حواليكم
25-11-2013, 12:20 PM
نظره عامة:
"سر القوة هو الحماية, ومفتاح الحماية هو التعليم " ر.والس هيل
مع تطور عالم الانترنت والشبكات والتقنيات المصاحبة له زاد تعقيد الهجمات المحتملة على الأجهزة والمعلومات بالتالي زادت أهمية حماية الاجهزة والمعلومات.
والحماية تعتمد على ثلاثة عناصر أساسية :
1- استخدام منتجات حمايه وهي برامج حماية مخصصة أو أجهزة حماية مثل كاميرات المراقبة على أجهزة الخوادم في الشركات مثلا
2- توظيف عاملين مهمتهم الأساسية تشغيل مراقبة هذه البرامج والاجهزه والتأكد من فعاليتها في الحماية وصيانتها والاشراف عليها
3- وضع السياسات والقواعد المنظمة لهؤلاء الموظفين المشرفين على منتجات الحماية أو الموظفين المستخدمين للأجهزة والمعلومات وذلك للتأكد من أن أمن المؤسسة تحت السيطرة
ان وضع قوانين واسس في المؤسسة والحرص على تطبيقها من أهم وسائل الحماية. تبدأ هذة القوانين بالزام جميع الموظفين التعلم التعليم الكافي وتلقي التدريب اللازم لاستخدام موارد المعلومات في المؤسسة ومن ثم وضع قوانين وعقوبات رادعة لمن يسيء استخدام مصادر الشركة
هنا يظهر لنا أهمية تدريب الموظفين وتوعيتهم حتى نتلافى الأخطار الممكنه من أخظاء مقصودة او غير مقصودة
المقدمة:
الأهمية:
إذا بحت بأسرارك للريح فلا تلم الريح إذا باحت بها للأشجار. ...جبران خليل جبران
التوعية هي الخط الأول في الدفاع, وهي الحصن المنيع الذي يحمي المعلومات من التخريب الغير مقصود
واذا ادخل عنصر توضيح الأخطار والعقوبات المترتبه على الأخظاء المقصوده في برامج التوعية سوف تقل عد الأخطاء المقصودة من اعتداءات وهجمات على موارد المؤسسة المعلوماتية
الأهداف:
سوف نتحدث في هذه الورقة عن تعريف التوعية الأمنية, وماهي الفئات المستهدفة بالتوعية, ولماذا نحتاج التوعية الأمنية.
كذلك أهداف برامج التوعية الأمنية, والاستراتيجيات المستخدمة في التوعية, وماهي أهم المفاهيم التي يجب توعية المجتمع بها والأخطار المترتبه على الجهل بهذه المفاهيم سوف نتحدث أيضا عن أهم المشاكل التي تواجة البرامج التوعوية في مجتمعنا.
ماهي التوعية الأمنية:
أن يكون كل فرد على علم ودراية بمسؤوليته تجاه حماية المعلومات والأجهزة التي يستخدمها سواء المعلومات الشخصية أو التابعة لجهة العمل وادراكه التام لأهمية عدم البوح بكلمات المرور او المعلومات الأمنية المهمة في الشركة ومعرفته للأخطار المترتبة على أي من التجاوزات الأمنية وهي تنمية وتعزيز المسؤولية الفردية والفهم الكامل بأهمية تطبيق القواعد الامنية الموضوعة من قبل الجهات العليا والحرص على عدم تجاوزها
تعتبر التوعية الأمنية من أهم خطوط الدفاع وحماية المعلومات والموارد لأنها الأقل تكلفة فقد اثبتت الدراسات أن المبالغ التي تنفق على توعية الموظفين او الناس عموما أقل بكثير من المبالغ التي تصرف على اصلاح الأضرار الناجمة عن تسريب معلومات ووصولها لمتناول أشخاص غير مصرح لهم او حتى تدميرها وتخريبها.
من هم المستهدفين بالتوعية؟
في المؤسسات والمنظمات وحتى الحكومات: الموظفين هم اهم الفئات المستهدفة بالتوعية. لأنهم يمكنهم الاطلاع على معلومات مهمة وحساسة لا يسمح لأحد غيرهم الاطلاع عليها كلُ حسب رتبته ومنصبه الاداري وحاجته لهذه المعلومات.
