-

ما هو أمن المعلومات؟ التعريف والمبادئ ومجالات

(اخر تعديل 2024-09-09 11:26:08 )

أمن المعلومات هو مجموعة من الممارسات التي تهدف إلى الحفاظ على البيانات آمنة من الوصول غير المصرح به. فيما يلي نظرة عامة على تعريف ومبادئ أمن المعلومات, بالإضافة إلى مجالات العمل والدورات المتعلقة بتخصص أمن المعلومات.

المحتويات:

1. ما هو أمن المعلومات؟

2. أمن المعلومات والأمن السيبراني.

3. مبادئ أمن المعلومات.

4. سياسات وتدابير أمن المعلومات.

5. مجالات العمل.

1. ما هو أمن المعلومات؟

أمن المعلومات Information Security والذي يختصر أحياناً إلى Infosec, هو عبارة عن مجموعة من الممارسات التي هدف إلى الحفاظ على البيانات آمنة من الوصول أو التعديلات غير المصرح بها. وذلك سواء عند تخزينها أو نقلها من جهاز إلى آخر.

قد يشار إلى أمن المعلومات في بعض الأحيان على أنه أمن البيانات, ونظراً إلى أن المعرفة أصبحت واحدة من أهم الأصول في زماننا, فقد أصبحت الجهود المبذولة للحفاظ على سلامة المعلومات ذات أهمية كبيرة.

يمكن تعريف أمن المعلومات على أنه “العمليات والمنهجيات التي تم تصميمها وتنفيذها لحماية المعلومات المطبوعة أو الإلكترونية أو أي شكل آخر من المعلومات أو البيانات السرية والخاصة والحساسة من الوصول غير المصرح به, أو سوء الإستخدام أو الإفشاء أو التدمير أو التعديل أو التعطيل.”

2. أمن المعلومات والأمن السيبراني.

نظراً لأن تكنولوجيا المعلومات أصبحت من الأمور الأساسية لدى الشركات, والتي تعني بشكل أساسي أجهزة الحاسوب والأشياء المتعلقة بها. فسترى في بعض الأحيان استخدام مصطلحات أمن المعلومات والأمن السيبراني بالتبادل.

لكن الأمن السيبراني هو الممارسة الأوسع للدفاع عن أصول تكنولوجيات المعلومات من الهجمات. وأمن المعلومات هو تخصص محدد تحت مظلة الأمن السيبراني.

يمكنك معرفة المزيد عن الأمن السيبراني من هنا: ما هو الأمن السيبراني (Cybersecurity)؟

3. مبادئ أمن المعلومات.

غالباً ما يتم تلخيص المكونات الأساسية لأمن المعلومات بثلاثة عناصر أساسية, وهي السرية والنزاهة والتوافر.

السرية.

عند التفكير في أمن المعلومات, ربما تكون السرية هي أول ما يتبادر إلى الإذهان. تكون البيانات سرية عندما لا يتمكن من أحد من الوصول إليها سوى الأشخاص المصرح لهم بالوصول إليها.

ولضمان سرية المعلومات والبيانات, يجب معرفة الأشخاص الذين يحاولون الوصول إلى البيانات وحظر المحاولات التي تتم من قبل الأشخاص الذين ليس لديهم تصريح للوصول. وتعتبر كلمات المرور والمصادقة الثنائية والدفاع ضد هجمات الإختراق من التقنيات المصممة لضمان السرية.

النزاهة.

تعني النزاهة الحفاظ على البيانات في حالتها الصحيحة ومنع تعديلها بشكل غير صحيح, سواء عن طريق الصدفة أو بنوايا ضارة.

تعتبر التقنيات التي تتعلق بحماية السرية, والتي ذكرناها سابقاً, من الأدوات التي تضمن سرية البيانات أيضاً, فهي تمنع الأشخاص غير المصرح لهم بالوصول إلى البيانات وتعديلها.

لكن يوجد هنالك أدوات أخرى تساعد في توفير دفاع أكثر عمقاً للحفاظ على نزاهة البيانات, مثل المجاميع الإختبارية وبرامج التحكم في الإصدارات والنسخ الإحتياطي. فهذه الأدوات تساعد على حماية واستعادة البيانات في حال تعرضها إلى تعديلات غير شرعية.

التوافر.

التوافر هو صورة طبق الأصل عن السرية, بينما توجد هنالك حاجة إلى التاكد من أنه لا يمكن الوصول إلى البيانات من قبل مستخدمين غير مصرح لهم, هنالك حاجة أيضاً إلى التأكد من إمكانية الوصول إليها من قبل الأشخاص الذين يمتلكون صلاحية الوصول إليها.

يعني ضمان توافر البيانات مطابقة موارد الشبكة والحوسبة مع حجم الوصول إلى البيانات المتوقع وتنفيذ سياسة نسخ إحتياطي جيدة لأغراض التعافي من المشاكل في حال حدوثها.

إقرأ أيضاً… ما هو التصيد الإحتيالي (Phishing)؟ كيف يعمل, وكيف يمكن تجنبه؟

4. سياسات وتدابير أمن المعلومات.

السياسات الأمنية هي الوسائل التي تتخذها الشركات لتطبيق مبادئ أمن المعلومات, وهي ليست أجهزة أو برامج معينة. بل هي مستندات وخطط تضعها الشركات بناء على احتياجاتها الخاصة.

