تدقيق أمن المعلومات
تُعدّ مراجعة أمن المعلومات عملية تقييم لمستوى أمن المعلومات في المؤسسة. وهي عبارة عن مراجعة وفحص مستقلين لسجلات النظام والأنشطة والوثائق ذات الصلة. وتهدف هذه المراجعات إلى تحسين مستوى أمن المعلومات، وتجنب التصاميم غير السليمة لأمن المعلومات، وتحسين كفاءة إجراءات الحماية الأمنية وعمليات الأمن. [ 1 ]
ضمن النطاق الواسع لتدقيق أمن المعلومات، توجد أنواع متعددة من عمليات التدقيق، وأهداف مختلفة لكل عملية تدقيق، وما إلى ذلك. ويمكن تصنيف الضوابط التي يتم تدقيقها عادةً إلى ضوابط فنية ، ومادية، وإدارية . ويغطي تدقيق أمن المعلومات مواضيع تتراوح من تدقيق الأمن المادي لمراكز البيانات إلى تدقيق الأمن المنطقي لقواعد البيانات، مع تسليط الضوء على المكونات الرئيسية التي يجب البحث عنها والأساليب المختلفة لتدقيق هذه المجالات.
عند التركيز على جوانب تكنولوجيا المعلومات في أمن المعلومات، يمكن اعتبارها جزءًا من تدقيق تكنولوجيا المعلومات . وغالبًا ما يُشار إليها حينها بتدقيق أمن تكنولوجيا المعلومات أو تدقيق أمن الحاسوب. مع ذلك، يشمل أمن المعلومات جوانب أوسع بكثير من تكنولوجيا المعلومات.
عملية التدقيق
الخطوة 1: التقييم الأولي للتدقيق
يتحمل المدقق مسؤولية تقييم مستوى النضج التكنولوجي الحالي للشركة خلال المرحلة الأولى من التدقيق. تُستخدم هذه المرحلة لتقييم الوضع الراهن للشركة وتساعد في تحديد الوقت والتكلفة والنطاق اللازمين للتدقيق. أولًا، يجب تحديد الحد الأدنى من متطلبات الأمان: [ 2 ]
- سياسة ومعايير الأمن
- الأمن التنظيمي والشخصي
- الاتصالات والعمليات وإدارة الأصول
- الأمن المادي والبيئي
- التحكم في الوصول والامتثال
- تطوير وصيانة أنظمة تكنولوجيا المعلومات
- إدارة حوادث أمن تكنولوجيا المعلومات
- إدارة التعافي من الكوارث واستمرارية الأعمال
- إدارة المخاطر
الخطوة الثانية: التخطيط والإعداد
ينبغي على المدقق تخطيط عملية تدقيق الشركة بناءً على المعلومات التي تم الحصول عليها في الخطوة السابقة. يساعد تخطيط عملية التدقيق المدقق على الحصول على أدلة كافية ومناسبة لظروف كل شركة على حدة. كما يساعد على توقع تكاليف التدقيق بمستوى معقول، وتخصيص الموارد البشرية والجدول الزمني المناسبين، وتجنب سوء الفهم مع العملاء. [ 3 ]
ينبغي أن يكون المدقق على دراية كافية بالشركة وأنشطتها التجارية الحيوية قبل إجراء مراجعة لمركز البيانات. يهدف مركز البيانات إلى مواءمة أنشطته مع أهداف الشركة مع الحفاظ على أمن وسلامة المعلومات والعمليات الحيوية. ولتحديد ما إذا كان هدف العميل يتحقق على النحو الأمثل، ينبغي على المدقق القيام بما يلي قبل إجراء المراجعة:
- اجتمع مع إدارة تقنية المعلومات لتحديد المجالات المحتملة التي قد تثير القلق.
- راجع المخطط التنظيمي الحالي لقسم تكنولوجيا المعلومات
- مراجعة توصيفات وظائف موظفي مركز البيانات
- ابحث في جميع أنظمة التشغيل وتطبيقات البرامج ومعدات مركز البيانات العاملة داخل مركز البيانات
- مراجعة سياسات وإجراءات تكنولوجيا المعلومات الخاصة بالشركة
- تقييم ميزانية تكنولوجيا المعلومات ووثائق تخطيط الأنظمة الخاصة بالشركة
- راجع خطة استعادة البيانات في حالات الكوارث لمركز البيانات
الخطوة الثالثة: تحديد أهداف التدقيق
في الخطوة التالية، يحدد المدقق أهداف التدقيق بعد إجراء مراجعة لمركز بيانات الشركة. يدرس المدققون عوامل متعددة تتعلق بإجراءات وأنشطة مركز البيانات، والتي قد تحدد مخاطر التدقيق في بيئة التشغيل، ويقيّمون الضوابط المطبقة للتخفيف من هذه المخاطر. بعد إجراء اختبارات وتحليلات شاملة، يتمكن المدقق من تحديد ما إذا كان مركز البيانات يطبق الضوابط المناسبة ويعمل بكفاءة وفعالية.
