لخّصلي

ان ما يحدث في أي جزء من العالم قد يكون له تأثير بسيط أو كبير على البيئة الاقتصادية المحلية. يتعين على أي شركة بغض النظر عن عملياتها وحجمها ومنطقة عملياتها أن تثبت قدرتها على أدى تطور أحدث تكنولوجيا المعلومات والاتصالات إلى بناء أنظمة متكاملة للشركة تجعل تخزين المعلومات مرنة للمعلومات والتي تكون قابلة للتكيف بسهولة مع التغيرات في بيئتها التشغيلية، يكون قادرًا على التكيف بسرعة حيث تشهد بيئة الأعمال العالمية الجديدة تغييرًا وتحولا مستمرًا وسيكون هذا التعديل مستحيلاً دون مساعدة تكنولوجيا المعلومات الجديدة والبنية التحتية للكمبيوتر التي تدور حول شبكة قد يكون استخدام شبكات وأنظمة الاتصالات خطيرًا لأنه قد يواجه أحداثا غير متوقعة مثل تعطل وإذا نظرنا إلى الشركة من هذا المنظور فإن النظام المحاسبي يعتبر أهم عنصر في نظام معلومات الشركة

1. يعتبر نظام المعلومات المحاسبية هو النظام الوحيد الذي يسمح للإدارة والمستخدمين الخارجيين بالحصول 2 يربط نظام المعلومات المحاسبية أنظمة المعلومات الفرعية الرئيسية الأخرى مثل التسويق والموارد البشرية والبحث والتطوير والإنتاج وما إلى ذلك، إلى الحد الذي يمكن فيه التعبير عن جميع المعلومات
2. يتم دمج المعلومات غير المالية في مجالات مثل المسؤولية الاجتماعية والموارد البشرية مع المعلومات
3. تكامل المحاسبة مع الأنظمة الفرعية الأخرى يؤدي إلى تقديم معلومات أكثر دقة للمستخدمين وبسرعة تشير عبارة البنية التحتية للمعلومات إلى موارد المعلومات بما في ذلك أنظمة الاتصالات والكيانات فضلاً عن البنية التحتية العالمية للمعلومات. المهاجمين المحتملين Attackers: المصادر الرئيسية للمخاطر التي قد تواجهها أنظمة المعلومات المحاسبية هي الأشخاص داخل الشركة علاوة على ذلك يمثل الأشخاص خارج الشركة مصدرًا مهما للخطر في بعض الحالات لأنهم أكثر تحفيزا ويصعب اكتشافهم والتحقيق معهم من الأشخاص داخل الشركة من المحتمل أن يتسبب "الوكلاء" التاليون في حدوث مشكلات متعلقة بالأمان لنظام المعلومات المحاسبية: أفضل بنقاط ضعف النظام، ويمكنهم إجراء عمليات تضر بالشركة وقد يقومون بحذف السجلات الرقمية الاستشاريون موظفو خدمة النظام ويتمتع هؤلاء الأشخاص بإمكانية الوصول بشكل متكرر إلى المناطق الموردون الزبائن: لا تتوافق أسبابهم الاقتصادية دائما مع أسباب الزبون المورد, وفي بعض الأحيان قد يتخذون إجراءات من المحتمل أن تشكل مخاطر متعلقة بالأمن. مرتزقة تكنولوجيا المعلومات / المجرمين المحترفين (الهاكرز): الأشخاص الذين يخترقون أنظمة الأشخاص بخبرة تقنية عالية إنهم مدربون جيدا ويمكنهم في أغلب الأحيان متابعة اهتماماتهم دون أن يتم اكتشافهم الحوادث الكوارث الطبيعية: يمكن أن تتسبب في فقدان المعلومات المهمة أو قد تجعلها غير متاحة. 1) الدافع الاجتماعي: يحاول المهاجمون في هذه الفئة اكتساب شعور بالتفوق أو السيطرة أو الاندماج النظام، 3) الدافع السياسي: يحاول المهاجمون في هذه الفئة الحصول على الاهتمام السياسي من أجل الترويج لقضية معينة. مرتزقة تكنولوجيا المعلومات أو الشركات المختلفة أو حتى الأشخاص الذين يتعاملون مع الأمور السرية للمعلومات وما الى ذلك. قد يكون للهجمات على البنية التحتية لنظام المعلومات المحاسبية أشكال مختلفة يمكننا التمييز بين نوعين من الهجمات: في الموقع أو عن بعد). ثانيا: يمكن إجراء تصنيف ثان وفقا للطريقة التي يتفاعل بها المهاجم مع المعلومات بعد الهجوم الناجح. في معظم الحالات يجب أن يكون الشخص قادرًا على التعامل مع الأنواع التالية من الهجمات: ومفرقعات كلمات المرور، فيجب على المرء أن يأخذ في الاعتبار الفنات المختلفة من "البرامج الضارة، على 3:33 برنامج كسر كلمة المرور Apassword cracker : هو برنامج يمكنه كسر كلمات المرور أو تجاوز الماسح الضوئي the scanner : هو تطبيق مفيد يستخدم للكشف تلقائيا عن نقاط الضعف في أمان من نقاط الدخول لاختراق النظام ثم تغطية هذه الثغرات الأمنية لاحقا. في البداية لتعزيز هذا الحاجز إلا أن وصولها إلى الجانب الآخر من الحاجز قد يسبب مشاكل خطيرة في المتشمم A sniffer : وهو عبارة عن مكون برمجي او جهاز مصمم للتنصت" و"النقاط" المعلومات المنقولة عبر الشبكة. ومن أجل