ممعيرة المفاهيم والتحكم الأكاديمي في الدراسات الأمنية الإلكترونية
أهلا بالجميع،
نستمر في هذا المقال في دراسة كيفية ممعيرة بعض المفاهيم التي يمكننا وفقها الإستمرار في دراسة المفاهيم وطرح العديد من الأفكار المعقدة. كما نستمر أيضا وفق ما طرحناه سابقا.
يمكن التعامل مع المنظمة العالمية للمعايير على عدة مستويات لكن الذي يهمنا هنا هو كيفية تعاملها مع التحديات التقنية في شقها الأمني، لهذا يجب أن نعرف كيفية تعامل دول العالم مع هذه المنظمة، فعدد دول المنظمة إليها وصل إلى 162 دولة لحد الآن، وتصنف هذه الدول إلى ثلاثة أنواع من العضويات:
أعضاء الهيئة: وتعد هذه الدول الممثل الرئيسي للهيئة والمعايير في كل بلد، وهذه الفئة من الدول هي الوحيدة التي لديها الحق في التصويت.
الأعضاء المراسلة: وتمثل هذه الفئة الدول التي لا تعتمد معايير محددة خاصة بها، هذه الفئة من الدول على دراية بأعمال المنظمة العالمية للمعايير، لكنها لا تشارك في مناقشة أو إصدار هذه المعايير.
الأعضاء المشتركون: وتمثل هذه الفئة، الدول ذات المستوى الإقتصادي الضعيف، تدفع هذه الدول رسوما أقل للعضوية، ويمكنها متابعة التطورات التي تحدث داخل المنظمة وطبعا يجب أن يذكر هنا أن إعتماد شهادة من مختلف شهادات الأيزو لا يعد مجانيا، فإذا أرادت أي دولة، أو منظمة، أو إتحاد، أو شركة، أو أي كان الحصول على ترخيص إعتماد شهادة الجودة مثلا في منتوج معين، يجب عليه إذ دفع مقابل مالي من أجل إجراء الرقابة وإعطائه الترخيص اللازم من أجل الحصول على شهادة الجودة، وذلك طبعا لا يكون للأبد، بل يجدد كل سنة، أو سنتين، أو ثلاثة سنوات، حسب نوع الإعتماد، فإشتراط بعض التكتلات الإقليمية مثل ما هو الحال مع الإتحاد الأوروبي شهادات جودة معينة حتى تسمح للمنتوجات بالدخول إلى الدول الأوروبية؛ جعل من الحصول على الترخيص في بعض الأحيان شرط لا يمكن الهروب منه ولا بد منه من أجل دخول السوق.
من هنا، يمكننا المرور إلى أهمية المصطلحات:
لقد تطورت المفاهيم التي تتعلق بالأمن الإلكتروني مع مرور الوقت، وقد ساهم هذا التطور المستمر في خلق لغة خاصة في هذا المجال، كما لغة خاصة في عالم متعدد المجتمعات والثقافات، وذلك تجنبا لأي إختلاف في التعاطي مع المفاهيم، هذه الإختلافات في تحديد المفاهيم ، وتقديم شرح موحد لها، أدت في العديد من الأحيان إلى عدم وجود أرضية لفهم الآخر، وعزز ذلك الإبتعاد عن الأمور الأهم التي تتعلق بالبيئة الإلكترونية والإعتماد على مقاييس غير ثابتة وموحدة للتعبير على مصطلحات معينة من أجل وصف أشياء محددة، وأصبح النقاش يدور حول الأصول الأنطولوجية، وكيف يمكن تحديد المفهوم الصحيح والمناسب. فالصناعة المعجمية (Lexicography) وطريقة تحديد وتصنيف المفاهيم، يعد شيء مهما خاصة في العلوم التطبيقية، وتوحيدها سيدفع بالعلم إلى الأمام.
ولهذا فإن العمل على توحيد اللغة المستخدمة من أجل التعبير على مصطلحات محددة خاصة فيما يخص الأمن الإلكتروني سيسمح بوجود اتفاق وتفاهم بين مختلف الباحثين في مجال الأمن الإلكتروني، كما أن إدراج هذه المعايير في ظل مقاييس عالمية سيسمح ومع مرور الوقت بخلق وعي موحد بهذه المخاطر.
هناك العديد من الخبراء الذين يعملون بشكل مستقل في مجال الأمن الإلكتروني والنتائج التي يخرجون بها يمكن أن تشكل خطرا وتحديا حقيقيا، خاصة إذا تم إعتماد معايير، ومقاييس، ومصطلحات، تم التعبير بها على شيء آخر أو على نظام آخر. ولهذا يُرى أنه من الأحسن توحيد المعايير واللغة المعتمدة، ومثل هذه المقاربة لا توجد فقط في مجال أمن الأنظمة الإلكترونية، بل تمثل أحد الأسس في عقيدة البحث العلمي في العديد من التخصصات العلمية التطبيقية.
ووفقا لما سبق، يمكن القول أنه هناك مجموعة من المصطلحات المهمة والأساسية، والتي على كل متخصص وباحث في الأمن الإلكتروني أن يعرفها، كونها تعكس أهم ما يوجد في حقل الأمن الإلكتروني ويمكن تحديد أهمها فيما يلي:
الضمان أو الأمان: وهي أرضية الأمان التي يتم إعتمادها، وذلك من أجل إعطاء التأكيد على أن المنتج أو العملية أو الخدمة التي يتم تقديمها، تتوفر على كامل الميزات والشروط الضرورية.