فيما يلي قائمة بالأهداف التي ينبغي على المدقق مراجعتها:
- إجراءات ومسؤوليات شؤون الموظفين، بما في ذلك الأنظمة والتدريب متعدد الوظائف
- توجد عمليات إدارة التغيير ويتم اتباعها من قبل موظفي تكنولوجيا المعلومات والإدارة.
- توجد إجراءات نسخ احتياطي مناسبة لتقليل وقت التوقف ومنع فقدان البيانات المهمة
- يتمتع مركز البيانات بضوابط أمنية مادية كافية لمنع الوصول غير المصرح به إلى مركز البيانات
- توجد ضوابط بيئية كافية لضمان حماية المعدات من الحرائق والفيضانات.
الخطوة الرابعة: إجراء المراجعة
تتمثل الخطوة التالية في جمع الأدلة اللازمة لتحقيق أهداف تدقيق مركز البيانات. يتضمن ذلك زيارة موقع مركز البيانات ومراقبة العمليات داخله. ينبغي اتباع إجراءات المراجعة التالية لتحقيق أهداف التدقيق المحددة مسبقًا:
- موظفو مركز البيانات – يجب أن يكون جميع موظفي مركز البيانات مخولين بالدخول إليه (بطاقات دخول، معرفات تسجيل دخول، كلمات مرور آمنة، إلخ). يجب أن يكون موظفو مركز البيانات على دراية كافية بمعدات المركز وأن يؤدوا مهامهم على أكمل وجه. يخضع موظفو خدمة الموردين للإشراف أثناء عملهم على معدات مركز البيانات. ينبغي على المدقق مراقبة موظفي مركز البيانات وإجراء مقابلات معهم لتحقيق أهدافه.
- المعدات – يجب على المدقق التحقق من أن جميع معدات مركز البيانات تعمل بشكل سليم وفعال. وتساعد تقارير استخدام المعدات، وفحصها للتأكد من سلامتها وكفاءتها، وسجلات توقف النظام، وقياسات أداء المعدات، المدقق على تحديد حالة معدات مركز البيانات. بالإضافة إلى ذلك، ينبغي على المدقق إجراء مقابلات مع الموظفين للتأكد من وجود سياسات الصيانة الوقائية وتطبيقها.
- السياسات والإجراءات – يجب توثيق جميع سياسات وإجراءات مركز البيانات ووضعها في مركز البيانات. تشمل الإجراءات الموثقة المهمة مسؤوليات موظفي مركز البيانات، وسياسات النسخ الاحتياطي، وسياسات الأمن، وسياسات إنهاء خدمة الموظفين، وإجراءات تشغيل النظام، ونظرة عامة على أنظمة التشغيل.
- الأمن المادي / الضوابط البيئية - يجب على المدقق تقييم أمن مركز بيانات العميل. يشمل الأمن المادي حراسًا شخصيين، وأقفاصًا مقفلة، وحواجز أمنية، ومداخل فردية، ومعدات مثبتة بإحكام، وأنظمة مراقبة حاسوبية. بالإضافة إلى ذلك، يجب تطبيق ضوابط بيئية لضمان أمن معدات مركز البيانات. وتشمل هذه الضوابط وحدات تكييف الهواء، وأرضيات مرتفعة، وأجهزة ترطيب، ووحدة تزويد طاقة غير منقطعة .
- إجراءات النسخ الاحتياطي – يجب على المدقق التحقق من وجود إجراءات نسخ احتياطي لدى العميل في حالة تعطل النظام. قد يحتفظ العملاء بمركز بيانات احتياطي في موقع منفصل يسمح لهم بمواصلة العمليات فورًا في حالة تعطل النظام.
الخطوة الخامسة: إعداد تقرير التدقيق
بعد اكتمال عملية التدقيق، يمكن إبلاغ أصحاب المصلحة المعنيين بنتائج التدقيق واقتراحات الإجراءات التصحيحية في اجتماع رسمي. يضمن ذلك فهمًا أفضل وتوصياتٍ داعمة، كما يتيح للمنظمة الخاضعة للتدقيق فرصةً للتعبير عن آرائها بشأن القضايا المطروحة.
إن كتابة تقرير بعد هذا الاجتماع، مع توضيح أوجه الاتفاق التي تم التوصل إليها بشأن جميع مسائل التدقيق، من شأنه أن يعزز فعالية التدقيق بشكل كبير. كما تساعد اجتماعات الختام على وضع توصيات نهائية عملية وقابلة للتنفيذ. [ 4 ]
الخطوة السادسة: إصدار تقرير المراجعة
ينبغي أن يلخص تقرير مراجعة مركز البيانات نتائج المدقق وأن يكون مشابهاً في تنسيقه لتقرير المراجعة القياسي. ويجب أن يُؤرَّخ التقرير بتاريخ انتهاء تحقيق المدقق وإجراءاته. كما ينبغي أن يوضح التقرير ما تضمنته المراجعة، وأن يُبين أن المراجعة لا تُقدم سوى "تأكيد محدود" للأطراف الثالثة.
