الاقتصادية المعقب الالكتروني نادي السيارات الرياضية كتاب واقلام الجزيرة
Sunday 9th November,2003 العدد : 46

الأحد 14 ,رمضان 1424

الإذعان والاستقرار الصالح للتشغيل..
منهج متكامل لإبداع شبح المهددات الأمنية

* إعداد طارق راشد
على العكس من الاعتقاد السائد بأن التهديد الأوحد والأخطر على حماية معلومات أي مؤسسة يتمثل في الهاكرز الخارجيين، فإن التغييرات غير المبرَّرة التي يتم إدخالها على نظم المعلومات هي المسؤولة عن ذلك، فعدم القدرة على تحديد التغييرات الجديدة، أو معرفة إن كانت صادرة عن نية متعمدة أو حقد، أو تحديد المسئولية عن التغيير أو تحديد تأثيره كل ذلك يضع المعلومات المميزة وما هو أبعد منها في دائرة الخطر.
فالتهديد يحيق بسلامة الأنظمة، واستقرار العمليات، ومسئولية التنظيم والتوافق مع مجموعة من اللوائح الفيدرالية والصناعية، وقد قامت شركة باير للعقاقير الطبية بدراسة التوافق المنتظم من وجهة نظر إدارة السلامة وقامت بتحسين الاستقرار التشغيلي والحماية، في نفس الوقت.
هناك منطقتان رئيسيتان ينبعث منهما الخطر: إحداهما هي الاختراقات المتطفلة أو الهجمات الحاقدة على طرق الحماية، أما المنطقة الأخرى، فهي الأكبر، وتمثل خطرا جاهزا للتشغيل: ماذا يحدث عندما ينهار النظام؟ معظم المؤسسات قامت بتنفيذ استراتيجيات حماية ذات طبقات تتضمن خصائص التعرف على اقتحام المتطفلين، والتوثيق، والتشفير، والجدار الناري، بالإضافة إلى إجراءات أمنية تقليدية للتعامل مع المخاطرة الأولى.
وبينما تمثل الهجمات الخارجية الحاقدة أوضح التهديدات على أمن المؤسسة، فإن المخاطرة الأكبر ترتكز على التغيير غير المقصود، ويقدر محللو الصناعة إن ما يقرب من 80% من جميع التغييرات التي نجم عنها إيقاف العمل أو تخفيض قدرات التشغيل قد تم إدخالها بواسطة أشخاص يعملون داخل المؤسسة، معظم هذه التغييرات غير مقصودة، وحدثت في غياب أفضل الممارسات المعتمدة لتكنولوجيا المعلومات، أو الفشل في متابعتها، أو انعدام محاسبة المسؤول عن التغيير الطارئ، إن الحماية ذات الطبقات وأفضل ممارسات لتكنولوجيا المعلومات IT best practices وإدارة السلامة هي القطع الثلاث التي إذا ما اجتمعت معا تمنح المؤسسة أعظم الفوائد.
الالتزام بالإذعان
لم يعد توضيح المعلومات المحاسبية للمساهمين والموظفين والعملاء والشركاء مجرد عمل إجرائي فحسب، بل هو مهم لكل شريك ومساهم وأمر تنظيمي ملزِم، كما إن اللوائح الموضوعية الصحيحة الآن تفرض العنصر المحاسبي على المعلومات والنظم وسلامة العمليات بسياسة صارمة، ونتيجة لذلك، فإن غياب أفضل الممارسات الممكن تنفيذها والقدرة على تفسير التغييرات يزيد المخاوف التي تتعلق بالفحص المحاسبي والإذعان،
قام الكونجرس الأمريكي، عقب سلسلة فضائح الاندماجات سيئة السمعة، بتمرير قانون سَربانِسأوكسلي SarbanesOxley لعام 2002، وتقرر الفقرة 404 من ا لقانون أن كلا من المديرين التنفيذيين ومديري الشركات القابضة التنفيذيين مسؤولون عن دقة الفواتير والمعلومات المالية التي تصدرها شركاتهم بالإضافة إلى توضيح إجراءات التحكم المالي الداخلي الخاصة بها، ويرى بحث حديث أجراه مركز AMR أن 85% من الشركات العامة تخطط لإدخال تغييرات على نظم تكنولوجيا المعلومات من أجل تدعيم الإذعان لقانون سَربانِسأوكسلي،
