيا المعلومات

تطبيقًا للعناصر CIA السابقة، يمكن اتباع ممارسات أمن تكنولوجيا لكي تضمن الحفاظ على بياناتك من الخطر السيبراني.

تحقيق التوازن بين الحماية والاستخدام

هل تريد الحماية (الكاملة) لجميع الأجهزة في المكتب؟ هناك حل وحيد، وهو التخلص من الراوترات والمودمات وإخراج الجميع من الغرفة! في هذه الحالة لن يستفيد أحد من هذه الأجهزة، فلا داعي لشرائها أصلًا. لهذا السبب يعتبر التوازن بين الحماية والاستخدام وسرية الموارد تحدي كبير في مجال أمن تكنولوجيا المعلومات قد يواجهها أي أخصائي IT، الحل يكمن في عدم محاولة التأمين من (جميع) التهديدات بل التركيز ورفع الأمان على الأنظمة والأجهزة الحساسة، أما باقي الأجهزة فيمكن تطبيق استراتيجيات حماية مقبولة للاستفادة منها بشكل أكثر.

منح المستخدمين الحد الأدنى من الامتيازات

لابد من توزيع الصلاحيات في أي نظام بحيث لا يمكن لأي موظف الوصول إلا إلى البيانات التي يحتاجها لإتمام مهامه، مثلًا لا يجب على المحاسب أن يصل إلى كامل قاعدة البيانات في المؤسسة، ولكن يحتاج فقط إلى رؤية ناتج المبيعات. ذلك يعني الحاجة إلى إدارة الصلاحيات بدقّة، فمثلًا مدير المحاسبين تعطى له صلاحيات أكثر من المحاسب المبتدئ، يمكن الاستعانة بحلول برمجية قوية على سبيل المثال برنامج إدارة الوصول المميز PAM360 من مانج انجن.

تحديد الثغرات الأمنية والتخطيط في كيفية التصدي لها

إن أي نظام في العالم معرّض للإصابة بالثغرات الأمنية وخاصة إذا كانت خدماته كثيرة وواسعة مما يتيح سطح هجوم أكبر Attack Surface. لتحديد الثغرات الأمنية يجب تحديد الأولويات للفحص مثل بيانات المستخدمين وصفحات تسجيل الدخول Authentication، والتخطيط المسبق في حال حدوث هجمات مثل حجب الخدمة الموزع DDoS أو رسائل التصيّد وغيرها. لا يمكن التخلص من جميع هذه الثغرات، لكن بالإمكان تخفيف حدّتها من خلال توظيف مختبري الاختراق الأخلاقي والفحص الدوري للثغرات، أو استخدام حلول لإدارة الثغرات الأمنية مثل برنامج Vulnerability Manager Plus.

استخدام استراتيجيات دفاع منفصلة لأمن تكنولوجيا المعلومات

هذا المبدأ ليس في المجال العسكري فقط، بل أيضًا في أمن تكنولوجيا المعلومات، حيث توضع استراتيجيات وخطوط دفاع إضافية بحيث إذا نجح أي متطفّل في الدخول إلى النظام، فسيتوجب عليه كسر عدة طبقات لإنجاح عملية الاختراق وإلا سيفشل في السيطرة على النظام.

الاستعداد للأسوأ والتخطيط للأفضل

ضع الأسوأ في تصوراتك، إذا فشلت جميع المحاولات فاستعد لمواجهة الخطر؛ إن التخطيط للفشل سيساعد على تقليل الآثار الناجمة عن الهجوم، مثلًا الاستعداد بنظم آمنة بديلة معدّه مسبقًا لمراقبة التدابير الأمنية والاستجابة لأي حادث أمني، كما يمكن أن تعمل الشركة بنظامها الاحتياطي مؤقتًا حتى يتم حل المشكلة.

