لعبت التكنولوجيا الحديثة دورًا كبيرًا في التواصل بين الأشخاص وجعلت العالم الكبير قرية صغيرة؛ حيث ساعدت في توفير الكثير من الآليات التي تُسهم في رفع كفاءة العمل، وتوفير الكثير من البرامج الحاسوبية التي تُساهم في سير المعاملات المالية وما يتعلق بها من رواتب الموظفين والعمال أو دفع الفواتير وغير ذلك، ما يتطلب درجة عالية من الأمان لحماية المعلومات؛ لذلك نتحدث تفصيليًا عن أمن المعلومات وتقييم المخاطر.
قبل البدء في الحديث عن أمن المعلومات وتقييم المخاطر، يجب توضيح مفهوم أمن المعلومات، فهو عبارة عن مجموعة من الإجراءات الوقائية التي يُمكن الاعتماد عليها لمجابهة التحديات أو الجرائم التي تتعرض لها أجهزة الحاسوب، ومن زاوية أخرى يُعرف أمن المعلومات بأنه الوسائل والإجراءات التي يلزم توفيرها لضمان حماية المعلومات من الأخطار الداخلية والخارجية؛ حيث إن هناك أربعة عناصر رئيسية لأمن المعلومات وهي “السرية أو الموثوقية، التكاملية وسلامة المحتوى، استمرارية توفر المعلومات او الخدمة، وعدم إنكار التصرف المرتبط بالمعلومات ممن قام به”.
أمن المعلومات وتقييم المخاطر
في ظل التقدم الهائل الذي تشهده شبكة الإنترنت أصبح بإمكان أي من مستخدمي الشبكة العنكبوتية شراء أي شيء على الإنترنت وحجز تذاكر الرحلات والفنادق وغيرها من الخدمات التي يُمكن إنجازها من خلال الدفع باستخدام بطاقات الائتمان؛ لذا فالشركات التي تتيح لنا كل هذه الخدمات تحتاج إلى نظام أمني قوي لحماية المعلومات والبيانات من المخاطر التي قد تتعرض لها؛ حيث تُعتبر إدارة المخاطر من أكثر المجالات الاستراتيجية المتطورة التي يُمكن الاعتماد عليها في مجال حماية المعلومات، وتتمثل مهمتها في تحديد وتقييم أهم مخاطر المعلومات للشركة أو المؤسسة بشكل موضوعي، ومدى كفاية أدوات التحكم في المخاطر المستخدمة لزيادة كفاءة وربحية الأنشطة الاقتصادية للشركة.
أمن المعلومات
ويساعد نظام إدارة المخاطر بشكل كبير في حماية المعلومات بمختلف أنواعها ومجالاتها، والتي تتضمن الرقمية والبيانات المخزنة على الأجهزة أو السحابة وحقوق الملكية الفكرية وأسرار المؤسسات أو المنظمات وكذلك التعاملات المالية الإلكترونية، كما يُساهم في زيادة القدرة على مواجهة الهجمات الإلكترونية التي يُنفذها بعض المنتحلين الإلكترونيين، وكذلك الاستجابة لتهديدات الأمن المتطورة؛ من خلال التكيّف المستمر مع التغييرات في البيئة داخل وخارج المنظمة.
إدارة أو تقييم المخاطر
وتتمثل عملية تقييم أو إدارة مخاطر نظم المعلومات في تحديد موجودات الشركة المادية وغير المادية والتي من الممكن أن تتعرض لأي تهديد مباشر وغير مباشر، وتحديد المخاطر التي من الممكن أن تتعرض لها ممتلكات الشركات الممنوعة من الوصول لضرر أكبر من غيرها، بالإضافة إلى تحديد مستوى الأثر الذي من الممكن أن تحدثه المخاطر أو التهديدات؛ حيث إن هناك اتجاهان لتقييم الأثر الناتج عن المخاطر التي قد تتعرض لها المعلومات أو البيانات الخاصة بالمؤسسات أو المنظمات وهما “كمي، نوعي”.
وتنقسم مصادر التهديدات التي تتعرض لها بيانات الشركات إلى “تهديدات داخلية، تهديدات خارجية”، وتكمن الأولى في التهديدات التي تأتي من داخل الشركة؛ من خلال العاملين فيها الذين يطلعون على أنشطتها ويعملون كجزء من أنظمة معلوماتها، ويقومون باستخدامها في تحقيق مصالح معينة، فإذا عرف أحد الموظفين غير المخولين كلمة المرور الخاصة بأحد أنظمة المعلومات ثم قام بالدخول إلى النظام فقد تتعرض المنظمة حينها للتهديد ويتم تسريب المعلومات لأغراض وأهداف معينة.
والنوع الثاني من التهديدات يأتي من خارج الشركة، وتكمن خطورته في صعوبة معرفة هوية المخترق، وأهدافه من وراء هذا الاختراق، وتتمثل هذه التهديدات في البرمجيات التي من الممكن أن تشمل حذف البرنامج أو سرقة البيانات، أو حتى ضرب البرامج والأجهزة بالفيروسات.