أمن وحماية المعلومات
يعني مصطلح أمن وحماية المعلومات ، الذي يُشار إليه باسم Information Security أو بالاختصار InfoSec ، العمليات والأدوات التي تم تصميمها واستخدامها لحماية معلومات الأعمال الحساسة من التعديل والتعطيل والتدمير والتفتيش من قبل الأطراف الخارجية.
ما هو الفرق بين الأمن السيبراني وأمن المعلومات ؟
غالبا ما يتم الخلط بين أمن المعلومات والأمن السيبراني، حيث يعد أمن المعلومات جزءا حيويا من الأمن السيبراني، ومع ذلك، يشير أمن المعلومات حصريا إلى العمليات المصممة لأمان البيانات، بينما يشمل مصطلح الأمن السيبراني عدة جوانب، بما في ذلك أمن المعلومات.
ما هو نظام إدارة أمن المعلومات (ISMS) ؟
نظام ISMS عبارة عن مجموعة من الإرشادات والعمليات التي تم إنشاؤها لمساعدة المؤسسات في سيناريو خرق البيانات، وذلك من خلال وجود مجموعة رسمية من المبادئ التوجيهية والتي تقوم بدورها في مساعدة الشركات على تقليل المخاطر ويمكنها من ضمان استمرارية العمل في حالة تغيير الموظفين، وتعتبر ISO 27001 هي مواصفات معروفة لنظام ISMS.
ما هو نظام حماية البيانات العامة (GDPR) ؟
في عام 2016 م، وافق البرلمان الأوروبي والمجلس الأوروبي على اللائحة العامة لحماية البيانات، وفي ربيع عام 2018 م، بدأ يطلب من الشركات توفير إخطارات خرق البيانات وتعيين ضابط حماية البيانات، ويطلب موافقة المستخدم على معالجة البيانات، ويؤكد على إخفاء البيانات للحفاظ على الخصوصية، والأهم أن جميع الشركات العاملة داخل الاتحاد الأوروبي يجب أن تلتزم بهذه المعايير المحددة.
ما هي الشهادات المطلوبة لوظائف الأمن السيبراني ؟
: تختلف شهادات وظائف الأمن السيبراني من شركة لأخرى، حيث يمكن لبعض الشركات أن تتطلب من مدير أمن المعلومات الرئيسي (CISO) أو مدير أمن المعلومات المعتمد (CISM) تدريب خاص من بائع معين.
بشكل عام، توفر المنظمات غير الربحية مثل “Consortium Certification Certification Information Systems International” شهادات الأمان المعترف بها عالميًا، وتتنوع هذه الشهادات بين “CompTIA Security+” و”Professional Security Information Systems Professional (CISSP).
أنواع أمن المعلومات
أمان التطبيق
أمان التطبيق هو موضوع واسع يغطي نقاط الضعف في البرامج في تطبيقات الويب والهاتف المحمول وواجهة برمجة التطبيقات (APIs)، ويمكن العثور على نقاط الضعف هذه في المصادقة أو تخويل المستخدمين وسلامة الكود والتهيئات والسياسات والإجراءات الناضجة، ويمكن أن تؤدي نقاط الضعف في التطبيق إلى إنشاء نقاط إدخال لعمليات اختراق هامة لأمن المعلومات، ويعتبر أمان التطبيقات جزء هام من الدفاع المحيط لامن المعلومات.
الأمان السحابي
يتركز الأمان السحابي على إنشاء واستضافة التطبيقات الآمنة في البيئات السحابية واستخدام تطبيقات السحاب التابعة لجهات خارجية بشكل آمن. ويشير مصطلح “السحابة” إلى أن التطبيق يعمل في بيئة مشتركة، ولذلك يجب على الشركات التأكد من وجود عزل كافٍ بين العمليات المختلفة في البيئات المشتركة.
التشفير
يساعد تشفير البيانات أثناء نقل البيانات على ضمان سرية البيانات ونزاهتها، وتستخدم التوقيعات الرقمية عادة في التشفير للتحقق من صحة البيانات، وأصبح التشفير ذات أهمية متزايدة، وخير مثال على استخدام التشفير هو معيار التشفير المتقدم AES والذي هو عبارة خوارزمية رئيسية متماثلة تستخدم لحماية المعلومات الحكومية المصنفة.
أمن البنية التحتية
أمان البنية التحتية يتعامل مع حماية الشبكات الداخلية والخارجية والمختبرات ومراكز البيانات والخوادم وأجهزة الكمبيوتر المكتبية والأجهزة المحمولة.
الاستجابة للحادث
تتمثل وظيفة الاستجابة للحوادث في مراقبة السلوك الضار المحتمل والتحقيق فيه. ويجب أن يكون لدى موظفي تكنولوجيا المعلومات خطة استجابة للحوادث للتصدي للتهديدات واحتوائها واستعادة الشبكة. بالإضافة إلى ذلك، يجب أن تتضمن الخطة نظاما للحفاظ على الأدلة لتحليل الطب الشرعي وللتحضير للمحاكمات المحتملة. يمكن أن تساعد هذه البيانات في منع المزيد من الانتهاكات وتساعد الموظفين في اكتشاف المهاجمين.
إدارة نقاط الضعف
إدارة نقاط الضعف تتضمن مسحا بيئيا لنقاط الضعف، مثل البرامج غير المرتبطة، وتحديد أولويات المعالجة بناء على المخاطر، وفي العديد من الشبكات، تضيف الشركات باستمرار التطبيقات والمستخدمين والبنية التحتية وما إلى ذلك، ولهذا السبب من المهم فحص الشبكة بحثا عن نقاط الضعف المحتملة.