الأشخاص المعنيين بالبرامج التوعوية في المنظمات؟
1- جميع المستخدمين : معرفتهم بأسس الأمن المعلوماتي
2- المدراء التنفيذيين: معرفتهم بأسس الامن المعلوماتي وتدريبهم على التخطيط والادارة الامنة
3- مدراء التشغيل ومدراء البرامج: أسس الأمن المعلوماتي التخطيط الامن وأمن التطبيقات وادراة المخاطر
4- رئيس مركز تقنية المعلومات والمراقبين وجميع موظفي الأمن المعلوماتي سواء للشبكات او التطبيقات
5- موظفي التشغيل :أسس الامن المعلوماتي
في المجتمع : الأطفال هم من الفئات المستهدفه بالتوعية الامنية لانهم اذا تربوا على احترام القوانين منذ الصغر خفف من تكاليف تعليمهم وتثقيفهم في الكبر. ولأن الخطر الذي يهدد الأطفال مستخدمي الانترنت
كبير لسهولة التغرير بهم واستخلاص معلومات مهمه عن العائلة أو حتى عن معلومات خاصة باحد الأبوين وجهة عمله.
كذلك المستخدمين العاديين للانترنت والشبكات الاجتماعيه من مختلف الفئات العمرية يجب توعيتهم بأهمية حفظ معلوماتهم الشخصية وعدم البوح بأي كلمات مرور حساسة مثل كلمات المرور للحسابات البنكية
الاشخاص ذوي النوايا السيئة من مخربين ومهاجمين للمواقع الالكترونية او الاجهزة الشخصيه يجب توعيتهم بالعقوبات المترتبة على أعمالهم.
وهذا رسم يوضح علاقة احتمال الهجوم بمستوى الوعي
http://coeia.ksu.edu.sa/sites/coeia.ksu.edu.sa/files/1_8.jpg
لماذا نحتاج التوعية الأمنية,وماهي أهميتها؟
قسم أمن المعلومات في الشركة لا يستطيع تحمل جميع الأخطار ومواجهتها بمفردة. كل موظف في الشركة يتحمل جزء من المسؤولية تجاه الأخطار المحتملة ومحاربتها ومنع وقوعها.
ان حفظ الممتلكات الخاصة من معلومات واجهزة شخصية أو في الشركات بحفظ وحماية مراكز البيانات من اهم الامور التي تسعى التوعية الامنية لتحقيقها.كذلك تقليل الخسائر المحتملة من تسرب أي معلومات أو تعديلها أو الاطلاع عليها من قبل أشخاص غير مصرح لهم. وحتى الخطأ المحتمل في استخدام البرامج والتطبيقات يؤثر على المعلومات وصحتها ويزيد نسبة خطر الهجمات على أنظمة الشركة.
ويمكننا القول ان تصرفات الموظفين ذوي الصلاحيات تؤثر تأثير مباشر على المعلومات والأصول التي يجب حمايتها. فبتوعيتنا للموظفين في شركة معينة نزيد درجة الحماية.
إن تصرفات الموظفين الغير واعين من اهم عوامل اختراق المعلومات المهمة لانه باهمالهم لكلمات المرور ووضعها في أي مكان مثلا يجعلها في متناول أشخاص ذوي نوايا سيئه يمكنهم احداث أضرار أو حتى الاطلاع على معلومات حساسة لا يحق لهم الاطلاع عليها وهناك أضرار مترتبه على كشفها.
في المؤسسات والشركات, لكل فئة نوع ودرجة معينه من التوعية فالمدراء وأصحاب السلطة يجب رفع درجة توعيتهم لان المعلومات المصرح لهم الاطلاع عليها أهم واكثر حساسية. وكلما زاد اطلاع الموظف على المعلومات زاد أهمية توعيته بضرورة المحافظة على الامن وخصوصية هذه المعلومات.
ان النمو المتسارع في تقنية المعلومات يزيد في أهمية المحافظة على امن المعلومات ويجعلها من اهم الأدوار في الحياة اليومية. ويجب أن تلفت الانتباه الى أن الأخطار تتزايد وتتعقد مع الأيام لذلك يجب تحديث برامج التوعية والمعلومات والطرق ووسائل الحماية كل فتره لتحقيق الفائدة المرجوه منها.