عادةً، يجمع تقرير مراجعة مركز البيانات جميع نتائج التدقيق. كما يقدم توصيات بشأن التطبيق السليم لإجراءات الحماية المادية، وينصح العميل بشأن الأدوار والمسؤوليات المناسبة لموظفيه. وقد تتضمن محتوياته ما يلي: [ 5 ]
- إجراءات ونتائج المدققين
- توصيات المدققين
- الهدف والنطاق والمنهجيات
- نظرة عامة/الاستنتاجات
قد يتضمن التقرير، اختيارياً، تصنيفات لنقاط الضعف الأمنية التي تم تحديدها خلال عملية التدقيق، ومدى إلحاح المهام اللازمة لمعالجتها. ويمكن استخدام تصنيفات مثل "عالية" و"منخفضة" و"متوسطة" لوصف مدى إلحاح هذه المهام. [ 6 ]
من يقوم بعمليات التدقيق؟
بشكل عام، يتم إجراء عمليات تدقيق أمن الحاسوب بواسطة:
- الجهات التنظيمية الفيدرالية أو الحكومية
- سيتم إعداد عمليات تدقيق أمن المعلومات بشكل أساسي من قبل شركاء هذه الجهات التنظيمية.
- وتشمل الأمثلة: المحاسبين المعتمدين، ووكالة الأمن السيبراني وأمن البنية التحتية (CISA)، والمكتب الفيدرالي للإشراف على المؤسسات الادخارية (OTS)، ومكتب مراقب العملة (OCC)، ووزارة العدل الأمريكية (DOJ)، إلخ.
- المدققون الداخليون للشركات [ 7 ]
- إذا كان تدقيق أمن المعلومات تدقيقًا داخليًا ، فقد يتم إجراؤه بواسطة مدققين داخليين يعملون لدى المنظمة.
- وتشمل الأمثلة: المحاسبين المعتمدين، ووكالة الأمن السيبراني وأمن البنية التحتية (CISA)، ومحترف التدقيق المعتمد للإنترنت (CIAP).
- المدققون الخارجيون
- عادةً ما يتم الاستعانة بخبراء من جهات خارجية يعملون لدى منظمة مستقلة ومتخصصين في مجال أمن البيانات عندما يتعذر الوصول إلى مدققي الحسابات الحكوميين أو الفيدراليين.
- مستشارون
- الاستعانة بمصادر خارجية لتدقيق التكنولوجيا عندما تفتقر المنظمة إلى مجموعة المهارات المتخصصة.
في بعض القطاعات الخاضعة للتنظيم، قد يُلزم القانون بإجراء عمليات تدقيق أمن المعلومات. ففي قطاع الرعاية الصحية بالولايات المتحدة، يُلزم قانون قابلية نقل التأمين الصحي والمساءلة (HIPAA) الجهات المشمولة به وشركاء الأعمال بإجراء تقييمات دورية لمخاطر الأمن لتقييم احتمالية وتأثير التهديدات المحتملة للمعلومات الصحية الإلكترونية المحمية . [ 8 ] ولمساعدة المؤسسات على تلبية هذه المتطلبات، قام مكتب المنسق الوطني لتكنولوجيا المعلومات الصحية (ONC) ومكتب الحقوق المدنية (OCR) بتطوير أداة مجانية لتقييم مخاطر الأمن لممارسات الرعاية الصحية الصغيرة والمتوسطة. [ 9 ] [ 10 ]
الوظائف والشهادات في مجال أمن المعلومات
مسؤول أمن المعلومات (ISO)
يُعدّ منصب مسؤول أمن المعلومات (ISO) منصباً حديثاً نسبياً، ظهر في المؤسسات لمواجهة تداعيات النمو المتسارع في تكنولوجيا المعلومات وشبكات الاتصالات. وقد اتسم دور مسؤول أمن المعلومات بالغموض نظراً لعدم وضوح المشكلة التي أُنشئ هذا المنصب لمعالجتها. وأصبح دوره يتمثل في متابعة ديناميكيات بيئة الأمن والحفاظ على توازن مستوى المخاطر في المؤسسة. [ 11 ]
الشهادات
تجمع عمليات تدقيق نظم المعلومات بين جهود ومهارات مجالي المحاسبة والتكنولوجيا. ويعتمد المختصون من كلا المجالين على بعضهم البعض لضمان أمن المعلومات والبيانات. وبفضل هذا التعاون، ثبت أن أمن نظم المعلومات يتحسن بمرور الوقت. وفيما يتعلق بتدقيق نظم المعلومات، يتمثل دور المدقق في فحص ضوابط برنامج الأمن في الشركة. علاوة على ذلك، يكشف المدقق عن فعالية هذه الضوابط في تقرير التدقيق. وتشجع جمعية تدقيق ومراقبة نظم المعلومات (ISACA) ، وهي منظمة مهنية في مجال تكنولوجيا المعلومات، على اكتساب الخبرة من خلال شهادات معتمدة متنوعة. [ 12 ] وتعود فوائد هذه الشهادات على الموظفين الخارجيين والداخليين للنظام. ومن أمثلة الشهادات ذات الصلة بعمليات تدقيق أمن المعلومات ما يلي:
- مدير معتمد لأمن المعلومات (CISM)
- حاصل على شهادة في إدارة المخاطر والتحكم في نظم المعلومات (CRISC)
- حاصل على شهادة في إدارة تكنولوجيا المعلومات المؤسسية (CGEIT)
- مدقق نظم المعلومات المعتمد (CISA)
- CSX (أساسيات الربط بين الأمن السيبراني)
- CSXP (ممارس متخصص في مجال الأمن السيبراني)
الأنظمة التي خضعت للتدقيق
ثغرات الشبكة
- الاعتراض : البيانات التي يتم نقلها عبر الشبكة معرضة للاعتراض من قبل طرف ثالث غير مقصود يمكنه استخدام البيانات استخدامًا ضارًا.
