إعداد: احمد سلامة الملاجي – نظم معلومات محاسبية – مدقق داخلي لدى هيئة تنظيم النقل البري / الاردن


shutterstock_610811747

   لا شك ان جميع الشركات الصغيره والمتوسطة وكبيره الحجم لديها أنظمة، سواءً المحوسب   منها  أم  اليدوي،  وهذه النظم تقوم بإستخراج كم كبير من المعلومات بعد معالجتها للبيانات علما بأن هذه المعلومات هي المصدر الاساسي لاتخاذ القرار داخل المؤسسة وخارجها، فيجب ان تكون نظم المعلومات  ذات  موثوقية عالية و حتى تكون كذلك،  يجب ان تتصف بخمسة مبادئ رئيسية وهي الأمان، السرية، الخصوصية، تكامل المعالجة  وان تكون متاحة.

te3

الأمان

وهو العنصر الرئيسي لهذه المبادىء. ورغم تعقيد عملية أمن نظم المعلومات وتشعبها والحاجة بها إلى متخصصين في أمن المعلومات، إلا انها قضية الإدارة العليا داخل المؤسسة وليست قضية قسم تكنولوجيا المعلومات فقط، وذلك لأن الإدارة العليا هي الجهة المسؤولة عن دقة البيانات والتقارير التي تصدرها المؤسسة.

نموذج الأمن الزمني

يقوم هذا النموذج بتقييم فعالية أمن المؤسسة من خلال قياس ومقارنة العلاقات بين المتغيرات الثلاثة:

P: الوقت الذي يستغرقه المهاجم لاختراق الضوابط الوقائية للمؤسسة

D: الوقت الذي يُستغرَق للكشف عن   الهجوم.

C: الوقت المستغرق للاستجابة.

إذا كانت P>(D+C)، تعتبر الإجراءات الأمنية فعالة. وإلا فإن اجراءات الأمن تعتبر غير فعالة.

كما يستخدم هذا النموذج للمفاضلة وتقييم التكلفة والمنفعة للضوابط الرقابية على سبيل المثال، اذا كانت مؤسستك سوف تستثمر مبلغ 10,000 وحدة نقدية لتحسين الأمان وكان امامها الخيارات التالية :

  • شراء جدار ناري وسوف يزيد من P مدة 15 دقيقة.
  • تحديث نظام كشف التسلل سوف يقلل من D  مده 18 دقيقة.
    • الخيار الثالث الاستثمار في طريقة جديدة للاستجابة السريعة لعملية الاختراق لتقلل  C مدة 20 دقيقة.

    من المؤكد ان الخيار الثالث وهو الاستثمار في طريقة جديدة سوف يحقق للمؤسسة المنفعة الاكبر مع بقاء العوامل الاخرى على حالها .

     

    الدفاع في العمق

    يتضمن الدفاع بعمق استخدام طبقات متعددة من الضوابط لتجنب وجود ثغرات تعيق عمل النظام او ان يكون عرضة للاختراق بحيث يتضمن أمن الحواسيب استخدام مجموعة من الجدران النارية وكلمات المرور والإجراءات الوقائية والكشفية والتصحيحية الأخرى لتقييد  الوصول للأنظمة والبيانات والاجهزه من اشخاص غير مصرح لهم.

     

    أولاً:الضوابط الوقائية :

    تشمل الانواع  الرئيسية من الضوابط الوقائية المستخدمة لأنظمة المعلومات: تصريح الدخول: يتم في هذا الضابط تحديد الاشخاص المصرح لهم بالدخول للنظام من خلال إمّا اعطاءُه كلمة المرور أو بصمة أو بطاقة الوصول.الصلاحيات: وهي طبقة أخرى من الضوابط الوقائية وفيها يتم اعطاء صلاحيات للدخول للأنظمة الفرعية بعد التأكد من امتلاك تصريح الدخول للنظام الرئيسي، ويجب ان يتم اعطاء الصلاحيات المناسبة حسب الوصف الوظيفي للموظف.و من الضروري وجود مصفوفة الصلاحيات للأنظمة لدى قسم تكنولوجيا المعلومات.التدريب: يجب تدريب الموظفين على كيفية حماية اجهزتهم والحفاظ عليها، كما يجب توعية الموظفين عن الهندسة الاجتماعية واساليبها في الاحتيال على الموظفين.ضوابط الوصول المادّي: وهنا يجب حماية غرفة الخادم الرئيسي (Server) من الدخول غير المصرح له عن طريق بطاقة الدخول او البصمة، كما يجب الحماية من دخول الزوار للمبنى من خلال وضع مرافق للزائر خلال تجواله في مبنى المؤسسة، وحماية الاجهزة من سوء الاستخدام .ضوابط الوصول عن بعد: يوجد عده تقنيات مستخدمة لحماية البيانات والأنظمة من التلاعب ومنها أجهزة التوجيه  (Routers) والجدران