القوانين في بعض البلدان تنص على وجوب تلقي دوراتمتخصصة في التوعية قبل استخدام أي نوع من الانظمة وكذلك تحديث واعادة تلقي هذه التدريب مره في السنه على الاقل.[2]
وهذه بعض الأسباب الأخرى التي توضح أهمية التوعية الأمنية:
- هناك ثغرات أمنية تهدد مستخدمي شبكة الانترنت او أجهزة الكمبيوتر عموما يجب توعية المستخدمين بها
- اساءة استعمال البريد الالكتروني له آثار واضرار مختلفه
- مشاركة الهوية وكلمة المرور مع أشخاص اخرين
- البرامج المضره مثل الفايروس وهي من أخطر ما يهدد مستخدمي الانترنت
- عدم المحافظة على كلمة السر مثل كتابتها في أماكن واضحة تجعلها في متناول اليد او افصاحها لأشخاص آخرين
- عدم تثقيف الموظفين جيدا عن أهمية حماية المعلومات الخاصة.
- بيئة العمل ضعيفة الحماية مثل المكاتب المشتركة
- التصفح الغير آمن للانترنت والدخول على مواقع مشبوهة
- استخدام البرامج المقرصنة قد يؤثر على امن الاجهزة الشخصية
- استخدام أجهزة تخزين مثل الاقراص الصلبة لا تتوفر بها وسائل الحماية مما يجعل المعلومات المخزنة عليها في خطر
أهداف برامج التوعية الأمنية ووجود سياسات أمنية في الشركات:
الهدف الأساسي من أي برنامج توعوي هو رفع مستوى الوعي في لدى الموظفين وتعديل تصرفاتهم. لا يمكن لنا ان نعدل تصرفات الموظفين لجعلها أكثر امانا وتحملا للمسؤوليه الا اذا هم رغبوا بذلك. لذلك يجب علينا أن نجعلهم يفهموا لماذا الأمن المعلوماتي مهم لهم وللشركات التي يعملون بها. وهذه بعض المفاهيم التي يجب أن ترسخ في الموظفين ويتم التركيز عليها في البرامج التوعوية:
1- ماهو الامن المعلوماتي؟
2- ما هي الاستراتيجية الأمنية للشركة؟
3- ماهي السياسات الأمنية في الشركة وكيف يمكن تطبيقها عمليا في الحياة اليومية؟
4- كيف يؤثر الأمن المعلوماتي على أنشطة الموظفين اليومية؟
5- كيف تؤثر الأخطار الامنيه على نشاط المؤسسة؟
أهم الأصول اللتي يجب حمايتها والحماية تكون بالتوعية
يعتمد الأصل الذي يجب حمايته على نشاط الشركة او المنظمة او الفرد نفسه.
قد يكون كلمات المرور أو المعلومات الشخصية, أو حقوق الأفراد الشخصية وحمايتهم من الهندسة الاجتماعية.
وقد تكون الأجهزة كأجهزة الخوادم في الشركات والحواسيب الشخصيه للموظفين.
استراتيجيات التوعية:
هناك طرق واستراتيجيات مستخدمه عالميا في مجال التوعية عموما وليس في مجال التوعية الأمنية فقط مثل:
- الدورات التدريبية المقامة تحت اشراف أشخاص ذوي خبرة وكفاءة واطلاع على انظمة الشركة نفسها.
- النشرات التي توزع على الموظفين من وقت لآخر لتذكيرهم بما يجب فعله او اجتنابه.
- الاعلانات في الجرائد وعمل تحقيقات وكتابة مقالات لاستهداف شريحة أكبر من الناس.
- البرامج التدريبية المقدمة من خلال الانترنت لسهولة وصولها لأكبر شريحة من الناس وتناسب أوقات فراغهم.
- اجتماعات رسمية وغير رسمية تقسمها الشركات للاعلان عن انظمة وسيايات جديدة.
- كل قسم يكون مسؤول عن وضع اعلانات لموظفيه لتخصيص وتركيز التوعية حسب مجال العمل في هذا القسم؟
- الفعاليات التوعوية مثل وضع اسبوع التوعية الامنية
المفاهيم التي يجب توعية المجتمع بها:
• حفظ كلمات السر وعدم البوح بها لأي شخص كان
• طول كلمة السر يكون 8 واستخدام أحرف وارقام وعدم الاحتفاظ بها في مكان قريب من جهاز الكمبيوتر
• عدم نشر المعلومات الشخصية الا بعد التأكد من هوية الشخص المقابل.
• عدم البوح بأسرار جهة العمل.
• استخدام برامج الحماية غلى الأجهزة للحماية من البرامج الضارة.
• قفل الجهاز عند الابتعاد عنه حتى لا يستخدمه الأخرون بدون علمك.
• الاستخدام الصحيح للشبكات الاجتماعية.
التبليغ السريع عن أي مشكلة مثل فقد كلمة السر لمسؤلين الأمن في الشركة.