- التوافر: أصبحت الشبكات واسعة النطاق، تمتد لمئات أو آلاف الأميال التي يعتمد عليها الكثيرون للوصول إلى معلومات الشركة، وقد يؤدي فقدان الاتصال إلى انقطاع الأعمال.
- نقطة الوصول/الدخول: الشبكات عرضة للوصول غير المرغوب فيه. يمكن لنقطة ضعف في الشبكة أن تجعل تلك المعلومات متاحة للمتسللين. كما يمكن أن توفر نقطة دخول للفيروسات وبرامج التجسس.
أدوات التحكم
- ضوابط اعتراض البيانات: يمكن الحدّ جزئياً من عمليات اعتراض البيانات من خلال ضوابط الوصول المادي في مراكز البيانات والمكاتب، بما في ذلك أماكن انتهاء روابط الاتصال ومواقع أسلاك الشبكة وتوزيعها. كما يُسهم التشفير في تأمين الشبكات اللاسلكية.
- ضوابط التوافر: أفضل طريقة للتحكم في ذلك هي امتلاك بنية شبكة ممتازة ونظام مراقبة فعال. يجب أن تحتوي الشبكة على مسارات احتياطية بين كل مورد ونقطة وصول، بالإضافة إلى توجيه تلقائي لتحويل حركة البيانات إلى المسار المتاح دون فقدان البيانات أو إضاعة الوقت.
- ضوابط نقاط الوصول/الدخول: تُوضع معظم ضوابط الشبكة عند نقطة اتصال الشبكة بشبكة خارجية. وتحد هذه الضوابط من حركة البيانات التي تمر عبر الشبكة. وقد تشمل هذه الضوابط جدران الحماية، وأنظمة كشف التسلل، وبرامج مكافحة الفيروسات .
ينبغي على المدقق طرح أسئلة محددة لفهم الشبكة ونقاط ضعفها بشكل أفضل. يبدأ المدقق بتقييم نطاق الشبكة وهيكلها، ويمكن الاستعانة بمخطط الشبكة في هذه العملية. ثم يتساءل عن المعلومات الحساسة التي يجب على هذه الشبكة حمايتها، مثل أنظمة المؤسسة، وخوادم البريد، وخوادم الويب، وتطبيقات الاستضافة التي يستخدمها العملاء. من المهم أيضًا معرفة من لديه صلاحية الوصول إلى أي أجزاء من الشبكة. هل يتمتع العملاء والموردون بصلاحية الوصول إلى أنظمة الشبكة؟ هل يمكن للموظفين الوصول إلى المعلومات من منازلهم؟ أخيرًا، ينبغي على المدقق تقييم كيفية اتصال الشبكة بالشبكات الخارجية وكيفية حمايتها. ترتبط معظم الشبكات بالإنترنت على الأقل، مما قد يشكل نقطة ضعف. هذه أسئلة بالغة الأهمية لحماية الشبكات.