  • النارية (Firewalls) وأنظمة منع التسلل (Intrusion Prevention Systems). ·         الموجِّه الرئيسي: ويستخدم لربط نظام المعلومات بالانترنت.·         الجدران النارية: ويعمل جنبا إلى جنب مع الموجه الرئيسي لتصفية المعلومات في محاولة الدخول او الخروج من نظام المعلومات.بروتوكول TCP/IP: ويستخدم في تراسل
  • Untitled
  • ·         البيانات على شكل حزم عبر الانترنت ومن خلال هذا البروتوكول تحدد مجموعة من القواعد تسمى قائمة التحكم بالوصول (ACL Access Control List) يتم من خلالها تحديد حزمة البيانات التي يتم قبولها والحزم التي يتم رفضها، وهنالك نوع آخر اكثر فاعلية في تصفية البيانات وهو نظام منع التسلل (Intrusion Prevention Systems) .·         الجدران النارية الداخلية: وتستخدم لتقسيم الادارات والاقسام داخل المؤسسة بحيث لا يتمكن قسم أو ادارة معينة بالدخول لأنظمة المعلومات للقسم الآخر.·         وضع الحواسيب الرئيسية مثل حواسيب البريد الالكتروني في شبكة منفصلة  خارج شبكة الشركة.·         وجود إجراءات خاصة لأمان الشبكات اللاسلكية.  التشفير:   يكون التشفير هو الحاجز النهائي في عملية وضع الضوابط الوقائية ويتم من خلاله تحويل البيانات من النصوص المقروءة إلى بيانات غير مقروءة مع إمكانية إرجاع البيانات إلى حالتها الطبيعية عند الحاجة. دور المدقق الداخلي في التأكد من فعالية الضوابط الوقائية: يكمن دور المدقق الداخلي في التأكد من أن الإجراءات والتقنيات تستخدم بفاعلية وكفاءة، على سبيل المثال: طلب من قسم تكنولوجيا المعلومات قائمة عن فتره محددة بجميع العناوين والمواقع التي قامت بالدخول إلى أنظمة المعلومات من خلال الموجه الرئيسي، وكذلك المواقع والعناوين التي تم منعها من الدخول من خلال أنظمة كشف التسلل والجدران النارية، سوف يكون مفيد وخصوصا في حالة ملاحظة تكرار مواقع وعناوين معينة.
  • ثانيا: ضوابط الكشف:لا يوجد هنالك أنظمة وقائية تحمي أنظمة المعلومات بشكل كامل نظراً لتطور اساليب مخترقي البيانات و وجود ثغرات في اي نظام للمعلومات، ومن هنا يجب ان يكون هنالك ضوابط تقوم بالكشف عن اي اختراقات لانظمة المعلومات، فمن خلال ضوابط الكشف يتم الحكم على فعالية أنظمة الضوابط الوقائية.تحليل ملف الحركات Log analysis: وهو ملف يقوم بتسجيل جميع الحركات التي يقوم بها المستخدم من حذف وتعديل واضافة على سجلات قواعد البيانات.

    نظام كشف التسلل (Intrusion Detection Systems (IDS: يقوم بإنشاء سجل للعناوين والمواقع التي مسموح لها المرور إلى الجدار الناري.

    التقارير الإدارية: القيام بعمل تقارير إدراية تشمل مؤشرات الاداء الرئيسية من حيث التوقف عن العمل بسبب الحوادث الامنية و عدد الأنظمة التي تم تركيبها وصيانتها وتطويرها والوقت اللازم للاستجابة للحوادث الامنية التي تم اكتشافها.

    اختبار أمن نظام المعلومات: هنالك العديد من التقنيات التي تستخدم لفحص النظام من الثغرات ونقاط الضعف، حيث يكمن لشخص القيام بمحاولة اختراق نظام المعلومات (شخص مصرح له  او شركة استشارات أمنية) للوقوف على الثغرات ونقاط الضعف ومعالجتها.

    دور المدقق الداخلي في التأكد من فعالية ضوابط الكشف: ان دور المدقق الداخلي في تقييم ضوابط الكشف في التأكد من وجود واعداد التقارير الإدارية وفعالية ملف الحركات، حيث يستطيع المدقق الداخلي طلب كشف محدد من ملف تحليل الحركات والتأكد من ان جميع الحركات في الملف تمت من قبل مستخدمين مصرح لهم، ومطابقة صلاحيات المستخدمين مع مصفوفة الصلاحيات.

    ثالثا: الضوابط التصحيحية:

    وتتضمن التأكد من ان جميع الثغرات والمشاكل التي تم اكتشافها، تم وسوف يتم تصحيحها  ومن هذه الضوابط:

  • فريق الاستجابة للطوارىء الحاسوبية ((Computer Emergency Response Team (CERT)) : التي تتألف من المتخصصين التقنيين وإدارة العمليات، للتعامل مع الحوادث الرئيسية والتي يجب ان تمارس بانتظام:
    • إدراك وجود مشكلة
    • احتواء المشكلة
    • حل المشكلة
    • والمتابعة

    ضابط الأمن الرئيسي (Chief Security Officer) : هو فرد معين مسؤول عن نطاق المؤسسة  الأمني. وينبغي أن يقدم هذا الشخص تقريراً إلى رئيس العمليات أو الرئيس التنفيذي وأن يكون مستقلاً عن وظائف إدارة نظام المعلومات.