النسخ الاحتياطي

يعد واحد من أهم الممارسات المتبعة في مجال أمن تكنولوجيا المعلومات، فتخيل معي أن بيانات عملائك انهارت أو تم حذفها بقصد أو بغير قصد، هذا يعني خسارة أصل من أصول الشركة، ألن يكون السيناريو الأسوأ؟ لا يقتصر النسخ الاحتياطي على البيانات المخزّنة في قواعد البيانات أو الكود المصدري والمستندات، بل أيضًا الأحداث الأمنية، حيث ينبغي تسجيل أكبر قدر ممكن من البيانات في حال حدوث اختراق وذلك لسببين:

  • الأول، للإمساك بالأدلة الرقمية بالتي تحدد وقت وتاريخ الهجوم والمصدر والسلوك.
  • الثاني، حتى لا يحدث ذلك ثانيًا! ولتحسين أمن النظام من الهجمات في المستقبل.

قد يصعب في بعض الأحيان الكشف عن ملابسات الحادثة السيبرانية، لذا يمكنك الاستعانة ببرامج تحلل السلوك الضار مثل تحليل سلوك المستخدم.

إجراء اختبارات أمنية بانتظام

يصقل الهاكرز مهاراتهم بشكل مستمر، ويطورون في طرق الاختراق، مما يعني وجوب مواكبة أمن تكنولوجيا المعلومات لهذه التطورات، لذا يعمل محترفي التقنية على إجراء اختبارات وتقييمات للمخاطر باستمرار، أيضًا مراجعة خطة الاستعداد للكوارث واستمرارية العمل.

الخلاصة

تزداد حدة الجرائم الإلكترونية يومًا بعد يوم تبعًا للتغييرات السياسية والاقتصادية، وتظهر نتائجها في أشكال مختلفة من تسريب بيانات، وصول غير مصرّح به إلى إيقاف خدمات حيوية كالمنشآت النفط والكهرباء، لذا إن أمن تكنولوجيا المعلومات لا غنى عنه أبدًا، فإذا لم يتم تحقيق الأهداف الثلاث IT Security (السرية والتكامل والتوفر)، فستشهد شركتك آثار مدمّرة تنعكس عليها سلبًا في الربح والإنتاجية.

دعائم التقنية - أطلب العرض

إذا كنت ترغب في أن يقوم فريق الدعم الفني الخاص بنا في دعائم التقنية بعمل عرض توضيحي عبر الويب لميزات المنتج ، فيرجى ملء النموذج أدناه. سيتم أيضًا الرد على أسئلتك الفنية.

الاسئلة الشائعة

عند الطلب أو التسجيل في موقعنا، قد يُطلب منك إدخال اسمك، عنوان بريدك الإلكتروني، رقم هاتفك، اسم الشركة أو تفاصيل أخرى لمساعدتك في تجربتك

نقوم بجمع المعلومات منك عندما تقوم بطلب شراء، أو الاشتراك في النشرة الإخبارية، أو إدخال معلومات على موقعنا.

قد نستخدم المعلومات التي نجمعها منك عند التسجيل، أو عند إجراء عملية شراء، أو عند الاشتراك في النشرة الإخبارية، أو عند الاستجابة لاستبيان أو رسائل تسويقية، أو عند تصفح الموقع، أو استخدام بعض ميزات الموقع الأخرى، بالطرق التالية:

  • لتخصيص تجربتك ولنتمكن من تقديم نوعية المحتوى وعروض المنتجات التي تهمك بشكل أكبر.
  • لتحسين موقعنا على الويب لخدمتك بشكل أفضل.
  • لإدارة المسابقات والعروض الترويجية والاستبيانات وميزات الموقع الأخرى.
  • لإرسال رسائل بريد إلكتروني دورية بشأن طلبك أو منتجات وخدمات أخرى.
  • للمتابعة بعد التواصل (الدردشة المباشرة، البريد الإلكتروني أو استفسارات الهاتف).
  • يتم فحص موقعنا بشكل منتظم للكشف عن ثغرات الأمان والثغرات المعروفة بهدف جعل زيارتك للموقع أكثر أمانًا قدر الإمكان.
  • نحن نستخدم فحص البرامج الضارة بشكل منتظم.
  • تتم حفظ معلوماتك الشخصية خلف شبكات آمنة ويمكن الوصول إليها فقط من قبل عدد محدود من الأشخاص الذين لديهم صلاحيات الوصول الخاصة إلى هذه الأنظمة، ويتعين عليهم الحفاظ على سرية المعلومات. بالإضافة إلى ذلك، يتم تشفير جميع المعلومات الحساسة/الائتمان التي تقدمها عبر تقنية SSL (طبقة المقابس الآمنة).
  • نقوم بتنفيذ مجموعة متنوعة من تدابير الأمان عندما يقوم المستخدم بإدخال أو إرسال أو الوصول إلى معلوماته للحفاظ على سلامة معلوماتك الشخصية.
  • تتم معالجة جميع المعاملات من خلال مزود بوابة ولا تتم تخزينها أو معالجتها على خوادمنا.