فصل المهام
عند وجود وظيفة تتعامل مع الأموال، سواءً الواردة أو الصادرة، من الضروري جدًا ضمان فصل المهام لتقليل الاحتيال ومنعه قدر الإمكان. إحدى الطرق الرئيسية لضمان الفصل السليم للمهام من منظور الأنظمة هي مراجعة صلاحيات الوصول للأفراد. تدّعي بعض الأنظمة، مثل SAP، أنها توفر إمكانية إجراء اختبارات الفصل، إلا أن هذه الوظيفة بدائية، وتتطلب استعلامات تستغرق وقتًا طويلاً، وتقتصر على مستوى المعاملة فقط، مع استخدام محدود أو معدوم لقيم الكائنات أو الحقول المخصصة للمستخدم من خلال المعاملة، مما ينتج عنه غالبًا نتائج مضللة. بالنسبة للأنظمة المعقدة مثل SAP، يُفضّل استخدام أدوات مصممة خصيصًا لتقييم وتحليل تعارضات الفصل وأنواع أنشطة النظام الأخرى. أما بالنسبة للأنظمة الأخرى أو الأنظمة متعددة التنسيقات، فينبغي مراقبة المستخدمين الذين قد يتمتعون بصلاحيات المستخدم المتميز ، مما يمنحهم وصولًا غير محدود إلى جميع جوانب النظام. كما أن إنشاء مصفوفة لجميع الوظائف، تُبرز نقاط انتهاك الفصل السليم للمهام، سيساعد في تحديد نقاط الضعف الجوهرية المحتملة من خلال التحقق من صلاحيات الوصول المتاحة لكل موظف. يُعدّ هذا الأمر بالغ الأهمية، إن لم يكن أكثر، في مرحلة التطوير كما هو الحال في مرحلة الإنتاج. ويُعتبر ضمان عدم امتلاك مطوري البرامج صلاحية إدخالها إلى بيئة الإنتاج أمرًا أساسيًا لمنع دخول برامج غير مصرح بها إلى بيئة الإنتاج، حيث يمكن استخدامها لارتكاب عمليات احتيال.
أنواع عمليات التدقيق
التشفير والتدقيق التقني
عند تقييم حاجة العميل لتطبيق سياسات التشفير في مؤسسته، ينبغي على المدقق إجراء تحليل لمخاطر العميل وقيمة بياناته. يجب على الشركات التي لديها العديد من المستخدمين الخارجيين، وتطبيقات التجارة الإلكترونية ، ومعلومات حساسة عن العملاء/الموظفين، الحفاظ على سياسات تشفير صارمة تهدف إلى تشفير البيانات الصحيحة في المرحلة المناسبة من عملية جمع البيانات. [ 13 ]
ينبغي على المدققين تقييم سياسات وإجراءات التشفير لدى عملائهم بشكل مستمر. فالشركات التي تعتمد بشكل كبير على أنظمة التجارة الإلكترونية والشبكات اللاسلكية معرضة بشدة لسرقة وفقدان المعلومات الحساسة أثناء نقلها. لذا، يجب توثيق السياسات والإجراءات وتطبيقها لضمان حماية جميع البيانات المنقولة.
ينبغي على المدقق التحقق من وجود ضوابط لدى الإدارة تُطبّقها على عملية إدارة تشفير البيانات. يجب أن يتطلب الوصول إلى المفاتيح تحكمًا مزدوجًا، وأن تتكون المفاتيح من عنصرين منفصلين، وأن تُحفظ على جهاز كمبيوتر لا يمكن للمبرمجين أو المستخدمين الخارجيين الوصول إليه. علاوة على ذلك، ينبغي على الإدارة الإقرار بأن سياسات التشفير تضمن حماية البيانات بالمستوى المطلوب، والتحقق من أن تكلفة تشفير البيانات لا تتجاوز قيمة المعلومات نفسها. يجب تشفير جميع البيانات التي تتطلب الاحتفاظ بها لفترة طويلة ونقلها إلى موقع بعيد. ينبغي وضع إجراءات تضمن وصول جميع المعلومات الحساسة المشفرة إلى موقعها وتخزينها بشكل سليم. أخيرًا، ينبغي على المدقق الحصول على تأكيد من الإدارة بأن نظام التشفير قوي، وغير قابل للاختراق، ومتوافق مع جميع القوانين واللوائح المحلية والدولية.
تدقيق أمني منطقي
كما يوحي الاسم، يتبع التدقيق الأمني المنطقي منهجيةً وإجراءً منظمًا. تتمثل الخطوة الأولى في تدقيق أي نظام في فهم مكوناته وبنيته. عند تدقيق الأمن المنطقي، ينبغي على المدقق التحقق من ضوابط الأمان المطبقة وكيفية عملها. وعلى وجه الخصوص، تُعد المجالات التالية نقاطًا أساسية في تدقيق الأمن المنطقي:
- كلمات المرور : يجب أن يكون لدى كل شركة سياسات مكتوبة بشأن كلمات المرور واستخدام الموظفين لها. لا يجوز مشاركة كلمات المرور، ويجب على الموظفين تغييرها دوريًا بشكل إلزامي. ينبغي أن يتمتع الموظفون بصلاحيات مستخدم تتناسب مع مهامهم الوظيفية، وأن يكونوا على دراية بإجراءات تسجيل الدخول والخروج الصحيحة. كما تُعدّ رموز الأمان مفيدة، وهي أجهزة صغيرة يحملها المستخدمون المصرح لهم باستخدام برامج أو شبكات الحاسوب للمساعدة في التحقق من الهوية. ويمكنها أيضًا تخزين مفاتيح التشفير والبيانات البيومترية . يعرض النوع الأكثر شيوعًا من رموز الأمان (SecurID من RSA) رقمًا يتغير كل دقيقة. ويتم التحقق من هوية المستخدمين بإدخال رقم تعريف شخصي والرقم الموجود على الرمز. [ 14 ]
- إجراءات إنهاء الخدمة: تضمن إجراءات إنهاء الخدمة السليمة عدم قدرة الموظفين القدامى على الوصول إلى الشبكة. ويمكن تحقيق ذلك بتغيير كلمات المرور والرموز. كما يجب توثيق جميع بطاقات الهوية والشارات المتداولة وحصرها.
