الإجراءات و العمليات المهمة في أمن المعلومات

لا شك أن نشر أنظمة و أجهزة الحماية التقنية في أي منظمة سوف يساهم كثيراً من تقليل المخاطر و التهديدات و التي قد ينتج عنها الكثير من الخسائر. و لكن الحقيقة أن غياب الإدارة الصحيحة الآمنة لهذه الأنظمة تعد ثغرة أمنية خطيرة و قد تسهل للمخترقين الوصول إلى أهدافهم التخريبية. لذلك في هذا المقال سوف نتحدث عن بعض العمليات و الإجراءات المهمة و التي تعتبر جزء مهم جدا في إدارة أمن المعلومات و غيابها هو غياب كبير بالجانب الأمني و هي كالاتي: إدارة ضبط الإعدادات (Configuration Management) دائما ما يلجأ محترفي التقنية إلى إنشاء Baseline لكل نظام أو جهاز داخل المنظمة. و المقصود هنا ب (Baseline) هي شروط و معايير يجب تطبيقها على كل نظام أو جهاز قبل نشرها أو تركيبها داخل شبكة المنظمة. و من منظور اخر، هذا هو المعني به هنا بإدارة ضبط الإعدادات و الذي تهدف إلى توحيد جميع الإعدادات بشكل عام على جميع الأنظمة و الأجهزة المتشابهة مع ضمان تطبيق الحد الأدنى من المعايير الأمنية و التي تقلل من احتمالية وقوع المخاطر. مثال، تخيل أن هناك معايير خاصة لأجهزة البنية التحتية الشبكية للمنظمة و التي تشير إلى منع استخدام برتوكولات Telnet و SNMPv1 و يجب تسمية الجهاز وفق طريقة معينه و أيضا حذف جميع الإعدادات الإفتراضية و يسمح فقط بإستخدام برتوكول SSH لإدارة هذه الأجهزة عن بعد. وأيضا تخيل أن هذه المعايير هي مرجع لإدارة أمن المعلومات للتأكد من أن جميع المتطلبات الأمنية مطبقة قبل تركيب و نشر هذه الأنظمة والأجهزة، أعتقد أن هذا الإجراء ناجح على مستوى إدارة الأنظمة و إدارة أمن المعلومات. مثال اخر، توحيد جميع الإعدادات على الأجهزة المكتبية على مستوى المنظمة على شكل (Image) نضمن من خلالها تركيب مكافح الفيروسات و الصلاحيات المحددة و أيضا جميع الأنظمة التي يحتاجها الموظفين. صدقاً هو إجراء رائع لتسهيل العمل و الحفاظ على أمن المعلومات. إدارة التغييرات (Change management) إدارة التغيير هي لضبط عمليات التغيير الروتينية التي تحدث على الأنظمة بشكل عام، فعمليات التغيير على إعدادات أنظمة المنظمة و أجهزتها بشكل غير مصرح قد تؤدي إلى كوارث. فبعض المبرمجين يلجأ إلى تغيير الكود البرمجي لنظام ما بدون إذن مسبق و أيضا بدون عمل إختبار للكود و قد يؤدي ذلك إلى تعطل الأنظمة أو إلى إختراق أمني بشكل مقصود أو غير مقصود. فكثيراً ما نسمع أن أحد المبرمجين في منظمة ما أضاف كود خبيث لنظام ما بقصد الإختراق ومن ثم الإنتقام. في المنظمات عادة ما تكون هناك مجموعة تسمى Change advisory board (CAB) و مهامها هو دراسة طلب أي تغيير و تحديد أهدافه و تقييمه من حيث الفوائد و المخاطر و عمل جدوله لتنفيذ التغير في حال تمت الموافقة و من ثم توثيقه في ملف الإعدادات و هي الطريقة السليمة لتجنب المخاطر. إدارة التحديثات (Patch management) يُعنى بإدارة عملية التحديثات الأمنية هو العمل على تحديث جميع الأنظمة و البرامج و أيضا الأجهزة الشبكية باخر التحديثات لحل مشاكل الثغرات المعروفة مسبقا و بشكل دوري مما يساعد كثيرا لتجنب مخاطر الإختراقات. فهناك أدوات تساعد على إدارة التحديثات و أشهرها (WSUS, SCCM) وهي منتجات من شركة مايكروسوفت و مخصصة لتحديث منتجاتها و أيضا هناك أدوات أخرى لتشمل تحديث أنظمة مايكروسوفت و الأنظمة الأخرى. عادة ما يتم إختبار التحديث أولاً على البيئة الإختبارية (Test Environment) و بعد التأكد من خلوها من المشاكل يتم تطبيقها على البيئة الإنتاجية (production Environment) . وأيضا قبل البدء بالتحديث يتم تمرير طلب التحديث عن طريق إدارة التغيير التي تحدثنا عنها مسبقا للحصول على الموافقة واختيار الوقت المناسب لتطبيق التحديث. إدارة الثغرات (Vulnerability Management) في إدارة الثغرات دائما ما يلجأ مختصي أمن المعلومات لإستخدام أدوات مخصصة للبحث عن الثغرات في جميع الأنظمة و البرامج و الأجهزة و الأنظمة الشبكية لكي يتم تحديثها عبرة برامج و أدوات إدارة الثغرات أو إقفالها. فهناك أدوات مشهورة كـ nexpose و nessus و هي ليست مجانية. أيضا هناك أداة مجانية من شركة مايكروسوفت للبحث عن الثغرات في أنظمتها و تعرف بـ أداة MBSA و يمكن تحميلها من موقع الشركة. و في الأخير، نود أن نُذكر بأن أمن المعلومات لا يقتصر فقط على الجانب التقني و لكن يجب أن تُأُخذ بالإعتبار الإدارة (الإجراءات و العمليات) الصحيحة الآمنة لهذه الأنظمة. و أحب أن أنوه بأن هناك أيضا جوانب أخرى “كالأمن الفيزيائي” و عمليات و إجراءات أخرى لم نتطرق لها في هذا المقال و قد نتطرق لها في المستقبل.