تعتبر المعلومات عنصرا اساسيا لعمل أى منظمة وبالتالي فحمايتها يعني حماية المنظمة, الأمر الذي يعد تحد كبير فى ظل عالمنا اليوم الذي يتمتع ببيئة ذات أعمال مترابطة ومتسارعة ومعقدة , فتتسابق المنظمات لتطبيق كافة الوسائل والأساليب المتوفرة لحماية المعلومات فى أشكالها المختلفة سواء أكانت مطبوعة أو مكتوبة على الورق، مخزنة الكترونيا، مرسلة بالبريد او حتى مرئية او مسموعة, وقد تنجح بإستخدام هذه الادوات لحد معين ولكن تبقى إدارة نظام امني متكامل التحدي الاكثر تعقيدا.
التهديدات
الثغرات والمخاطر
- يكون هناك مخاطر في حال وجود تهديدات من جهة وثغرات في نظام المنظمة من جهة اخرى تسمح بتفعيل هذه التهديدات, وبالتالي لايوجد مخاطر في حال عدم وجود تهديدات او في حال كان نظام المنظمة محصن ضد التهديدات وهنا لابد لنا من الاشارة الى وجود عدة استراتيجيات لإدارة المخاطر منها تجنب المخاطرة ( كابطال التهديد او التحصين ضد التهديد بإستخدام اجراءات تحكم), نقل المخاطرة ( تفويض المخاطرة لطرف خارجي ), تخفيف اثر المخاطرة (القيام بتحصينات جزئية بإستخدام اجراءات تحكم جزئية) , قبول المخاطرة (تحمل كلفة المخاطرة في حال وقوعها) ...
تقييم المخاطر الأمنية
- هناك تصنيفات عديدة للمخاطر تختلف بإختلاف الغرض المراد تحصينه وآلية التحصينات والتحكم من جهة وطبيعة التهدايدات من جهرة اخرى, ولكن الاهم في عملية التصنيف والتقييم هو تحديد احتمالية الحدوث من جهة, والاثر على نظام المعلومات والمنظمة ككل من جهة اخرى, وبالتالي اعادة تصنيف هذه المخاطر بأولويات تحدد المخاطر الاكثر الحاحا وتهديدا لإتخاذ اجراءات تحكم اكثر صرامة بما يتناسب مع حجم الاضرار في حال وقوع الخطر.
اجراءات التحكم الاكثر شيوعاً في أمن المعلومات :
- وثيقة السياسة العامة لأمن المعلومات
- توزيع المسؤوليات الأمنية للمعلومات
- التوعية بأمن المعلومات، والتعليم، والتدريب
- المعالجة الصحيحة فى التطبيقات
- إدارة الثغرات التقنية
- إدارة استمرارية العمل
- إدارة حوادث أمن المعلومات والتحسينات
عوامل نجاح إدارة المخاطر
دلت الممارسات على أن العوامل التالية غالبا ما تكون حاسمة بالنسبة لنجاح تنفيذ أمن المعلومات
- وجود سياسة لأمن المعلومات وأهداف وأنشطة تعبر عن أهداف العمل
- وجود إطار ونهج لتنفيذ وصيانة، ورصد، وتحسين أمن المعلومات منسجمة مع ثقافة المنظمة.
- الدعم والالتزام من جميع مستويات الإدارة.
- وجود فهم جيد لمتطلبات أمن المعلومات، وتقييم و إدارة المخاطر.
- التسويق الفعال لأمن المعلومات لجميع المديرين والموظفين لتحقيق الوعي بأهمية أمن المعلومات.
- توزيع توجيهات بشأن أمن المعلومات والسياسات والمعايير لجميع المديرين، الموظفين والأطراف الأخرى.
- توفر الميزانية لإدارة أمن المعلومات.
- توفير التوعية والتدريب والتعليم.
- إنشاء نظام فعال لأمن المعلومات وإدارة الحوادث العملية.
- تطبيق نظام قياس لتقييم أداء إدارة أمن المعلومات و الاقتراحات المقدمة لتحسين الأمن.