- حسابات المستخدمين الخاصة: يجب مراقبة حسابات المستخدمين الخاصة والحسابات المميزة الأخرى ووضع ضوابط مناسبة لها.
- الوصول عن بُعد: غالبًا ما يُمثّل الوصول عن بُعد نقطةً يُمكن للمتسللين من خلالها اختراق النظام. لذا، يجب أن تكون أدوات الأمان المنطقية المُستخدمة لحماية الوصول عن بُعد صارمة للغاية، ويجب تسجيل عمليات الوصول عن بُعد.
أدوات محددة تُستخدم في أمن الشبكات
يتم تحقيق أمن الشبكة من خلال أدوات متنوعة تشمل جدران الحماية وخوادم البروكسي والتشفير والأمان المنطقي وضوابط الوصول وبرامج مكافحة الفيروسات وأنظمة التدقيق مثل إدارة السجلات .
تُعدّ جدران الحماية جزءًا أساسيًا من أمن الشبكات، حيث تُوضع عادةً بين الشبكة المحلية الخاصة والإنترنت. وتُتيح جدران الحماية مرور البيانات عبرها، مما يسمح بالتحقق من صحتها ومراقبتها وتسجيلها وإعداد التقارير عنها. ومن أنواع جدران الحماية المختلفة: جدران حماية طبقة الشبكة، وجدران حماية الشبكات الفرعية المُراقبة، وجدران حماية تصفية الحزم، وجدران حماية تصفية الحزم الديناميكية، وجدران الحماية الهجينة، وجدران الحماية الشفافة، وجدران حماية مستوى التطبيق.
تتضمن عملية التشفير تحويل النص العادي إلى سلسلة من الأحرف غير المقروءة تُعرف بالنص المشفر . إذا سُرق النص المشفر أو تم الحصول عليه أثناء نقله، يصبح محتواه غير قابل للقراءة. يضمن هذا نقلًا آمنًا ، وهو أمر بالغ الأهمية للشركات التي ترسل أو تستقبل معلومات حساسة. بمجرد وصول المعلومات المشفرة إلى المستلم المقصود، تُفعّل عملية فك التشفير لاستعادة النص المشفر إلى نص عادي .
تُخفي خوادم البروكسي العنوان الحقيقي لمحطة عمل العميل ، ويمكنها أيضاً العمل كجدار حماية. تحتوي جدران حماية خوادم البروكسي على برامج خاصة لفرض المصادقة. وتعمل هذه الجدران كوسيط لطلبات المستخدمين.
تقوم برامج مكافحة الفيروسات، مثل برامج McAfee وSymantec، بتحديد المحتوى الضار والتخلص منه. وتُجري هذه البرامج تحديثات دورية لضمان حصولها على أحدث المعلومات حول فيروسات الحاسوب المعروفة.
يشمل الأمن المنطقي إجراءات حماية برمجية لأنظمة المؤسسة، بما في ذلك الوصول باستخدام اسم المستخدم وكلمة المرور، والمصادقة، وحقوق الوصول، ومستويات الصلاحيات. تهدف هذه الإجراءات إلى ضمان أن المستخدمين المصرح لهم فقط هم من يستطيعون تنفيذ الإجراءات أو الوصول إلى المعلومات في الشبكة أو محطة العمل.
التدقيق السلوكي
لا تُعزى الثغرات الأمنية في أنظمة تكنولوجيا المعلومات بالمؤسسات عادةً إلى نقاط ضعف تقنية، بل إلى سلوكيات فردية للموظفين داخل المؤسسة. ومن الأمثلة البسيطة على ذلك ترك المستخدمين أجهزة الكمبيوتر الخاصة بهم غير مقفلة أو تعرضها لهجمات التصيد الاحتيالي . ونتيجةً لذلك، غالبًا ما تتضمن عملية تدقيق أمن المعلومات الشاملة اختبار اختراق ، حيث يحاول المدققون الوصول إلى أكبر قدر ممكن من النظام، من منظور الموظف العادي ومن منظور شخص خارجي. ويضمن التدقيق السلوكي وجود تدابير وقائية، مثل ندوة عبر الإنترنت حول التصيد الاحتيالي، حيث يتم توعية الموظفين بمفهوم التصيد الاحتيالي وكيفية اكتشافه.