المخاطر , وماذا لو لم يكن هناك توعية أمنية:
1- اساءة استخدام النظام خاصة اذا لم يكن له أحقية في الدخول له
2 - الاطلاع على معلومات سرية لا يجب لأحد الاطلاع عليها
3 - الهندسة الاجتماعية وهي التعرض للخداع والغش عن طريق تقمص شخصية أحد افراد المنظمة وسؤال فريق الدعم عن كلمة المرور مثلا. ويكون الشخص لديه بعض المعلومات مثل رقم الهوية.
4 - التجسس على الأشخاص
5 - تعطيل الخدمات المهمة وذلك بتعطيل الخوادم في المنظمة وجعلها غير متوفرة للاستخدام
6 - الخسائر المادية المترتبة على تسرب معلومات تجارية مهمة في الشركات.
أمثلة لبعض الجرائم الحقيقية:
قد لا يتوقع أحد كم الخسائر الناجمة عنه وهو تلك الأعطال و الخسائرفى البرامج والتطبيقات والملفات ونظم العمل الآلية وسرعة وكفاءة شبكات الاتصالوالذى ينجم عن التعرض للفيروسات والديدان مثل ذلك الهجوم الأخير والذى تعرضت لهالحواسب الآلية المتصلة بشبكة الانترنت فى اغلب دول العالم من خلال فيروس يدعى (WS32.SOBIG) والذى أصاب تلك الأجهزة من خلال رسائل البريد الالكتروني بصورة ذكيةللغاية حيث كان ذلك الفيروس يتخفى فى الوثيقة الملحقة بالبريد الالكتروني (Attachment File) فى صورة ملف ذو اسم براق و عند محاولة فتح ذلك الملف فان الفيروسينشط ويصيب جهاز الحاسب و يبدأ فى إرسال المئات من رسائل البريد الالكتروني من ذلكالجهاز المصاب مستخدما كل أسماء حسابات البريد الالكتروني المخزنة عليه. الأمر الذيأدى إلى إصابة عدد هائل من الحواسب الشخصية للأفراد و الشركات و ملء خوادم البريدالالكتروني بتلك الرسائل مثال على ذلك إصابة خوادم البريد الالكتروني لشركة أميركااون لاين بما يقارب ال 20 مليون رسالة ملوثة وأدى ذلك أيضا إلى بطء شبكات و خطوطالاتصال بصورة كبيرة و أحيانا بالشلل التام مما أدى لتعطل الكثير من الأعمال و تلفالعديد من الملفات الهامة على تلك الحواسب وقد قدرت الخسائر الناجمة عن ذلك الفيروسبما يقارب ال 50 مليون دولار اميريكى فى داخل الولايات المتحدة الاميريكيةوحدها.[7]
الخلاصة:
نستخلص مما سبق التالي:
1- ادراك أهمية التوعية الأمنية وأثرها.
2- كلما زادت رتبة الموظف في الشركة زادت المسؤولية على عاتقه في الامن المعلوماتي.
3- هناك خطر حقيقي يهدد المعلومات يجب مواجهته والتصدي له.
4- أن مفهوم التوعية الامنية مفهوم واسع.
المراجع:
[1]http://csrc.nist.gov/organizations/fissea/2006-conference/Lindholm-FISSEA2006.pdf (http://csrc.nist.gov/organizations/fissea/2006-conference/Lindholm-FISSEA2006.pdf)
[2] http://www.nativeintelligence.com/ni-programs/whyaware.asp (http://www.nativeintelligence.com/ni-programs/whyaware.asp)
[3]Five dimensions of information security awareness, Newsletter ,ACM SIGCAS Computers and Society Homepage archive, Volume 31 Issue 2, June 2001
[4]http://it.toolbox.com/blogs/adventuresinsecurity/strengthen-security-with-an-effective-security-awareness-program-8707 (http://it.toolbox.com/blogs/adventuresinsecurity/strengthen-security-with-an-effective-security-awareness-program-8707)
[5] Investigating Information Security Awareness: Research and Practice Gaps, Information Security Journal: A Global Perspective 2008
[6] Researchon software security awareness: problems and prospects, Authors: C. Banerjee, S. K. Pandey
[7] http://www.tashreaat.com/view_studies2.asp?id=591&std_id=90 (http://www.tashreaat.com/view_studies2.asp?id=591&std_id=90)
*** منقول ***
لمتابعة أكثر خارج موقع مسندم.نت...
