مع تطور التقنية، ووسائل تخزين المعلومات وتبادلها بطرق مختلفة، ونقل البيانات عبر الشبكة من موقع لآخر، يصبح أمن هذه المعلومات موضوعاً في غاية الأهمية لأي مؤسسة بغض النظر عن طبيعة أعمالها، حيث تعد اليوم الأصول المعلوماتية ركنا حيويا في حياة المؤسسة.
وكما هو حال جميع الأصول الأخرى التي تحتفظ بها المؤسسة، بما في ذلك الأصول المادية والفكرية، فإن الأصول المعلوماتية ذات قيمة عالية. وهناك الكثير من الناس يحبون سرقة تلك الأصول، سواء كانت معلومات الطلاب الحاليين والسابقين أو المعلومات المالية مثل أرقام بطاقات الائتمان. وفي هذا السياق من الجدير أن ندرك أنه وخلافا للأصول المادية وبسبب الإنترنت، فإن الأصول المعلوماتية عرضة للخطر في أي وقت، ومن أي مكان على هذا الكوكب. وفي العادة توفر إدارة المخاطر مستويات من الحماية، ولكن الجهات الفاعلة السيئة (سواء أكانت أفرادا أم دولا) تبحث باستمرار عن الثغرات ونقاط الضعف في الأصول المعلوماتية للمؤسسات.
ما هو أمن المعلومات
يمكن تعريف أمن المعلومات بأنه العلم الذي يعمل على توفير الحماية للمعلومات من المخاطر التي تهددها أو الحاجز الذي يمنع الاعتداء عليها وذلك من خلال توفير الأدوات والوسائل اللازم توفيرها لحماية المعلومات من المخاطر الداخلية أو الخارجية. كما يمكن تعريفها على أنها، المعايير والإجراءات المتخذة لمنع وصول المعلومات إلى أيدي أشخاص غير مخوّلين عبر الاتصالات ولضمان أصالة وصحة هذه الاتصالات. كما أن خرق السرية يتخذ أشكالا عدة. تجسس شخص ما على شاشة الحاسوب لسرقة كلمات سر الدخول، أو رؤية بيانات سرية بدون علم مالكها، يمكن أن يكون خرقا للسرية. إذا كان الحاسوب المحمول يحتوي على معلومات حساسة عن موظفي الشركة، فإن سرقته أو بيعه يمكن أن يسفر عن انتهاك لمبدأ السرية. إعطاء معلومات سرية عبر اتصال هاتفي هو انتهاك لمبدأ السرية إذا كان طالب الاتصال غير مخول بأن يحصل على المعلومات.
أمن المعلومات في الكليات والجامعات
تخزن الجامعات كميات هائلة من بيانات البحوث القيمة والمعلومات الشخصية التي يتم تحديدها، ونقلها، والوصول إليها. جميع الكليات والجامعات لديها التزام بالانفتاح، ولكن العديد من الآلاف من الخدمات والأجهزة في الحرم الجامعي غالبا ما تدار بطريقة موزعة جدا ومعايير مختلفة.
یدخل أعضاء المجتمع شبكة الجامعة من المنزل والمكاتب والفصول الدراسة والمختبرات والمهاجع والمطارات والمواقع الأخرى، وهم يدخلون من مناطق محلية ومن حول العالم.
تقول Patricia Patria نائب الرئيس لتقنية المعلومات في كلية بيكر الأمريكية "الناس يعتقدون أن أمن المعلومات هو حول التقنية، ولكنه في الحقيقة يدور حول تثقيف الناس، فهناك حوالي 90% من جميع الخروقات يدخل فيها العنصر البشري". وفي هذا السياق أفاد أحد الموظفين في إحدى الجامعات البحثية الرئيسية بأنه هناك حوالي مائة ألف شخص يدخلون يوميا شبكة الجامعية باستخدام جهازين أو ثلاثة أجهزة، كما أن 75% من رسائل البريد الإلكتروني الواردة هي رسائل غير مرغوب فيها، وهناك أكثر من ألف محاولة لاختراق شبكة الحرم الجامعي كل دقيقة.
