الركائز الثلاث لأمن المعلومات – التكنولوجيا وحدها لا تحميك

كثير من الناس يعتقدون خطأ أن أمن المعلومات هو كل ما يخص التكنولوجيا، لا شك أن التقنية تلعب دوراً هائلاً في التدابير الأمنية لأي مؤسسة، لكنها وحدها لا تستطيع حمايتك من التهديدات الإلكترونية الحديثة، بل إنها تشكل واحدة من الركائز الثلاث التي يعتمد عليها نظام إدارة أمن المعلومات الفعال والقوي (ISMS).

دعونا ننظر إلى كل من هذه الركائز.

الأشخاص

هناك جانبان رئيسيان لإدارة الأشخاص، أولاً، يجب أن تتأكد من أن الجميع في مؤسستك على دراية بدورهم في منع التهديدات السيبرانية والحد منها، سواءً كان التعامل مع البيانات الحساسة أو فهم كيفية تحديد رسائل البريد الإلكتروني الاحتيالية أو الالتزام بسياسة “جلب جهازك” (BYOD)، ولعل الدورات التدريبية عبر الإنترنت هي خير وأسرع وسيلة لتدريب الموظفين على ذلك، بل وأقل كلفة أيضا، وفي هذا الصدد، نرشح  لكم الدورات التدريبية Information Security & ISO27001 Staff Awareness e-learning Course و Phishing and Ransomware – Human patch e-learning course، حيث سيتعلم الموظفين في مؤسستك كيفية حماية مؤسستك من الهجمات الإلكترونية والاختراقات ودون أن يضطروا إلى مغادرة مكان العمل.

ثانياً ، يحتاج موظفو أمن المعلومات المتخصصون إلى مواكبة أحدث المهارات والمؤهلات للتأكد من تطبيق الضوابط والتقنيات والممارسات المناسبة لمكافحة أحدث التهديدات السيبرانية، فلا شك أن موظفو الأمن السيبراني الذين لا يستوفون هذه المطالب يؤثرون على قدرة المؤسسة على التخفيف من الهجمات السيبرانية والرد عليها. يمكنكم زيارة متجر “آي تي غفرننس” الإلكتروني الذي يضم مجموعة واسعة من حلول أمن المعلومات التي تناسب جميع المتخصصين.

العمليات

يحدد إسلوب سير العمليات في المؤسسة كيفية استخدام أنشطتها وأدوارها ووثائقها للتخفيف من المخاطر التي تهدد معلوماتها، حيث تتغير التهديدات السيبرانية بسرعة، لذا تحتاج المؤسسات إلى مراجعة عملياتها باستمرار.

بطبيعة الحال ، ستكون هذه العمليات بلا معنى إذا لم يتبعها الموظفون.

التقنية

بمجرد تحديد المؤسسة للمخاطر الإلكترونية التي تواجهها، يمكنها تحديد الضوابط التي تحتاجها لوضعها والتقنيات التي تحتاجها للقيام بذلك.

اعتمادا على نتائج تقييم المخاطر، يمكن للمؤسسة استخدام الدفاعات التكنولوجية لمنع أو تخفيف المخاطر السيبرانية.

ISO 27001 – المعيار الذي يجمع بين الركائز الثلاث لأمن المعلومات

يوفر المعيار الدولي ISO 27001 أفضل الممارسات لنظام أمن المعلومات (ISMS)، كما يجمع بين الأركان الثلاثة لأمن المعلومات – موضوع هذا المقال – من خلال تطبيق نظام أمن معلومات متوافق مع ISO 27001، فبتطبيقك لهذا المعيار، ستتمكن من معالجة كل جانب من جوانب الأمن السيبراني في مؤسستك، ولمزيد من المعلومات عن المعيار ISO 27001 يمكنك تحميل الدليل المجاني ISO 27001 data sheet.

وإذا كنت قد اتخذت قرار تطبيق المعيار آيزو 27001، فإن حزم DIY ISO 27001 توفر لك طريقة مرنة لتطبيق المعيار، يمكنك تحديد الحزمة المناسبة لاحتياجاتك – سواء كنت تبحث عن أدلة تطبيق أو مجموعة أدوات أو دورات تدريبية أو استشارات.

وإذا كان لا زال لديك بعض الاستفسارات عن نظام إدارة أمن المعلومات وكيفية تطبيقه، فإننا ندعوك للمشاركة في سلسلة ندواتنا المجانية عبر الإنترنت، التسجيل والمواعيد من خلال الروابط أدناه (ملحوظة: الندوات تدار باللغة الإنجليزية):

10 October 2018: How to overcome data security compliance challenges in the GCC countries

17 October 2018: How to implement an information security management system

24 October 2018: Conducting a cyber security risk assessment