نرجو زيارة هذا الرابط (( بالضغط هنـــا )) .. (/~moeoman/vb/showthread.php?t=539166&goto=newpost)
"سر القوة هو الحماية, ومفتاح الحماية هو التعليم " ر.والس هيل
مع تطور عالم الانترنت والشبكات والتقنيات المصاحبة له زاد تعقيد الهجمات المحتملة على الأجهزة والمعلومات بالتالي زادت أهمية حماية الاجهزة والمعلومات.
والحماية تعتمد على ثلاثة عناصر أساسية :
1- استخدام منتجات حمايه وهي برامج حماية مخصصة أو أجهزة حماية مثل كاميرات المراقبة على أجهزة الخوادم في الشركات مثلا
2- توظيف عاملين مهمتهم الأساسية تشغيل مراقبة هذه البرامج والاجهزه والتأكد من فعاليتها في الحماية وصيانتها والاشراف عليها
3- وضع السياسات والقواعد المنظمة لهؤلاء الموظفين المشرفين على منتجات الحماية أو الموظفين المستخدمين للأجهزة والمعلومات وذلك للتأكد من أن أمن المؤسسة تحت السيطرة
ان وضع قوانين واسس في المؤسسة والحرص على تطبيقها من أهم وسائل الحماية. تبدأ هذة القوانين بالزام جميع الموظفين التعلم التعليم الكافي وتلقي التدريب اللازم لاستخدام موارد المعلومات في المؤسسة ومن ثم وضع قوانين وعقوبات رادعة لمن يسيء استخدام مصادر الشركة
هنا يظهر لنا أهمية تدريب الموظفين وتوعيتهم حتى نتلافى الأخطار الممكنه من أخظاء مقصودة او غير مقصودة
المقدمة:
الأهمية:
إذا بحت بأسرارك للريح فلا تلم الريح إذا باحت بها للأشجار. ...جبران خليل جبران
التوعية هي الخط الأول في الدفاع, وهي الحصن المنيع الذي يحمي المعلومات من التخريب الغير مقصود
واذا ادخل عنصر توضيح الأخطار والعقوبات المترتبه على الأخظاء المقصوده في برامج التوعية سوف تقل عد الأخطاء المقصودة من اعتداءات وهجمات على موارد المؤسسة المعلوماتية
الأهداف:
سوف نتحدث في هذه الورقة عن تعريف التوعية الأمنية, وماهي الفئات المستهدفة بالتوعية, ولماذا نحتاج التوعية الأمنية.
كذلك أهداف برامج التوعية الأمنية, والاستراتيجيات المستخدمة في التوعية, وماهي أهم المفاهيم التي يجب توعية المجتمع بها والأخطار المترتبه على الجهل بهذه المفاهيم سوف نتحدث أيضا عن أهم المشاكل التي تواجة البرامج التوعوية في مجتمعنا.
ماهي التوعية الأمنية:
أن يكون كل فرد على علم ودراية بمسؤوليته تجاه حماية المعلومات والأجهزة التي يستخدمها سواء المعلومات الشخصية أو التابعة لجهة العمل وادراكه التام لأهمية عدم البوح بكلمات المرور او المعلومات الأمنية المهمة في الشركة ومعرفته للأخطار المترتبة على أي من التجاوزات الأمنية وهي تنمية وتعزيز المسؤولية الفردية والفهم الكامل بأهمية تطبيق القواعد الامنية الموضوعة من قبل الجهات العليا والحرص على عدم تجاوزها
تعتبر التوعية الأمنية من أهم خطوط الدفاع وحماية المعلومات والموارد لأنها الأقل تكلفة فقد اثبتت الدراسات أن المبالغ التي تنفق على توعية الموظفين او الناس عموما أقل بكثير من المبالغ التي تصرف على اصلاح الأضرار الناجمة عن تسريب معلومات ووصولها لمتناول أشخاص غير مصرح لهم او حتى تدميرها وتخريبها.
من هم المستهدفين بالتوعية؟
في المؤسسات والمنظمات وحتى الحكومات: الموظفين هم اهم الفئات المستهدفة بالتوعية. لأنهم يمكنهم الاطلاع على معلومات مهمة وحساسة لا يسمح لأحد غيرهم الاطلاع عليها كلُ حسب رتبته ومنصبه الاداري وحاجته لهذه المعلومات.