We do not sell, trade, or otherwise transfer to outside parties your Personally Identifiable Information.

 

We do not include or offer third-party products or services on our website.

 

Google’s advertising requirements can be summed up by Google’s Advertising Principles. They are put in place to provide a positive experience for users.

Google, as a third-party vendor, uses cookies to serve ads on our site. Google’s use of the DART cookie enables it to serve ads to our users based on previous visits to our site and other sites on the Internet. Users may opt-out of the use of the DART cookie by visiting the Google Ad and Content Network privacy policy.

We have implemented the following:

  • Google Display Network Impression Reporting
  • Demographics and Interests Reporting

We, along with third-party vendors such as Google use first-party cookies (such as the Google Analytics cookies) and third-party cookies (such as the DoubleClick cookie) or other third-party identifiers together to compile data regarding user interactions with ad impressions and other ad service functions as they relate to our website.

Opting out:

Users can set preferences for how Google advertises to you using the Google Ad Settings page. Alternatively, you can opt out by visiting the Network Advertising Initiative Opt-Out page or by using the Google Analytics Opt-Out Browser Add-on.

How does our site handle Do Not Track signals?

We honor Do Not Track signals and Do Not Track, plant cookies, or use advertising when a Do Not Track (DNT) browser mechanism is in place.

Does our site allow third-party behavioral tracking?

It’s also important to note that we do not allow third-party behavioral tracking

COPPA (Children Online Privacy Protection Act)

  • When it comes to the collection of personal information from children under the age of 13 years old, the Children’s Online Privacy Protection Act (COPPA) puts parents in control. The Federal Trade Commission, United States’ consumer protection agency, enforces the COPPA Rule, which spells out what operators of websites and online services must do to protect children’s privacy and safety online.
  • We do not specifically market to children under the age of 13 years old.
  • Do we let third-parties, including ad networks or plug-ins, collect PII from children under 13

The Fair Information Practices Principles form the backbone of privacy law in the United States and the concepts they include have played a significant role in the development of data protection laws around the globe. Understanding the Fair Information Practice Principles and how they should be implemented is critical to comply with the various privacy laws that protect personal information.

In order to be in line with Fair Information Practices we will take the following responsive action, should a data breach occur:

We will notify you via email

  • Within 7 business days

We will notify the users via in-site notification

  • Within 7 business days

We also agree to the Individual Redress Principle which requires that individuals have the right to legally pursue enforceable rights against data collectors and processors who fail to adhere to the law.

This principle requires not only that individuals have enforceable rights against data users, but also that individuals have recourse to courts or government agencies to investigate and/or prosecute non-compliance by data processors.

The CAN-SPAM Act is a law that sets the rules for commercial email, establishes requirements for commercial messages, gives recipients the right to have emails stopped from being sent to them, and spells out tough penalties for violations.

We collect your email address in order to:

  • Send information, respond to inquiries, and/or other requests or questions
  • Process orders and to send information and updates pertaining to orders.
  • Send you additional information related to your product and/or service
  • Market to our mailing list or continue to send emails to our clients after the original transaction has occurred.

To be in accordance with CAN-SPAM, we agree to the following:

  • Not use false or misleading subjects or email addresses.
  • Identify the message as an advertisement in some reasonable way.
  • Include the physical address of our business or site headquarters.
  • Monitor third-party email marketing services for compliance, if one is used.
  • Honor opt-out/unsubscribe requests quickly.
  • Allow users to unsubscribe by using the link at the bottom of each email.

If at any time you would like to unsubscribe from receiving future emails, you can email us at

  • Follow the instructions at the bottom of each email and we will promptly remove you from ALL correspondence.