تقويم أمن البنية التحتية لتقنية المعلومات في المنشآت الكبيرة

(شوقي عبدالله عبّاد)

---

الملخص

نظرًا لأن المؤسسات في الوقت الراهن تعتمد على الإنترنت في أعمالها، فإن أمن المعلومات للعناصر المكونة للبنية التحتية لتقنية المعلومات الخاصة بتلك المؤسسات أمر مهم. وقد أظهرت الدراسات السابقة أن تقويمًا أمنيًّا لبنيةٍ تحتيَّةٍ كهذه - على مستوى المنشآت الكبيرة - لم يلقَ اهتمامًا كبيرًا من الباحثين مقارنةً بنظيره على مستوى البرمجيات. في هذا البحث، تم فحص البنية التحتية لتقنية المعلومات في إحدى المؤسسات الحكومية الكبيرة في السعودية، وذلك من أجل تحديد الثغرات التي تهدد أمن المعلومات في بيئة كهذه، ووضع التوصيات الملائمة لكل ثغرة. تم استخدام المنهج النوعي في هذه الدراسة؛ مشتملًا على مجموعة التركيز والاجتماعات المباشرة والملاحظات والبيانات الأرشيفية. نتائج الدراسة أظهرت أنَّ أهم التهديدات الأمنية يمكن تقسيمها إلى ثلاث فئات: (1) الشبكات (مثال: عدم الالتزام بمبادئ التصميم الآمن للشبكة)، (2) الأنظمة والتخزين (مثال: إدارة الباتش)، (3) المستخدم النهائي ومعلوماته (مثال: الإجراءات التشغيلية). كما تمت الإشارة إلى الدروس المستفادة من هذا التقويم من خلال مناقشة العوامل التي تعالج المخاطر والتهديدات الأمنية، ومن تلك العوامل: إدارة البنية التحتية (مثال: المراقبة الآنية للأنظمة، والتوثيق، واتباع أفضل الممارسات في إدارة مشاريع التقنية)، وأعمال البرمجيات (مثال: تجديد رخص الدعم الفني)، وإعادة تصميم الشبكة (مثال: تجنب التصميم المعتمد على نقطة مفردة)، وإجراءات الاستجابة للحوادث (من خلال تطوير إجراءاتٍ واضحةٍ وتنفيذها). علمًا أنَّ هناك أنواعًا من التهديدات يصعب اكتشافها وتقويمها، مثل التهديدات المتتالية. ستساعد هذه الدراسة المختصين مثل مهندسي المتطلبات الأمنية، ومديري الأنظمة، وواضعي اللوائح الأمنية.

الكلمات المفتاحية
إدارة الأنظمة، أمن تقنية المعلومات، البنية التحتية لتقنية المعلومات، تقويم، الشبكات، هندسة الأمان

PDF

المراجع

متوفرة باللغة الانجليزية فقط