الأشخاص المعنيين بالبرامج التوعوية في المنظمات؟
1- جميع المستخدمين : معرفتهم بأسس الأمن المعلوماتي
2- المدراء التنفيذيين: معرفتهم بأسس الامن المعلوماتي وتدريبهم على التخطيط والادارة الامنة
3- مدراء التشغيل ومدراء البرامج: أسس الأمن المعلوماتي التخطيط الامن وأمن التطبيقات وادراة المخاطر
4- رئيس مركز تقنية المعلومات والمراقبين وجميع موظفي الأمن المعلوماتي سواء للشبكات او التطبيقات
5- موظفي التشغيل :أسس الامن المعلوماتي
في المجتمع : الأطفال هم من الفئات المستهدفه بالتوعية الامنية لانهم اذا تربوا على احترام القوانين منذ الصغر خفف من تكاليف تعليمهم وتثقيفهم في الكبر. ولأن الخطر الذي يهدد الأطفال مستخدمي الانترنت
كبير لسهولة التغرير بهم واستخلاص معلومات مهمه عن العائلة أو حتى عن معلومات خاصة باحد الأبوين وجهة عمله.
كذلك المستخدمين العاديين للانترنت والشبكات الاجتماعيه من مختلف الفئات العمرية يجب توعيتهم بأهمية حفظ معلوماتهم الشخصية وعدم البوح بأي كلمات مرور حساسة مثل كلمات المرور للحسابات البنكية
الاشخاص ذوي النوايا السيئة من مخربين ومهاجمين للمواقع الالكترونية او الاجهزة الشخصيه يجب توعيتهم بالعقوبات المترتبة على أعمالهم.
وهذا رسم يوضح علاقة احتمال الهجوم بمستوى الوعي
http://coeia.ksu.edu.sa/sites/coeia.ksu.edu.sa/files/1_8.jpg
لماذا نحتاج التوعية الأمنية,وماهي أهميتها؟
قسم أمن المعلومات في الشركة لا يستطيع تحمل جميع الأخطار ومواجهتها بمفردة. كل موظف في الشركة يتحمل جزء من المسؤولية تجاه الأخطار المحتملة ومحاربتها ومنع وقوعها.
ان حفظ الممتلكات الخاصة من معلومات واجهزة شخصية أو في الشركات بحفظ وحماية مراكز البيانات من اهم الامور التي تسعى التوعية الامنية لتحقيقها.كذلك تقليل الخسائر المحتملة من تسرب أي معلومات أو تعديلها أو الاطلاع عليها من قبل أشخاص غير مصرح لهم. وحتى الخطأ المحتمل في استخدام البرامج والتطبيقات يؤثر على المعلومات وصحتها ويزيد نسبة خطر الهجمات على أنظمة الشركة.
ويمكننا القول ان تصرفات الموظفين ذوي الصلاحيات تؤثر تأثير مباشر على المعلومات والأصول التي يجب حمايتها. فبتوعيتنا للموظفين في شركة معينة نزيد درجة الحماية.
إن تصرفات الموظفين الغير واعين من اهم عوامل اختراق المعلومات المهمة لانه باهمالهم لكلمات المرور ووضعها في أي مكان مثلا يجعلها في متناول أشخاص ذوي نوايا سيئه يمكنهم احداث أضرار أو حتى الاطلاع على معلومات حساسة لا يحق لهم الاطلاع عليها وهناك أضرار مترتبه على كشفها.
في المؤسسات والشركات, لكل فئة نوع ودرجة معينه من التوعية فالمدراء وأصحاب السلطة يجب رفع درجة توعيتهم لان المعلومات المصرح لهم الاطلاع عليها أهم واكثر حساسية. وكلما زاد اطلاع الموظف على المعلومات زاد أهمية توعيته بضرورة المحافظة على الامن وخصوصية هذه المعلومات.
ان النمو المتسارع في تقنية المعلومات يزيد في أهمية المحافظة على امن المعلومات ويجعلها من اهم الأدوار في الحياة اليومية. ويجب أن تلفت الانتباه الى أن الأخطار تتزايد وتتعقد مع الأيام لذلك يجب تحديث برامج التوعية والمعلومات والطرق ووسائل الحماية كل فتره لتحقيق الفائدة المرجوه منها.
القوانين في بعض البلدان تنص على وجوب تلقي دوراتمتخصصة في التوعية قبل استخدام أي نوع من الانظمة وكذلك تحديث واعادة تلقي هذه التدريب مره في السنه على الاقل.[2]
وهذه بعض الأسباب الأخرى التي توضح أهمية التوعية الأمنية:
- هناك ثغرات أمنية تهدد مستخدمي شبكة الانترنت او أجهزة الكمبيوتر عموما يجب توعية المستخدمين بها
- اساءة استعمال البريد الالكتروني له آثار واضرار مختلفه
- مشاركة الهوية وكلمة المرور مع أشخاص اخرين
- البرامج المضره مثل الفايروس وهي من أخطر ما يهدد مستخدمي الانترنت
- عدم المحافظة على كلمة السر مثل كتابتها في أماكن واضحة تجعلها في متناول اليد او افصاحها لأشخاص آخرين
- عدم تثقيف الموظفين جيدا عن أهمية حماية المعلومات الخاصة.