ويتم وضع هذه السياسات لتحديد البيانات التي يجب حمايتها, كما يتم تحديد الطريقة التي ستتم بها حماية البيانات. تقوم هذه السياسات بتوجيه قرارات المؤسسة بشأن شراء أدوات وبرامج الأمن السيبراني, وكذلك تفويض سلوكيات وصلاحيات الموظفين ومسؤولياتهم.

ومن السياسات المتعلقة بأمن المعلومات, والتي يجب على الشركات تبنيها:

  • وصف الغرض من برنامج أمن الملعومات والأهداف الخاصة والعامة المتعلقة به.
  • تعريف المصطلحات الأساسية المستخدمة لضمان فهمها بشكل مشترك من قبل الجميع.
  • تحديد سياسة التحكم في الوصول, وتحديد الأشخاص الذين يمتلكون حق الوصول.
  • سياسات كلمات المرور.
  • دعم البيانات وخطة العمليات للتأكد من أن البيانات متاحة لمن يمتلك حق الوصول.
  • تحديد أدوار ومسؤوليات الموظفين الذين يعملون على حماية البيانات.

تدابير أمن المعلومات.

يمكن اعتبار جميع التدابير التقنية المرتبطة بالأمن السيبراني متعلقة بأمن المعلومات إلى حد ما, لكن من المفيد التفكير في هذه التدابير بطريقة أكثر شمولية بحيث تشمل:

  • الإجراءات الفنية, مثل الأجهزة والبرامج التي تحمي البيانات مثل برامج التشفير وجدران الحماية.
  • الإجراءات التنظيمية, مثل إنشاء قسم مخصص لأمن المعلومات.
  • التدابير البشرية, مثل توفير تدريب توعوي للمستخدمين حول طرق الممارسة الصحيحة.
  • التدابير المادية, مثل التحكم في الوصول إلى مواقع المكاتب والخوادم ومراكز البيانات.

5. مجالات العمل.

مع توجه الشركات نحو التطبيقات والبرمجيات الحاسوبية والإلكترونية, أصبح هنالك طلب متزايد على وظائف أمن المعلومات. حيث أنه يوجد هنالك العديد من مجالات العمل مثل:

  • محلل أمن المعلومات (Information security analyst).

يتعامل عادة مع حماية المعلومات من الفقدان والتهديدات الخارجية والداخلية. والتي تشمل متابعة معلومات الأمان وإدارة الأحداث وتحليلات سلوك المستخدم ونظام كشف التسلل واختبارات الإختراق ومراقبة الوصول إلى الأمان وعمليات التدقيق الأمنية الداخلية والخارجية.

  • أخصائي أمن المعلومات (Information security specialist).

يسمى أيضاً بأخصائي أمن الحاسوب أو أخصائي الأمن السيبراني. ويكون دوره مشابهاً لمحلل أمن المعلومات. لكن عادة ما يكون دوره محدوداً, ويكون في مراقبة أنظمة الأمان واختبارها واكتشاف الأخطاء وإصلاحها.

  • مستشار أمني (Security consultant).

يكون المستشار الأمني محترفاً ذو خبرة, وعادة ما يكون متخصصاً في مجال واحد أو أكثر من مجالات الأمن السيبراني. يعمل بعضهم بشكل مستقل, كما يعمل البعض منهم كموظفين في شركات استشارية.

  • مهندس أمن معلومات (Information security engineer).

ويسمى أيضاً بمهندس الأمن السيبراني أو مهندس أمن الحاسوب. ويعتبر هو منشئ ومصمم البنية التحتية الأمنية للنظام. وتشمل مسؤولياته تطوير خطط وسياسات الأمان ووضع استراتيجيات للإستجابة للحوادث والتعافي, وتطوير أدوات الأمان وإجراء عمليات مسح دورية للشبكة واختبارات الإختراق وقيادة الإستجابة للحوادث.

  • مدير أمن المعلومات (Information security manager).

يقود بتنفيذ السياسات والتدريب وجهود التدقيق عبر المؤسسة. وقد يقوم بمراجعة تطبيقات الأمان وقيادة التحقيقات في حال حدوث اختراق للنظام. كما يقوم بالتنسيق مع الأقسام والإدارات الأخرى داخل المؤسسة.

  • مهندس أمن تكنولوجيات المعلومات (IT security architect).

يعتبر مهندس أمن تكنولوجيا المعلومات من الأشخاص الذين يمتلكون معرفة أمنية متقدمة ويفهم الأعمال والبنية التحتية لتكنولوجيا المعلومات. يسمح هذا الأمر له بالتخطيط والتحليل والتصميم والتكوين والإختبار والتنفيذ والصيانة والدعم بشكل فعال للبنية التحتية لأنظمة أمن الحاسوب والشبكات داخل المؤسسة.

دورات تدريبية في مجال أمن المعلومات.

يوجد هنالك العديد من الشهادات والدورات التدريبية المعتمدة في مجال وتخصص أمن المعلومات, ومنها:

  • ممارس معتمد لأمن الأنظمة (SSCP).

Systems Security Certified Practitioner (SSCP)

  • محترف الإنترنت المعتمد (CCP).

Certified Cyber Professional (CCP)

  • أخصائي أمن نظم المعلومات المعتمد (CISSP).

Certified Information System Security Professional (CISSP)

  • الهاكر الأخلاقي المعتمد (CEH).

Certified Ethical Hacker (CEH)

  • التدريب المعتمد من GCHQ (GCT).

GCHQ Certified Training (GCT)

يمكنك الحصول على العديد من الدورات التدريبية المتعلقة بهذا المجال من خلال موقع (edX). حيث أنه يحتوي على العديد من الدورات المجانية والمدفوعة.