والشركات التي تعمل في صناعات مثل الخدمات المالية والرعاية الصحية لديها أعباء إذعان إضافية، على سبيل المثال، فقد تم تصميم قانون التأمين الصحي وإمكانية الحمل والمحاسبة HIPAA لعام 1996 لحماية سرية وسلامة معلومات الصحة الشخصية الإلكترونية، وهذا يعني أن أقسام تكنولوجيا المعلومات لشركات الصيدلة والأجهزة الطبية والرعاية الصحية يجب أن تقوم بإنشاء أدوات تحكم لتطبيق HIPAA وتحليل البيانات، والوصول إلى الصلاحية والتعديل، وتسجيل نظم المعلومات والحماية والاختبار، وتقييم ممارسات إدارة المخاطر، علاوة على ذلك، فإن شركات الرعاية الصحية يجب أن تذعن إلى قانون 21 CFR11a لإدارة الغذاء والمواد المخدرة FDA والخاص بتأكيد التوقيعات والسجلات الرقمية الصالحة.
إن القياسات الأمنية التقليدية ليست كافية لتعزيز اللوائح المعقدة وتدقيقها، ويجب على الشركات أن تجد الوسائل التي تمكنها من التعرف على التغييرات التي تطرأ على المكونات الخطيرة للأنظمة (بما فيها أجهزة الخادم، والموجِّهات، والمفاتيح، وجُدُر النيران)، وتقديم تفسير للتغييرات، والتأكيد على سلامة النظام في كل الأوقات، وللوفاء بمتطلبات قانون 21 CFR11 ،بدأت شركة باير فارماسوتيكال مشروعا لتأكيد سلامة خوادم الإنتاج الخاصة بها بالإضافة إلى البيانات الموجودة عليها.
علاج صداع الإذعان
شركة باير فارماسوتيكال هي جزء من مؤسسة باير، ويبلغ رأس مالها 3 ،9 بليون دولار، وتتخذ من مدينة بيتسبرج بولاية بنسلفانيا مقرا لها، وتعمل في مجالات الرعاية الصحية والعلوم الحيوية، والمواد الكيميائية، وتكنولوجيا التصوير، وقد تلقى قسم تكنولوجيا المعلومات الخاص بالشركة توجيهات بالإذعان لروح ونص قانون21 CFR11 لإدارة الغذاء والمخدرات الأمريكية، وتقوم مجموعة اللوائح التي تندرج تحت هذا القانون بتحديد المعيار اللازم لقبول السجلات الرقمية والتوقيعات الإلكترونية بشكل مساو للسجلات الورقية والتوقيعات المكتوبة بخط اليد، وللتأكيد على الدقة، والشرعية، وصحة السجلات الرقمية والتوقيعات، فإن القانون أعلاه يوفر الخطوط الإرشادية لتصحيح وتوثيق عمليات التغيير المعتمدة للأنظمة والبرامج الداخلة في إنشائها.
تلا ذلك عمل بحث دقيق جدا حول إدارة السلامة وأدوات الحماية التي يمكنها الوفاء بمتطلبات قانون CFR11، وبالإضافة إلى منتجات البحث، قامت الشركة بعمل استبيان رأي لموحدي الأنظمة وأعضاء المجتمع الأكاديمي، فكل التوصيات التي تلقتها مؤسسة باير أشارت إلى حلول إدارة السلامة لبرنامج Tripwire.
قام فريق تكنولوجيا المعلومات بمؤسسة باير بتوزيع برنامج Tripwire على خوادم الإنتاج التي تعمل في بيئة تجمع بين نظامي التشغيل صن سولاريز Sun Solaris وويندوز إن تي Windows NT، وباستخدام قائمة جرد رقمية لها خصائص ملف جيد معروف كنقطة انطلاق، فإن البرنامج يوفر إمكانية رؤية كافة تهيؤات الخوادم في مؤسسة بايرن، وفي الحال، يحدد التغييرات وينقلها إلى موظفي تكنولوجيا المعلومات المعتمدين، هذا الحل من شأنه أن يعزز قدرة فريق باير على توثيق التغييرات المعتمدة على الأنظمة والبرامج الداخلة في إنشاء سجلات رقمية، بما يتوافق ومتطلبات CFR11، إذا لم تكن هناك رغبة في تغيير ما (كما هو الحال في خلل التهيئة العارض أو محاولة اختراق لصوصية حاقدة)، فإن البرنامج يمكِّن النظم من إلغاء التعديلات والارتداد إلى حالة جيدة معروفة، ومن الممكن أيضا تشغيل خاصية إلغاء التعديلات تلقائيا، الأمر الذي يوفر الوقت، ويقلل المخاطرة ويقضي على معظم عمليات تحري المشكلات وإصلاحها يدويا وإصلاح التهيؤات المرتبطة بتثبيت الخوادم الخطيرة، وللمرة الأولى تتمكن شركة باير بسرعة من استجماع المعلومات الهامة ومسار التدقيق من أجل ضمان الإذعان.