- بيئة العمل ضعيفة الحماية مثل المكاتب المشتركة
- التصفح الغير آمن للانترنت والدخول على مواقع مشبوهة
- استخدام البرامج المقرصنة قد يؤثر على امن الاجهزة الشخصية
- استخدام أجهزة تخزين مثل الاقراص الصلبة لا تتوفر بها وسائل الحماية مما يجعل المعلومات المخزنة عليها في خطر
أهداف برامج التوعية الأمنية ووجود سياسات أمنية في الشركات:
الهدف الأساسي من أي برنامج توعوي هو رفع مستوى الوعي في لدى الموظفين وتعديل تصرفاتهم. لا يمكن لنا ان نعدل تصرفات الموظفين لجعلها أكثر امانا وتحملا للمسؤوليه الا اذا هم رغبوا بذلك. لذلك يجب علينا أن نجعلهم يفهموا لماذا الأمن المعلوماتي مهم لهم وللشركات التي يعملون بها. وهذه بعض المفاهيم التي يجب أن ترسخ في الموظفين ويتم التركيز عليها في البرامج التوعوية:
1- ماهو الامن المعلوماتي؟
2- ما هي الاستراتيجية الأمنية للشركة؟
3- ماهي السياسات الأمنية في الشركة وكيف يمكن تطبيقها عمليا في الحياة اليومية؟
4- كيف يؤثر الأمن المعلوماتي على أنشطة الموظفين اليومية؟
5- كيف تؤثر الأخطار الامنيه على نشاط المؤسسة؟
أهم الأصول اللتي يجب حمايتها والحماية تكون بالتوعية
يعتمد الأصل الذي يجب حمايته على نشاط الشركة او المنظمة او الفرد نفسه.
قد يكون كلمات المرور أو المعلومات الشخصية, أو حقوق الأفراد الشخصية وحمايتهم من الهندسة الاجتماعية.
وقد تكون الأجهزة كأجهزة الخوادم في الشركات والحواسيب الشخصيه للموظفين.
استراتيجيات التوعية:
هناك طرق واستراتيجيات مستخدمه عالميا في مجال التوعية عموما وليس في مجال التوعية الأمنية فقط مثل:
- الدورات التدريبية المقامة تحت اشراف أشخاص ذوي خبرة وكفاءة واطلاع على انظمة الشركة نفسها.
- النشرات التي توزع على الموظفين من وقت لآخر لتذكيرهم بما يجب فعله او اجتنابه.
- الاعلانات في الجرائد وعمل تحقيقات وكتابة مقالات لاستهداف شريحة أكبر من الناس.
- البرامج التدريبية المقدمة من خلال الانترنت لسهولة وصولها لأكبر شريحة من الناس وتناسب أوقات فراغهم.
- اجتماعات رسمية وغير رسمية تقسمها الشركات للاعلان عن انظمة وسيايات جديدة.
- كل قسم يكون مسؤول عن وضع اعلانات لموظفيه لتخصيص وتركيز التوعية حسب مجال العمل في هذا القسم؟
- الفعاليات التوعوية مثل وضع اسبوع التوعية الامنية
المفاهيم التي يجب توعية المجتمع بها:
• حفظ كلمات السر وعدم البوح بها لأي شخص كان
• طول كلمة السر يكون 8 واستخدام أحرف وارقام وعدم الاحتفاظ بها في مكان قريب من جهاز الكمبيوتر
• عدم نشر المعلومات الشخصية الا بعد التأكد من هوية الشخص المقابل.
• عدم البوح بأسرار جهة العمل.
• استخدام برامج الحماية غلى الأجهزة للحماية من البرامج الضارة.
• قفل الجهاز عند الابتعاد عنه حتى لا يستخدمه الأخرون بدون علمك.
• الاستخدام الصحيح للشبكات الاجتماعية.
التبليغ السريع عن أي مشكلة مثل فقد كلمة السر لمسؤلين الأمن في الشركة.