تجمع عمليات تدقيق ضمان النظام والعمليات بين عناصر من عمليات تدقيق البنية التحتية لتكنولوجيا المعلومات وعمليات تدقيق أمن التطبيقات/المعلومات، وتستخدم ضوابط متنوعة في فئات مثل الاكتمال والدقة والصحة (V) والوصول المقيد (CAVR). [ 15 ]
أمان تطبيقات التدقيق
تطبيق حراري
يرتكز أمن التطبيقات على ثلاث وظائف رئيسية:
- برمجة
- يعالج
- وصول
في مجال البرمجة، من الضروري ضمان وجود حماية مادية وحماية بكلمات مرور مناسبة للخوادم وأجهزة الحاسوب المركزية لتطوير وتحديث الأنظمة الرئيسية. يُعدّ توفير أمن الوصول المادي في مركز البيانات أو المكتب، كاستخدام البطاقات الإلكترونية وقارئاتها، وحراس الأمن، ونقاط التفتيش، وكاميرات المراقبة، أمراً بالغ الأهمية لضمان أمن التطبيقات والبيانات. كما يجب تأمين التغييرات التي تُجرى على النظام، والتي تتضمن عادةً توفير صلاحيات وصول مناسبة لإجراء هذه التغييرات، وتطبيق إجراءات ترخيص فعّالة لنقل التغييرات البرمجية من مرحلة التطوير إلى مرحلة الاختبار، وصولاً إلى مرحلة الإنتاج.
في عمليات المعالجة، من المهم وجود إجراءات ومراقبة لعدة جوانب، مثل إدخال بيانات مزيفة أو خاطئة، والمعالجة غير المكتملة، والمعاملات المكررة، والمعالجة المتأخرة. ومن الوسائل لضمان ذلك مراجعة المدخلات عشوائيًا أو الحصول على الموافقات اللازمة لجميع عمليات المعالجة. من المهم أيضًا تحديد المعالجة غير المكتملة والتأكد من وجود إجراءات مناسبة لإكمالها أو حذفها من النظام في حال وجود خطأ. كما يجب وجود إجراءات لتحديد وتصحيح الإدخالات المكررة. وأخيرًا، عند معالجة البيانات في غير وقتها المحدد، ينبغي تتبع البيانات ذات الصلة لمعرفة سبب التأخير وتحديد ما إذا كان هذا التأخير يثير أي مخاوف تتعلق بالرقابة.
أخيرًا، فيما يتعلق بالوصول، من المهم إدراك أن الحفاظ على أمن الشبكة ضد الوصول غير المصرح به يُعدّ من أهم أولويات الشركات، إذ يمكن أن تأتي التهديدات من مصادر متعددة. أولًا، الوصول الداخلي غير المصرح به. من الضروري جدًا استخدام كلمات مرور خاصة بالنظام، وتغييرها بانتظام، ووجود آلية لتتبع الوصول والتغييرات لتحديد هوية من قام بها. يجب تسجيل جميع الأنشطة. ثانيًا، الوصول عن بُعد، أي وصول الأفراد إلى النظام من خارجه عبر الإنترنت. يُعدّ إعداد جدران الحماية وحماية البيانات عبر الإنترنت بكلمات مرور أمرًا أساسيًا للحماية من الوصول غير المصرح به عن بُعد. إحدى طرق تحديد نقاط الضعف في ضوابط الوصول هي إشراك مخترق لمحاولة اختراق النظام، إما بالدخول إلى المبنى واستخدام جهاز طرفي داخلي، أو بالاختراق من الخارج عبر الوصول عن بُعد.
ملخص
يمكن تعريف تدقيق أمن المعلومات من خلال دراسة مختلف جوانب أمن المعلومات. يتحمل المختصون الداخليون والخارجيون في المؤسسة مسؤولية صيانة ومراقبة كفاءة وفعالية أمن المعلومات. وكما هو الحال في أي مؤسسة، توجد ضوابط متنوعة يجب تطبيقها وصيانتها. ولتأمين المعلومات، يُتوقع من المؤسسة تطبيق تدابير أمنية لمنع أي تدخل خارجي. وبشكل عام، يرتبط مفهوما أمن التطبيقات وفصل المهام ارتباطًا وثيقًا، ويشتركان في الهدف نفسه: حماية سلامة بيانات الشركة ومنع الاحتيال. بالنسبة لأمن التطبيقات، يتعلق الأمر بمنع الوصول غير المصرح به إلى الأجهزة والبرامج من خلال تطبيق تدابير أمنية مناسبة، مادية وإلكترونية. أما فصل المهام، فهو في الأساس مراجعة مادية لصلاحيات وصول الأفراد إلى الأنظمة وعمليات المعالجة، والتأكد من عدم وجود أي تداخل قد يؤدي إلى الاحتيال. ويحدد نوع التدقيق الذي يُجريه الفرد الإجراءات والاختبارات المحددة التي سيتم تنفيذها خلال عملية التدقيق.