التوفر أو الإتاحة: وهي الخاصة أن تكون خدمة معينة متاحة لجهة مخول لها للدخول أو استخدام ميزة معينة، وتشير أيضا إلى القدرة على البقاء في الخدمة متى طلبها أي شخص مخول له بذلك.
الخصوصية: وهو أن تكون المعلومات غير متوفرة للجميع، وأن تكون فقط متاحة للأشخاص المخول لهم ذلك.
المراقبة أو السيطرة: وتشير إلى إدارة الخطر، والتعامل مع السياسيات، والعمليات، والتوجيهات، كما التعامل مع التنظيم الهيكلي، والذي يمكن أن تكون له علاقة بالإدارة، أو بالجانب التقني، أو التسيير، أو الجانب القانوني، ويمكن أيضا أن تستعمل كلمة المراقبة على نظام دفاعي معين، أو إجراء دفاعي؛ الرقابة بشكل عام دائما تتمثل في مجموعة من العمليات التقنية، والتنفيذية، والتسييرية.
السلامة: وهي القدرة أو الميزة التي تهدف إلى الحرص على أن المعلومات أو البيانات لم يتم التلاعب بها أو تغييرها أو حذفها، بطريقة غير مسموح أو مصرح بها، أو بطريقة غير مرئية، أو خفية.
أمن المعلومات: وتتمثل في الحفاظ على خصوصية، أمان، وتوفر المعلومات، بالإضافة إلى أهداف أخرى مثل موثوقية المعلومات، والمسائلة (الجانب القانوني)، والتأكيد (الشهادات الرقمية)، وهندسة الوثوقية (قدرة النظام على العمل ضمن قواعد معينة) أيضا يمكن أن تدرج هنا.
التأكيد أو وقف التنصل أو الإنكار: وتشير إلى القدرة على إثبات أنه تم القيام بفعل معين أو تم إتخاذ إجراء معين، أو إثبات حصول حدث ما، لك لا يتم تكرار هذه العملية لاحقا.
منظمة: ويمكن أن تكون مؤسسة، أو شركة، أو مشروع، أو سلطة، أو مركز، سواء كانت خاصة أو عامة، لديها وظائفها الخاصة، وطريقة عمل، ولديها إدارتها الخاصة، ولديها القدرة على الحرص، وتأكيد بأن المعلومات الموجودة لديها هي مؤمنة بشكل كافي.
سياسة الإستخدام: وتمثل التوجيهات العامة التي تفرضها الإدارة على طريقة تسيير أعمالها، أو علن طريقة عرض.
المعالجة: وهي مجموعة من التفاعلات المتداخلة والمترابطة، والتي تقوم بتحويل المدخلات إلى مخرجات. المدخلات في عملية معينة، تمثل المخرجات في عملية أخرى. عملية المعالجة في منظمة ما، تقام في العادة تحت رقابة وظروف محكمة، وذلك بسبب القدرة على إضافة قيم معينة أثناء هذه العملية وهو الأمر الذي يجعل منها عملية خطيرة.
المخاطرة أو الخطر: وتشير إلى احتمال أن تهديد ما أو جهة ما ستقوم باستغلال ضعف أصول معينة أو مصادر معينة، هذه الأصول أو المصادر، يمكن أن تكون مصدرا للثروة، أو الاستغلال الغير القانوني، ويمكن أن تكون لأي أغراض تهدف إليها جهة معينة. هذا النوع من المخاطر سيسبب أضرار كبيرة للمنظمة، وعملية قياس المخاطر، تتم عبر الجمع والمقارنة بين احتمال حدوث الخرق، والنتائج التي يمكن أن تترتب عنه.
إدارة المخاطر أو الخطر: وتتمثل في تنسيق الأعمال والأنشطة، من أجل إدارة المنظمة لما يتعلق الأمر بخطر محتمل، إدارة الخطر يتضمن في العادة إعادة تقييم الأوضاع الراهنة، معالجة وتحليل الخطر، إدراك الخطر الفعلي، ثم التبليغ عن الخطر.
الأمن: ويتمثل في جميع الجوانب التي لها علاقة بالحفاظ على الخصوصية، والسلامة، والتوفر، ووقف التنصل، والمسائلة، والصحة، والموثوقية.
الخطر: وهي قدرات، نوايا، طرق وأساليب هجوم العدو، أي ظرف أو حدث، أكان من مصدر خارجي أو داخلي، تكون لديه القدرة على التسبب بأضرار للمعلومة، أو البرنامج، أو النظام.
الثقة أو الائتمان: وهي علاقة بين عنصرين، أي مجموعة من الأنشطة والسياسات الأمنية التي يتم إعتمادها، والتي يثق فيها العنصر أ بالعنصر ب إذا وفقط إذا كان للعنصر أ ثقة تامة في أن العنصر ب سيتعامل بطريقة محددة مسبقا، وأن هذه الطريقة لن تخالف أو تنتهك السياسة الأمنية.
الضعف أو قابلية الإصابة: وتعبر هذه النقطة عن ضعف في نظام المعلومات، نظام الإجراءات الأمنية، الرقابة الداخلية، أو في إدراج أو حقن معين يمكن أن يتم إستغلاله عبر تفعليه من قبل التهديد.
شكرا على مروركم،