المخاطر , وماذا لو لم يكن هناك توعية أمنية:
1- اساءة استخدام النظام خاصة اذا لم يكن له أحقية في الدخول له
2 - الاطلاع على معلومات سرية لا يجب لأحد الاطلاع عليها
3 - الهندسة الاجتماعية وهي التعرض للخداع والغش عن طريق تقمص شخصية أحد افراد المنظمة وسؤال فريق الدعم عن كلمة المرور مثلا. ويكون الشخص لديه بعض المعلومات مثل رقم الهوية.
4 - التجسس على الأشخاص
5 - تعطيل الخدمات المهمة وذلك بتعطيل الخوادم في المنظمة وجعلها غير متوفرة للاستخدام
6 - الخسائر المادية المترتبة على تسرب معلومات تجارية مهمة في الشركات.
أمثلة لبعض الجرائم الحقيقية:
قد لا يتوقع أحد كم الخسائر الناجمة عنه وهو تلك الأعطال و الخسائرفى البرامج والتطبيقات والملفات ونظم العمل الآلية وسرعة وكفاءة شبكات الاتصالوالذى ينجم عن التعرض للفيروسات والديدان مثل ذلك الهجوم الأخير والذى تعرضت لهالحواسب الآلية المتصلة بشبكة الانترنت فى اغلب دول العالم من خلال فيروس يدعى (WS32.SOBIG) والذى أصاب تلك الأجهزة من خلال رسائل البريد الالكتروني بصورة ذكيةللغاية حيث كان ذلك الفيروس يتخفى فى الوثيقة الملحقة بالبريد الالكتروني (Attachment File) فى صورة ملف ذو اسم براق و عند محاولة فتح ذلك الملف فان الفيروسينشط ويصيب جهاز الحاسب و يبدأ فى إرسال المئات من رسائل البريد الالكتروني من ذلكالجهاز المصاب مستخدما كل أسماء حسابات البريد الالكتروني المخزنة عليه. الأمر الذيأدى إلى إصابة عدد هائل من الحواسب الشخصية للأفراد و الشركات و ملء خوادم البريدالالكتروني بتلك الرسائل مثال على ذلك إصابة خوادم البريد الالكتروني لشركة أميركااون لاين بما يقارب ال 20 مليون رسالة ملوثة وأدى ذلك أيضا إلى بطء شبكات و خطوطالاتصال بصورة كبيرة و أحيانا بالشلل التام مما أدى لتعطل الكثير من الأعمال و تلفالعديد من الملفات الهامة على تلك الحواسب وقد قدرت الخسائر الناجمة عن ذلك الفيروسبما يقارب ال 50 مليون دولار اميريكى فى داخل الولايات المتحدة الاميريكيةوحدها.[7]
الخلاصة:
نستخلص مما سبق التالي:
1- ادراك أهمية التوعية الأمنية وأثرها.
2- كلما زادت رتبة الموظف في الشركة زادت المسؤولية على عاتقه في الامن المعلوماتي.
3- هناك خطر حقيقي يهدد المعلومات يجب مواجهته والتصدي له.
4- أن مفهوم التوعية الامنية مفهوم واسع.
المراجع:
[1]http://csrc.nist.gov/organizations/fissea/2006-conference/Lindholm-FISSEA2006.pdf (http://csrc.nist.gov/organizations/fissea/2006-conference/Lindholm-FISSEA2006.pdf)
[2] http://www.nativeintelligence.com/ni-programs/whyaware.asp (http://www.nativeintelligence.com/ni-programs/whyaware.asp)
[3]Five dimensions of information security awareness, Newsletter ,ACM SIGCAS Computers and Society Homepage archive, Volume 31 Issue 2, June 2001
[4]http://it.toolbox.com/blogs/adventuresinsecurity/strengthen-security-with-an-effective-security-awareness-program-8707 (http://it.toolbox.com/blogs/adventuresinsecurity/strengthen-security-with-an-effective-security-awareness-program-8707)
[5] Investigating Information Security Awareness: Research and Practice Gaps, Information Security Journal: A Global Perspective 2008
[6] Researchon software security awareness: problems and prospects, Authors: C. Banerjee, S. K. Pandey
[7] http://www.tashreaat.com/view_studies2.asp?id=591&std_id=90 (http://www.tashreaat.com/view_studies2.asp?id=591&std_id=90)
*** منقول ***
لمتابعة أكثر خارج موقع مسندم.نت...
نرجو زيارة هذا الرابط (( بالضغط هنـــا )) .. (/~moeoman/vb/showthread.php?t=539166&goto=newpost)