الإذعان لنص القانون
إن الحل الجديد لإدارة السلامة يعطي فريق تكنولوجيا المعلومات بمؤسسة باير معلومات نظام مؤكدة والقدرة على الوثوق بها، الأمر الذي يجعل عملية الإبحار في التدقيقات أسهل بكثير، واليوم، يستطيع الفريق:
1 التأكد عند إنشاء سجلات وتهيئات حيوية أو تعديلها أو صيانتها أو أرشفتها أو حذفها أو استرجاعها.
2 مراقبة السجلات المحفوظة في الأرشيف للتأكد من أن المستندات التي تم استرجاعها من الأرشيف لها نفس محتوى المستندات الأصلية.
3 إنشاء قواعد انطلاق تهيئة معروفة للتأكد من أن إجراءات وأدوات التحكم الخاصة بالصحة لم يطرأ عليها تغيير.
4 اكتشاف أي خرق للملفات أو تغييرها بواسطة تكنولوجيا بيانات التدقيق الرقمية التي يمكنها التعرف على أي تغيير في محتوى الملفات.
5 حجز الملفات التي طرأ عليها تغيير وتأمينها من أجل عمل تقييم موضوعي.
6 إنشاء مسار تدقيقات ضد التلاعب من أجل ختم وقت الملفات والسجلات الإلكترونية على نحو مستقل وتخزينها بأمان في قاعدة بيانات مشفرة لا يمكن الوصول إليها إلا بواسطة المستخدمين المعتمدين.
دور أفضل للممارسات
إن القدرة على تحديد التغييرات، والتعرف على أسبابها، وإحالة الأسباب إلى عمليات محددة يمكِّن فريق تكنولوجيا المعلومات من إنشاء أفضل ممارسات لتكنولوجيا المعلومات وتعزيزها، وتقوم حلول النظام والبرامج التي تسمح للمستخدمين بإدارة التغييرات بمنح هؤلاء المستخدمين بداية رئيسية في تأكيد الإذعان، وهذه الحلول تنجح أيضا في تحقيق استقرار تشغيلي أكبر.
ويساعد الإطار المقبول لممارسات تكنولوجيا المعلومات على التأكد من أن أدوات التحكم المطلوبة في مكانها الصحيح، وأكثر الأطر المقبولة انتشاراً في العالم في إدارة وتسليم خدمات تكنولوجيا المعلومات تتمثل في مكتبة البنية الأساسية لتكنولوجيا المعلومات ITIL التي تضم ما يزيد على 000 ،42 استشاري في جميع أنحاء العالم، وتقوم خدمة ITIL بتوفير مجلد شامل ومتماسك من أفضل الممارسات المأخوذة عن الخبرة الجمعية وحكمة آلاف الممارسين لتكنولوجيا المعلومات حول العالم،
ووفقا لأفضل ممارسات مكتبة ITIL، فإن كل الأنشطة مصنفة إما إدارة أو أداء خدمات، وببناء أفضل الممارسات على العمليات بدلا من تكنولوجيا محددة، فإن ITIL تركز على وضع خدمات تكنولوجيا المعلومات واحتياجات التجارة الفعلية جنبا إلى جنب، ونتيجة لذلك، تستطيع المؤسسات الدفع بأفضل ممارساتها نحو النضوج بغض النظر عن تكنولوجيات معينة، وأثبت هذا المنهج نجاحه بكفاءة، وصرحت شركة بروكتر وجامبل Proctor & Gamble أن تطبيق ممارسات ITIL قد وفر لها 125 مليون دولار سنويا من تكاليف تكنولوجيا المعلومات بما يمثل 1015% من ميزانية تكنولوجيا المعلومات السنوية الخاصة بها (مجلة كمبيوتر وورلد، 7 أكتوبر 2002).
إن تحسين الأمن وتبسيط الإذعان لهو الأكثر نجاحا في ثقافة إدارة التغيير، والممارسات الدقيقة لإدارة التهيئة، والاعتماد على إدارة الإصدار، التي توفر عملية يمكن تكرارها لتزويد بنية أساسية في حالة جيدة معروفة، أما عمليات إدارة التغيير، فتؤكد أن جميع تغييرات ما بعد الانتشار يتم استرجاعها.
