المدونة التالية
كافة المدونات

السياسات الأمنية أولا أم ثانيا؟

كتبهاسلطان أبوخشيم ، في 18 ديسمبر 2007 الساعة: 16:51 م

هذه المقالة فقط للمتخصصين في تقنية المعلومات، خصوصا المدراء، وأصحاب الخبرة.
من الضروري البدء بعملة عند البدء ببناء شركة ما كتابة السياسات الأمنية في إدارة تقنية المعلومات. وقد يكون من المغري البدء بتطبيق بعض الإجراءات الأمنية أو البحث عن حلول لمشاكل ظاهرة أو ثغرات أمنية قبل البدء بكتابة السياسات الأمنية. إلا أن هذا التطبيق العكسي قد يجر المؤسسة إلى خسائر مادية وأمنية خطيرة. وحسب تجربتي فقد وجدت أن الكثير من الشركات والهيئات تطبق العملية بطريقة عكسية، أي أن البحث عن حلول أمنيه يسبق كتابة السياسات الأمنية لهذه الشركة.
وكقاعدة عامة فإن كتابة السياسات الأمنية يجب أن يكون الخطوة الأولى في عمل إدارة أمن المعلومات في أي شركة. إلا أن هناك استثناءات عن هذه القاعدة، خصوصا إذا كان هناك أنظمة تستدعي الحاجة لتنفذها حتى وإن لم تكن السياسات الأمنية قد تم الانتهاء منها بعد. وذلك حينما يكون هناك خطر عالي يجب الحد منه بشكل سريع. ومثال ذلك تركيب جدار حماية ناري أو تركيب نظام الحماية من الفيروسات في الشركة يسبق في كثير من الأحوال كتابة السياسات الأمنية.
كتابة السياسات الأمنية وتنفيذها يضمن للمنظمة العمل بشكل آمن. وبعبارة أخرى فإن السياسات الأمنية هي حجر الزاوية في استراتيجيه المنظمة الأمنية والتشغيلية.إن التذبذب في تهيئة الإعدادات الأمنية لأي من الأنظمة أو التردد في اختيار الحل الأمني الأمثل هو أحد المشاكل التي تنتج من عدم وجود سياسة أمنية واضحة.
وسأضرب لكم مثالا لذلك، في أحد الشركات التي عملت بها أردنا أن نعطي عدد من الموظفين VPN access من الانترنت إلى الشركة (خدمة الوصول الآمن عن بعد) وذلك حتى يتمكنوا من العمل على بعض أنظمة الشركة عن بعد. وقد طلب منا قطاع الأعمال توفير هذه الخدمة لهؤلاء الموظفين. إلا أن الإجراء الإداري الوحيد الذي تم اتخاذه هو عمل نموذج بحيث يقوم كل موظف يحتاج هذه الخدمة بتعبئته. وفي ظل غياب سياسة أمنية للـ VPN Access  فإن إعطاء الموظفين هذه الخدمة ترتب عليه خطر أمني كبير وغير محسوب. فالسياسة الأمنية التي كتبت لاحقا نصت على أنه لا يحق لأي موظف استخدام ميزة الـ VPN Access إلا لحل المشاكل الطارئة وليس لإجراء مهام العمل اليومية التي يفترض أن يقوم بها الموظف من مقر عمله. بل ونصت هذه السياسة على أن عملية الدخول عن بعد يجب أن تكون لفترة قصيرة ومن ثم تسحب صلاحية الدخول عن بعد. وهذا لا ينطبق على معظم من أعطوا هذه الخدمة، فكما أن عملية الدخول عن بعد للمنظمة عن طريق الـ VPN Access يضمن دخولا آمنا وسريا، إلا أنه لا يحمي المنظمة من الموظفين الذين يمتلكون هذه الصلاحية.

السياسات الأمنية هي الدستور الذي يرجع له وتنطلق منه القرارات الرئيسية في إيجاد الحلول الأمنية الأمثل. فإذا لم تكن هناك سياسات أمنية مطبقة فهناك دائما أخطار أمنية كبيرة وتذبذي في الإجراءات الإدراية.

أضف الى مفضلتك
  • del.icio.us
  • Digg
  • Facebook
  • Google
  • LinkedIn
  • Live
  • MySpace
  • StumbleUpon
  • Technorati
  • TwitThis
  • YahooMyWeb

ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــ
التصنيفات : أمن معلومات, تقنية معلومات, سياسات أمن المعلومات | السمات:, ,
أرسل الإدراج  |   دوّن الإدراج  

2 تعليق على “السياسات الأمنية أولا أم ثانيا؟”

  1. سارا قال:
    ديسمبر 26th, 2007 at 26 ديسمبر 2007 11:00 م

    اوافقك لابد من توفر السياسات الأمنيه قبل الاجراءات الأمنيه..

    الاجراءات الأمنيه عديمه الفائده اذا لم تسبقها سياسة امنيه محبكه..

  2. سلطان أبوخشيم قال:
    يناير 4th, 2008 at 4 يناير 2008 12:54 ص

    أختى سارا،

    غياب السياسات الأمنية في الشركات، يشبة إلى حد كبير غياب النظام الأمني في الدولة، فتتحول الدولة إلى مسرح للجريمة والفوضى،

    شكرا على مرورك اللطيف،



اكتب تعليــقك
الإسم الذي سيظهر على التعليق
مشتركي مكتوب
اسم آخر
مجهول

« ماهي التصورات الذهنية؟
إذا لم تعرف ماذا تفعل فاسأل قووقل! »