من هنا كان على الجهات الأكاديمية توفير إطار قانوني لضمان أمن الأصول المعلوماتية، وإيجاد بيئة آمنة لحفظ المعلومات، من خلال ضمان سرية المعلومات والبنية التحتية للشبكة، وحمايتها بمنع الدخول أو التعديل أو التغيير غير المصرح به لتلك المعلومات، وحمايتها كذلك من الفقدان أو التسرب أو التلف أو الإضرار بها بأية وسيلة كانت، بالإضافة إلى مواجهة المخاطر المتصلة بأمن المعلومات وتحديد المخاطر المحتملة، وكيفية مواجهتها لضمان استمرارية سير العمل في المؤسسة الأكاديمية ضد التعرض لأي حادث أو هجوم
تصور لبرنامج أمن المعلومات الشامل
أمن المعلومات ليس بالنظام الثنائي (إما أبيض أو أسود)، ليس هناك حالة من الأمن الكامل. بدلا من ذلك، هناك مستويات من الأمن يتم تكييفها باستمرار.
برنامج الأمن الشامل الذي يؤكد على الحد من المخاطر، يمكن أن يقلل إلى حد كبير التعرض للانتهاك . وينبغي أن يشمل هذا البرنامج الأشخاص والعمليات والتكنولوجيا، وقد يتخذ أشكالا متعددة:
- تثقيف المستخدمين.
- وضع عمليات لتحديد وحماية البيانات الأكثر حساسية.
- تطبيق تقنيات تشفير البيانات وإيجاد التهديدات القادمة من خارج الشبكة من خلال أي جهاز مهما كان نوع هذا الجهاز ومنعها.
- توفير الحماية من الثغرات الأمنية، وتحدي جميع مكونات البنية التحتية بشكل دائم لسد أي ثغرة محتملة.
- طلب المصادقة (Authentication) عند أي محاولة للوصول للأصول المعلوماتية.
- تصميم وبناء جميع قواعد البيانات وفق أفضل الممارسات لتحقيق معايير أمن المعلومات.
- ضمان أن التطبيقات المستخدمة في الجامعة تحتوي على الأدوات اللازمة لضمان تحقيق معايير أمن المعلومات من خلال إدخال البيانات أو معالجتها أو تخزينها أو إخراجها.
مسئولية الحفاظ على أمن المعلومات خارج قسم تقنية المعلومات
- المستخدمون النهائيون، لفهم كيفية تجنب انتهاك أوراق اعتمادهم
- رؤساء الوحدات، لحماية البيانات المؤسسية
- كبار القادة، لتحميل الناس المحاسبة والشفافية
- القيادة المؤسسية، من أجل إقرار وتمويل ودعم أمن المعلومات الجيد
المفاهيم الخاطئة حول أمن المعلومات
- أمن المعلومات عمل شخص آخر غيري. (ليس مسئوليتي)
- الأمن هو مشروع لمرة واحدة وليس عملية مستمرة.
- يمكن لموظفي تقنية المعلومات التعامل مع القضايا الأمنية بأنفسهم. (أمن المعلومات متعدد المستويات ويجب أن يشمل الجميع داخل المنظمة.)
- الأمن ثنائي: نحن إما بيئة آمنة أو أننا لسنا كذلك. (هناك مستويات نضج مختلفة في جميع أنحاء المنظمة، ويجب أن تكون هناك عملية مستمرة من الرصد والتشغيل وتنفيذ التحسينات لمواكبة المشهد التهديدي.)
- الأمن مهمة تقنية (على الرغم من أن التقنيات الأمنية حاسمة لحماية المعلومات والشبكات، فإن 90 في المائة من جميع الخروقات تحدث بسبب العنصر البشري، لذا تعليم ممارسات أمن المعلومات - من العناصر الأساسية).
- قد يحدث خرق للبيانات. (ليس هناك قد، فمن المؤكد أنه سيحدث خرق للبيانات، ويجب أن تستعد، لأنه سيحدث لك).