فعالية أفضل الممارسات
يؤكد أحد الحلول المعتمدة في إدارة السلامة أن أدوات التحكم وأفضل ممارسات تكنولوجيا المعلومات الموضوعة في مكانها الصحيح لها أثر فعال، وتجعل إدارة السلامة، مثل تلك التي عملت بها مؤسسة باير، من السهل على محترفي تكنولوجيا المعلومات اقتفاء القياسات المحددة خلال إصدار النظام والتحكم المتنامي وعمليات حل المشكلات.
كما أن إدارة السلامة تمكِّن موظفي تكنولوجيا المعلومات من سرعة التحقق من تنفيذ التغيرات المطلوبة وإعادة التهيئة وإجراء إصلاحات أو ترقية البرامج بشكل صحيح عبر الشبكة، إن قدرات الاكتشاف السريع والإبلاغ المفصَّل واسترجاع النظام تلقائيا تشكِّّّّل قاعدة حيوية لتحقيق كفاءة واستقرار عاليين حتى عبر أضخم البنيات الأساسية، وقد توصل برنامج Tripwire إلى أن المؤسسات تستخدم حلول إدارة السلامة للتأكد من الحصول على خبرة فعالة لأفضل الممارسات.
1 مستويات خدمة أعلى (تُقاس بواسطة MTTR وMTBF).
2 حماية أفضل (تُقاس بواسطة التكامل المبكر للحماية في دورة حياة العمليات).
3 تكلفة فعالة (تُقاس بواسطة الحصول على نسب مدير خادمإلىنظام أعلى من 100:1) إن برنامج Tripwire، بالنسبة لأحد العملاء، قد أحدث ثورة في فعالية عمليات تكنولوجيا المعلومات، ووفقا لرئيس موظفي التكنولوجيا بالشركة، فإن النسبة النموذجية لأجهزة الخادمإلى مديري النظام تتراوح فيما بين 20 إلى 30:1، وعادة ما تحدد الإرشادات الخاصة بأفضل الممارسات مستوى أعلى من ذلك بكثير تصل إلى100:1، وبعد تثبيت برنامج إدارة السلامة، تمكنت الشركة من القضاء على الكثير من المشاكل المرتبطة بالتغييرات غير المخطط لها، وارتفعت نسبة الخادمإلى المدير إلى 115: 1 وقامت الشركة بإعادة توجيه جهود أفضل موظفيها نحو مشاريع تحسين عمليات خفض التكلفة.
الإذعان.. الفائدة الأولى فقط
هناك هدف واحد لبرنامج حلول إدارة السلامة بشركة باير فارمسوتيكال ألا وهو تأكيد وجود إذعان منتظم، وقد حققت الشركة استقرارا تشغيليا وفعالية من التنفيذ، والشركات الأخرى تريد تحسين وسائل الحماية لديها.وهي تعيش عمليات أكثر استقرارا، وتكاليف أقل، وقدرة على الوثوق ببيانات التدقيق، وعلى نحو مماثل، سيثبت استهداف الاستقرار الصالح للتشغيل نجاحه في عملية تدقيق مبسَّطة و بنية أساسية لنظام أكثر حماية وأكثر فعالية من حيث التكلفة.
إن العمل بقدرات إدارة السلامة المتوفرة في عروض البرامج والنظم الجديدة اليوم، بغض النظر عن توزيعها إلى شرائح، يضيف قيمة لا يمكنها أن تتقيد بمنطقة عمل واحدة، فإدارة السلامة تفيد كلا من العملاء ومزودي الحلول على حد سواء.

..... الرجوع .....

وادي السليكون
الالعاب
الركن التقني
الامن الرقمي
تعليم نت
قضية تقنية
دليل البرامج
اقتصاد الكتروني
نساء كوم
امال . كوم
الصفحة الرئيسة

ارشيف الاعداد الاسبوعية

ابحث في هذا العدد

للاشتراك في القائمة البريدية

للمراسلة


توجه جميع المراسلات التحريرية والصحفية الى chief@al-jazirah.com عناية رئيس التحرير
توجه جميع المراسلات الفنية الى admin@al-jazirah.com عناية مدير وحدة الانترنت

Copyright 2002, Al-Jazirah Corporation, All rights Reserved