انظر أيضاً
مراجع
- ↑ "إدارة مخاطر الحوكمة الفعالة | مجلة ISACA" . ISACA . تم الاطلاع عليه بتاريخ 21-04-2022 .
- ↑ "تدقيق أمن نظم المعلومات | مجلة ISACA" . ISACA . تم الاطلاع عليه بتاريخ 21-04-2022 .
- ↑ "إدارة مخاطر الحوكمة الفعالة | مجلة ISACA" . ISACA . تم الاطلاع عليه بتاريخ 21-04-2022 .
- ↑ "تدقيق أمن نظم المعلومات | مجلة ISACA" . ISACA . تم الاطلاع عليه بتاريخ 21-04-2022 .
- ↑ قسم التدقيق التشريعي - ولاية مونتانا. (يونيو 2006). " مراجعة مركز البيانات ". ملف PDF. هيلينا، مونتانا.
- ↑ مركز المساعدة التقنية للخصوصية. " الاستجابة لعمليات تدقيق أمن تكنولوجيا المعلومات: تحسين ممارسات أمن البيانات ". ملف PDF.
- ↑ أخصائي معتمد في تدقيق الإنترنت (CIAP)، الرابطة الدولية لتعليم تدقيق الحاسوب (ICAEA)، http://www.iacae.org/English/Certification/CIAP.php
- ↑ "إرشادات بشأن متطلبات تحليل المخاطر بموجب قاعدة أمن قانون HIPAA" . وزارة الصحة والخدمات الإنسانية الأمريكية . تم الاطلاع عليه بتاريخ 2026-03-06 .
- ↑ "أداة تقييم المخاطر الأمنية" . مكتب المنسق الوطني لتكنولوجيا المعلومات الصحية . تم الاطلاع عليه بتاريخ 10-03-2026 .
- ↑ "تطبيق قاعدة أمن قانون قابلية نقل التأمين الصحي والمساءلة (HIPAA): دليل موارد الأمن السيبراني" . المعهد الوطني للمعايير والتكنولوجيا. فبراير 2024. تاريخ الاسترجاع: 10 مارس 2026 .
- ↑ تدقيق أمني للتأكد من الامتثال للسياسات . albany.edu
- ↑ ستافورد، توماس؛ غال، غراهام؛ بوستون، روبن؛ كروسلر، روبرت إي؛ جيانغ، راندي؛ ليونز، روبن (2018). "دور جمعيات المحاسبة والجمعيات المهنية في تدقيق أمن تكنولوجيا المعلومات: تقرير لجنة AMCIS" . مجلة اتصالات جمعية نظم المعلومات . 43 (1): 482-493 . doi : 10.17705/1CAIS.04327 .
- ↑ ليو، لي؛ كاو، مينغوي؛ صن، ييغو (15 ديسمبر 2021). "خطة حماية أمنية لدمج البيانات للمستندات الإلكترونية الحساسة في بيئة الشبكة المفتوحة" . PLOS ONE . 16 (12) e0258464. Bibcode : 2021PLoSO..1658464L . doi : 10.1371/journal.pone.0258464 . ISSN 1932-6203 . PMC 8673604. PMID 34910722 .
- ↑ أبو جسار، عامر تحسين؛ عطار، هاني؛ يفسييف، فلاديسلاف؛ عامر، أيمن؛ ديمسكا، ناتاليا؛ لوهاش، أشيش كر.؛ لياشينكو، فياتشيسلاف (2022-04-13). نينغ، شين (محرر). "مفتاح مصادقة المستخدم الإلكتروني للوصول إلى واجهة المستخدم الرسومية/نظام التحكم الإشرافي وجمع البيانات عبر شبكات الإنترنت غير الآمنة" . الذكاء الحسابي وعلم الأعصاب . 2022 : 1-13 . doi : 10.1155/2022/5866922 . ISSN 1687-5273 . PMC 9020904. PMID 35463229 .
- ↑ K. Julisch et al., Compliance by design - Bridging the hos between auditors and IT architects Computers & Security 30(6-7): 410-426 (2011)
فهرس
- غاليغوس، فريدريك؛ سينفت، ساندرا؛ مانسون، دانيال ب.؛ غونزاليس، كارول (2004). مراقبة التكنولوجيا ومراجعتها (الطبعة الثانية) . منشورات أورباخ. ISBN 0-8493-2032-1.
روابط خارجية
- فحص مراكز البيانات
- مشروع OpenXDAS
- جمعية نظم المعلومات والرقابة على التدقيق (ISACA)، مؤرشفة بتاريخ 27 سبتمبر 2007 على موقع Wayback Machine
- معهد المدققين الداخليين
- تدقيق تكنولوجيا المعلومات
- إجراءات أمن الحاسوب
- أنواع التدقيق