المخاطر
- تجاهل المخاطر: حادث صغير يمكن أن يقلل من كفاءة التطبيقات، ويضر حملة جمع الأموال الرأسمالية، و / أو تدمير سمعة المؤسسة والعلامة التجارية
- التقليل من احتمالية وتأثير الانتهاكات
- التردد في البدء أو استغراق وقت طويل لاتخاذ القرارات والتأخر في تنفذ الحمایة الأمنية
- عدم التكامل : عدم إشراك المجتمع المؤسسي بأسره، أو عدم وضع عملية محكمة يشكل كافي
اجراءات لابد منها لضمان نظم أمن المعلومات الناجحة
- عند البدء
- إنشاء سياسات تصنيف البيانات والامتثال للإجراءات.
- البحث عن المهام الأسهل وتنفيذها للمضي قدما (على سبيل المثال، سياسات الشراء ومتطلبات تشفير الآلات الجديدة).
- الانخراط في أنشطة حماية الشبكة (على سبيل المثال، الجدران النارية، حماية التطبيقات).
- التثقيف حول المخاطر التي تنشأ يوميا، والتركيز على رسائل الوعي البسيطة: لا تترك أجهزة الحاسوب المحمولة في السيارة،
- استخدام موارد أولئك الذين عملوا قبلنا.
- أثناء العمل:
- طلب تدريب سنوي على التوعية بأمن المعلومات يكون مفيدا ومقنعا، والذي يجب أن يتم ذلك بطريقة تمكن الموظفين وأعضاء هيئة التدريس أن يأخذوها على محمل الجد.
- تحديد مكان تخزين البيانات الأكثر حساسيةـ
- التأكد من تطبيق التقنيات المتفق عليها، بما في ذلك المصادقة الثنائية، لحماية تلك البيانات.
- إنشاء هيكل حوكمة، مثل مجلس أمن المعلومات الذي يشمل ممثلي المجتمع. ويضع مؤشرات الأداء الرئيسية والمقاييس لتقييم حالة أمن المعلومات والتواصل بها.
- التحرك إلى ما هو أبعد من العمليات الأساسية والأولية لأمن المعلومات (مثل حماية الشبكة) إلى تقنيات أوسع، مثل جدران الحماية من الجيل التالي أو الأجهزة الأمنية التكيفية.
- البدء في اختبار خطط الأمن والامتثال، وفحص خطط التعافي من الكوارث و سياسات الاستجابة للحوادث
- الحفاظ على التفكير في كيفية تقليل حجم الخطر على المؤسسة كهدف، والتأكد من تأمين الأنظمة الجديدة بشكل صحيح قبل وضعها على الإنترنت.
- تدريب موظفي تقنية المعلومات بدقة وبشكل مستمر، فهم على الخط الأمامي. كما يمكنك شراء خدمات الجهات الخارجية للمساعدة في حماية الشبكة والبيانات
3 -للتطوير والتحسين:
- القيام بدور قيادي في المجتمع، وتوصيل ما تقومون به، ومن الجيد السماح للمؤسسات الأخرى بمعرفة إلى أين أنت ذاهب وأثر ذلك على عملك. هذا ويمكن للتعاون بين الأقران وبين المؤسسات الأكثر نضجا أن يساعد على دفع جميع التعليم العالي إلى الأمام.
- مواكبة التقنيات الجديدة. والتعلم من الأقران لتحديد أحدث التقنيات وتقويمها بشكل تعاوني (مثل منع فقدان بيانات البريد الإلكتروني أو حماية التهديدات المتقدمة التي تستند إلى ما هو متعارف عليه)
- تذكر أن ما حافظ عليك في الماضي قد لا يساعدك اليوم.
برنامج أمن المعلومات الجيد الإدارة يؤدي إلى تقليل المسؤولية المؤسسية حول أمن المعلومات. ويساعد أعضاء هيئة التدريس والموظفين والطلبة في المحافظة على أصولهم الفكرية والشخصية. وبدلا من أن ننفق الأموال والوقت على مشاكل يسببها برنامج أمن المعلومات الضعيف الإمكانيات، يمكننا إنفاق هذه الأموال في أشياء أخرى.
