مقالات وتدوينات
(0)

مكّمن الخلل (1) – الخطر من الداخل!

1,300 قراءة
0 تعليق
alt
التصنيف مقالات وتدوينات
وقت النشر
2018/09/15
الردود
0

كان لي زيارة في وقت سابق هذه السنة لإحدى الدوائر الحكومية التي لها شأن في تطبيق معايير الأمن بشكل عام وأمن المعلومات بشكل خاص، حيث يلاحظ مدى المستوى العالي من تطبيق معايير أمن المعلومات، ومدى التجهيز العالي والكفاءه العالية في المعدات والوسائل. وهذا يعكس بلا شك اهتمام مسؤولي أمن المعلومات في تلك الدائرة على المعلومة وسريتها وسبل حمايتها بشكل يدعو للفخر والإطمئنان. المثير في هذه الزيارة هو انني وصلت الى مسؤول في إحدى ادارات هذه الدائرة الحكومية لغرض ما، وعندما جلست في المقعد المخصص للزوار في الجهة المقابلة له رأيت التالي: جهاز حاسب آلي وبالطبع مرتبط بالشبكة العامة لهذه الدائرة ورقه ملصقة على الحائط بجوار الشاشة بشكل يمكن مشاهدتها عفوياً وبدون أي قصد ومكتوب بها التالي o اسم المستخدم ( (User Name : XXXXX o الرقم السري (Password): XXXXX هكذا بكل بساطه!!! كان هذا بمثابة الصدمة لي كمختص في أمن المعلومات، والحقيقة انني نسيت الغرض الذي قدمت من أجله و تشتت تفكيري في كيفية إخبار هذا المسؤول بهذا الخطأ بشكل مهذب لا يثير حفظيته، لكن للاسف لم اوفق في ذلك. لا ألوم المسؤول الفاضل بهذا الخطأ، فهو بلا شك كفاءة في مجال عمله لكن الملامه تقع على الجهة المسؤولة عن أمن المعلومات، فرغم كل الإحتياطات الأمنية التي قامت بها هذه الدائرة الحكومية لحماية المعلومات إلا انها غفلت عن جانب مهم جداً وهو برامج توعية الموظفين والعاملين لديها في مجال أمن المعلومات أو ربما قامت به لكنه لم يكن بالشكل الكافي كبرامج Information Assurance Awareness Training هذا هو مكمن الخلل، وهو عندما يأتي الخطر من الداخل، من الموظف نفسه، بسبب عدم تدريبه التدريب الكافي. مهما قامت الدوائر الحكومية من إجراءات حماية عالية جداً ودفعت بها الملايين من الريالات ألا ان الحلقة الأمنية المعلوماتيه لا تكتمل مالما يتم توعيه الموظفين بأهمية المعلومة وخطر التهاون بها على الأمن الوطني، سواء على مستوى الجماعات الإرهابية او من جانب دول معاديه او من جوانب اُخرى. من الضروري جداً، ان يتم تدريب الموظف على طريقه التعامل الآمنه مع المعلومات حسب اهميتها وان يوضح له كيف أن المعلومة الصغيرة التي لا يلقي لها بالاً قد تستخدم في علميات كبيره جداً من قبل مخترقين كالمهندسين الاجتماعيين Social Engineeringعلى سبيل المثال. ختاماً، اتمنى أن هناك من قام بتوعيه هذا المسؤول بالخطأ ويؤسفني أنني لم أتمكن من ذلك.

التعليقات (0)

قم بتسجيل الدخول لتتمكن من إضافة رد