المعلوماتية > عام
هل يتناسب أمن المعلومات مع حجمها؟
كانت البيانات الشخصية للأفراد والمؤسسات ورقية غالبًا، ويتم تخزين جميع المعلومات في ملفات مفهرسة. ولكن في وقتنا هذا نجد أكثر من 70% من البيانات الشخصية للأفراد بشكل بيانات إلكترونية، فماذا عن بيانات المؤسسات الكبيرة؟
لا يشكل أمن المعلومات تحديًا كبيرًا مع الحجم المحدود من البيانات التي نحتاج إلى الحفاظ عليها بالنسبة لنا كأفراد، ولكن بالنظر إلى كمية البيانات الهائلة لدى الشركات والمنظمات فإن أمنَ المعلومات ليس برنامجًا يُستخدم بعد حفظ البيانات لتفعيل خاصية الأمن أو مشروعًا يُطبق لمرة واحدة في المؤسسة وحسب، ولكنه عمل متكامل يتألف من مجموعةٍ من الخطوات والمراحل المستمرة في التطور مع زيادة حجم البيانات و زيادة أهميتها ومع تزايد الأخطار المحيطة بها.
تحتاجُ المؤسسات إلى اتخاذ إجراءاتِ حمايةٍ شديدة وعالية الفعالية لتأمين بياناتها الهائلة. ولكن لا يجب أن يكون الدافعُ وراء هذه الإجراءات هو الخوف، وإنما ببساطة هو الحاجة الأكيدة إلى اعتماد هذه الإجراءات لضمان أمن بياناتهم.
وتحديدًا، تحتاج الشركات إلى تطبيق ثلاثة نماذج من إجراءات التحكم بأمن المعلومات:
• الإجراءات الوقائية: إذ أن تأمين البيانات وقائيًا يمنع قراصنة الإنترنت من الوصول إليها، وإن فعلوا، ستكون البيانات عديمةَ الفائدة لأنها ستكون مشفرة أو مربوطة بصلاحيات محدودة لمستخدمين محددين، وبالتالي لن يستطيعَ غيرُ المصرح لهم الوصولَ إلى هذه البيانات. فالبيانات المشفرة لن تكون قابلة للقراءة إلا باستخدام برنامج فك التشفير الخاص بها.
• إجراءات التحقيق: يشمل هذا النوع من الإجراءات البحثَ في التفاصيل غير المعتادة أو الغريبة لبرامج حفظ وتحكم البيانات؛ كمراقبة نشاط قواعد البيانات من خلال كمية المعلومات الواردة والصادرة منها، ثم العمل على تقارير جودة وكفاءة هذه النظم من أجل تحسينها أو لفت النظر إلى الأخطاء والإنذارات وتفادي المشاكل المحتملة. وكمثالٍ فإن كميةَ البيانات الصادرة من مخدِّمات معينة ستكون محدودةً جدًا أو قليلة خارج أوقات العمل، وبالتالي تجب مراقبة أي نشاط زائد لتحرك البيانات خلال هذه الأوقات.
• الإجراءات الإدارية: تتم من خلال تطبيقِ مجموعة من السياسات الإدارية للتحكم بالعمليات والإجراءات الخاصة بأمن المعلومات، مثل التحقق من حساسية البيانات الصادرة وتحليلها من خلال مستخدمين ذوي صلاحيات عالية واستخدام برامج خاصة ومتنوعة وفعّالة لإدارة عمليات تشفير وفك تشفير البيانات.
يقول نيل مندلسون "Neil Mendelson"، نائب رئيس قسم البيانات الكبيرة والتحليلات المتقدمة في شركة أوراكل "Oracle": " تطبيقُ نظامٍ فعال للتحكم بأمن للمعلومات سيعطي أفرادَ المؤسسة أو المتعاملين معها من الداخل أو الخارج الصلاحياتِ اللازمةَ للوصول إلى البيانات والمعلومات المناسبة في الوقت المناسب والمكان المناسب لاستخدامها عند الحاجة إليها".
ويضيف: " فأنظمةُ أمن المعلومات التي تتبع طريقةَ الدفاع في العمق تحمي معلوماتِ وبيانات المؤسسة من خلال تأمينها وتشفيرها سواء خلال مراحل التخزين أو خلال مراحل انتقالها من و إلى قواعد البيانات. كما أنها تعطي المنظماتِ القدرةَ على تحديد المسؤوليات وحماية البيانات الحساسة من دون التأثير على صلاحيات المستخدمين المختلفة للوصول للمعلومات. علاوة على ذلك، تُسهِّل نظم المعلومات المذكورة عملياتِ المراقبة والتدقيق والعمل على تقارير كفاءة عمل أنظمة قواعد البيانات سواء التقليدية منها أو نظم البيانات الكبيرة".
تحتاج المنظمات والمؤسسات الكبيرة إلى تبني بيئة عمل البيانات الهائلة، والتي تحتوي على آليات دخول آمنة لعدد كبير من المستخدمين (باستخدام بروتوكولات"Kerberos" أو "LDAP" و"Apache Sentry project") وآليات مراقبة بيانات يمكن تطبيقها بسهولة خلال تثبيت البرامج.
يقول مندلسون: "لاحظت الشركات والمنظمات أن بيئة البيانات الكبيرة تعمل بشكلٍ أفضلَ عند استخدام كل من التطبيقات التالية مع بعضها البعض:
Hadoop (تطبيق مفتوح المصدر يُستخدم لإدارة أجهزة التخزين والمعالجات في مجموعات من المخدمات).
NoSQL (تكنولوجيا لإنشاء قواعد البيانات بطريقة بعيدة عن الطرق التقليدية التي تستخدم RDBMS).
قواعد البيانات التقليدية ذات الصلات المترابطة.
فمن أجل تحقيق بيئة بيانات كبيرة قوية وناجحة، يجب إيجاد طريقة لدمج هذه التقنيات لتعمل سوية وتشكّل منصة عمل لإدارة البيانات الكبيرة. وفي حال تطبيق هذه المنصة، فإنها تُسهّ إدارة المؤسسة لبياناتها بجعلها متاحة بشكل آمن للأفراد من أجل استخدامها أو تحليلها. كما تتضمن الحفاظ على أمن الأنظمة الضرورية لاستمرار عمل المؤسسة.
وفي النهاية فإن الحفاظ على بيئة البيانات الكبيرة آمنة يتطلب الحفاظ على الضوابط الأمنية التالية:
المصادقة ومنح التراخيص للمستخدمين والتطبيقات وقواعد البيانات.
سماحيات الوصول والإدارة.
تشفير البيانات أثناء التخزين والنقل.
تنقيح وإخفاء البيانات في بيئات اللا إنتاج (non-production).
الفصل بين المسؤوليات والأدوار.
التقليل من السماحيات الممنوحة.
تأمين المعلومات خلال نقلها.
تأمين واجهة التطبيقات البرمجية (API).
المراقبة والتدقيق والإنذار وإعداد التقارير.
المصادر: