كلنا يدرك أهمية أمن وحماية المعلومات والبيانات التي تمتلكها المؤسسات. وقد ناقشنا بالتفصيل في تدوينة سابقة إجراءات بناء حماية أمنية متينة في التطبيقات التي يجري استخدامها داخل المؤسسة. لكن في الحقيقة لا يمثل هذا سوى أحد طرفي المعادلة، حيث أن استراتيجية الأمن والحماية الناجحة يتعين عليها أن تتضمن نظرة فاحصة لبيئة الأمن والحماية العامة التي تقوم المؤسسة بمتابعتها وإصدار التقارير عنها.
ولضمان تغطية كافة الأساسيات المطلوبة، نوصي باتباع الخطوات التالية عند بناء استراتيجية أمن وحماية لمعلومات وبيانات المؤسسة:
الخطوة الأولى - إجراء حصر أمني شامل
هنا نقول أترك البيانات تقود صناعة القرارات الأمنية الخاصة بمؤسستك، تماما مثل اتخاذ أي قرار في الشؤون المؤسساتية الأخرى. وقبل الخوض في غمار تفاصيل الهيكل الأمني، قم بحصر كافة الأطراف والبرمجيات التي يجب أخذها في الاعتبار.
- حدد الأنظمة التي ترغب في استخدامها إلى جانب نظام التقارير التحليلية Argos: حيث يمكن استخدام نظام Argos لإصدار تقارير تحليلية عن العديد من الأنظمة الأخرى.قم بإعداد قائمة بهذه الأنظمة وتأكد من إمكانية تشغيل نظام Argos و MAPS معها.
- حدد أصحاب هذه الأنظمة: من الهام جدا تحديد الأفراد المسؤولين عن هذه الأنظمة التي تسعى إلى استخدامها في إصدار التقارير.قد يكون لبعض الأنظمة أكثر من مسؤول، وقد تتفرع المسؤولية على عدد من الأفراد كل منهم مسؤول عن جانب معين.يستطيع مسؤولو النظام شرح البناء الأمني لهذا النظام.يتم استخدام هذه المعلومات الهامة لتهيئة نظام الأمن والحماية في Argos و MAPS.
- حدد مستخدمي النظام ودور كل واحد منهم: من المؤكد وجود أطياف متعددة من المستخدمين، لكل منهم حاجاته ومهاراته المختلفة، وليس من الضروري تحديد كل مستخدم بعينه في هذه المرحلة، إلا أنه من المفيد التعرف على نوعيات المستخدمين المختلفة، وكيفية استخدامهم للنظام. ابدأ بتصنيف المستخدمين حسب أدوارهم وبناء على المهام المسندة إليهم ومستوى الوصول الذي سيحتاجون إليه. يتم استخدام هذه الأدوار لتهيئة إعدادات الأمن والحماية في نظام Argos و MAPS فيما بعد.
الخطوة الثانية - راجع أهدف وسياسات الأمن والحماية
عند تهيئة بيئة أمن وحماية جديدة، اغتنم هذه الفرصة لمراجعة سياسات الأمن والحماية الجديدة ذات الصلة. وعلى أساس هذه المراجعة، يمكن إنشاء بعض الأهداف التي يساعدك في تحقيقها نظام الأمن والحماية الذي تقوم بتهيئته.
- راجع السياسات والإجراءات القائمة التي تتعلق بالوصول إلى البيانات: من المغري دراسة عشرات المزايا وخصائص الحماية التي يوفرها Argos و MAPS، ومن ثم البدء بكل بساطة في تنفيذ السياسات والإجراءات المفيدة. وقد يسفر هذه المنهج عن نتائج عكسية.لذا، فإننا نشجع على تنفيذ السياسات القائمة بالفعل، بدلا من استحداث سياسات جديدة.عند العمل مع مسؤولي النظام كما أشرنا من قبل، يتعين تحديد سياسات الأمن والحماية المزمع تطبيقها بكل وضوح – وهذا من شأنه أن يرشح اختيارات التهيئة المطلوبة.
- حدد أهداف الأمن والحماية بكل وضوح: ينبغي أن تعكس هذه الأهداف سياسات الأمن والحماية الخاصة.مثلا: قد تكون سياسة المؤسسة هي قصر صلاحية الاطلاع على أرقام التأمين الاجتماعي على أفراد الموارد البشرية فقط.تنعكس هذه السياسة في الهدف، وهو: "قصر صلاحية الوصول إلى أي جداول تشتمل على أرقام التأمين الاجتماعي على أفراد الموارد البشرية فقط."
الخطوة الثالثة - بناء إطار الأمن والحماية الخاص
بعد الانتهاء من التفاصيل العامة، يبدأ العمل على بناء الأمن والحماية داخل التطبيقات. وفيما يلي نقدم نظرة عامة على هذه الخطوة، ولمزيد من التفصيل، ننصح بالاطلاع على "إرشادات تحسين أمن وحماية البيانات"
- حدد إذا ما كنت تنوي إنشاء مستخدمي MAPS أو الاكتفاء بالمستخدمين القائمين: عند توافر خادم تحقيق الهوية بنظام LDAP، فإن هذا من شأنه تيسير أعمال التهيئة والصيانة، حيث يمكنك بكل سهولة إضافة مستخدمي LDAP إلى MAPS.عند توافر مجموعات LDAP والتي تعكس الهيكل التنظيمي للمؤسسة، يمكنك استيراد هذه المجموعات ببساطة بدلا من مجرد المستخدمين الفرديين.
- تحديد إذا ما كان الأمن والحماية على مستوى الكائن كافيا لتلبية أهدافك: يتسم منهج الأمن والحماية على مستوى الكائن بالقوة والمرونة وسهولة الصيانة بقدر كبير. تستطيع تلبية أغلب أهداف الأمن والحماية الخاصة بك ببساطة عن طريق ضمان وصول المستخدمين أو المجموعات إلى المجلدات والكائنات المناسبة فقط.
- تحديد تصاريح الوصول إلى قواعد البيانات التي يجب توافرها لدى مصممي قوالب البيانات DataBlocks: نظرا لأن مستعرض التقارير Report Viewer وكاتب التقارير Report Writer ليس من شأنهما إنشاء الاستعلامات، يمكنك تلبية أهداف الأمن والحماية الخاصة بك لهؤلاء المستخدمين عن طريق الأمن والحماية على مستوى الكائن فقط؛ إلا أن مصممي قوالب البيانات Designers DataBlock تعترضهم مشكلة إضافية، حيث يمكنهم إنشاء استعلامات وكوائن جديدة. افحص بعناية السياسات المتبعة لصلتها بهؤلاء المستخدمين، وقم بتهيئة ارتباطات قواعد البيانات والمعلومات لتنفيذ هذه السياسات.
تنفيذ الأمن والحماية مع السماح للمستخدمين بالوصول إلى أنظمة المؤسسة التي يحتاجون إليها ليس بالأمر السهل.لكن هذه التوصيات قد تمنحكم متعة الاستفادة من مزايا بيئة أكثر أمنا لإصدار التقارير التحليلية في مؤسساتكم.
مترجم عن مقال كتبه Peter Wilbur لـ evisions