التعرف على حركة المرور, هناك شروط معينة مطلوبة : يجب أن تسمح بنية الشبكة أو تكوين لوحة الشبكة بحدوث ذلك لا يمكن وضع أداة الشم داخل الشبكة إلا إذا وجد المهاجم ثغرة في نظام الأمان أو كان هو أو هي موظفا في الشركة التي ترغب في جمع معلومات سرية. الهندسة الاجتماعية social engineering : تستخدم الطبيعة البشرية لتأمين الوصول إلى المعلومات السرية غالبا ما تستهدف مثل هذه الهجمات الأشخاص السذج من بين موظفي المنظمة. الشركة وهي أن قواعد البيانات تمثل أكبر قدر من المعلومات التي تعمل بها الشركة, يمكن لقواعد البيانات الكشف عن التفاصيل الشخصية من خلال معالجة المعلومات العامة الأنواع الرئيسية للهجمات على قواعد البيانات هي المباشرة وغير المباشرة وعن طريق المراقبة. الهجمات من أجل منعها أو الحد من آثارها مثل برامج مكافحة الفيروسات وجدران الحماية، وتعليم المستخدم. تمثل التهديدات التي تؤثر على البنية التحتية لنظام المعلومات المحاسبية سواء كانت محتملة أو متخذة والتي ومتعمدة تلك المتعمدة هي الأكثر شيوعا وهي تنقسم إلى فئتين داخلية وخارجية تأتي التهديدات الداخلية من داخل الشركة حيث يمكن عليها بالإضافة إلى ذلك فهم على دراية بسياسة أمن الشركة . مثل وكالات الاستخبارات الأجنبية والإرهابيين والمنظمات الإرهابية والمجرمين والمتسللين . التهديدات التي تواجه البنية التحتية لنظام المعلومات المحاسبية على النحو التالي: التهديدات الأساسية والتهديدات غير المباشرة تمثل التهديدات الأساسية ما يريد المهاجم القيام به وتتمثل تمثل التهديدات الميسرة تلك التهديدات التي تسمح بالوصول إلى التهديدات الأساسية. في حد ذاته فالأمن كهدف يمكن تفسيره كدولة ولن يكون مثاليا أبدًا بغض النظر عن التدابير المتخذة لهذا وما إلى ذلك. وهي مصممة للحد من الوصول برنامج مكافحة الفيروسات هو أداة مساعدة تكتشف عمل البرنامج الضار وتقضي عليه سيكتشف برنامج مكافحة الفيروسات روتينا فرعيا وهو اللقاح الذي سيقضي على عمل الفيروس عند اختيار برنامج مكافحة واسم منتج البرنامج، برامج مكافحة الفيروسات على سبيل المثال من الصعب إجراء فحص الفيروسات من كل محطة عمل محطة عمل. وحدة تحكم واحدة، الشركات سوف يحمي جهاز الكمبيوتر أو الشبكة من الوصول غير المصرح به عند اختيار جدار الحماية كاشف التسلل هو عملية تكتشف الاستخدام السيء لمكونات البنية التحتية لمعلومات المحاسبة وتستجيب له. سيؤدي استخدام كاشف التسلل إلى تحقيق فوائد للشركة فيما يتعلق باكتشاف الهجمات وحظرها والرد عليها ودعم تقييم الأضرار المتكبدة بالإضافة إلى الأدلة المقبولة في المحكمة ضد الأشخاص المتهمين بالاستخدام كشف التسلل في المؤسسات الصغيرة يتم تضمين أجهزة كشف التسلل هذه في جدار الحماية المثبت. التشغيل تسهيل اكتشاف الاختراقات. حدث متوقع لمنع وقوع حدث من المحتمل أن يؤثر على أمن نظام المعلومات يجب اتخاذ تدابير محددة يتضمن تحليل المخاطر عملية تحديد المخاطر الأمنية وتحديد مدى هذه المخاطر وتحديد المناطق عالية المخاطر التي تحتاج إلى التأمين تحليل المخاطر هو جزء من مجموعة تقييم المخاطر هو نتيجة لتحليل المخاطر يمكن تعريف إدارة المخاطر شاملة من التدابير تسمى إدارة المخاطر, تقييم المخاطر هو نتيجة لتحليل المخاطر يمكن تعريف إدارة المخاطر ومن الحقائق المعروفة أن مديري الشركات يترددون في الاستثمار وعندما يقتنعون بضرورة تخصيص المبالغ المطلوبة لضمان الحماية تكون هذه وفي ظل هذه الظروف تحتاج المنشأة الى ضمان وجود نظام أمني لا تتجاوز نفقاته المبلغ المخصص, هناك حلان بديلان لهذه الحالة أي وتقليل تكاليف إجراءات التحقق الأول يسمح بأقصى درجة من الحماية ضد بعض التهديدات لكنه قد يترك أو منخفض، ومع ذلك يمكن قياس مستوى الأمان على الأقل من وجهة نظر وتحديد مراحل تنفيذ الأمن، وتحديد متطلبات الارتقاء بالأمن، وإبلاغ الموظفين بالإجراءات الأمنية المطلوبة، ويمكنهم إجراء كل من الدراسة والتنفيذ، فإننا نشير إلى مورد إدارة خدمات الأمان (SMS) أنها توفر كل من الخدمات الأمنية وإدارتها مستمرة. مع تزايد اعتماد الشركات والمؤسسات على التشغيل الموثوق لأنظمة المعلومات المحاسبية أصبحت مسألة أمن النظام ذات أهمية قصوى وتعتمد البنية التحتية لأمن المعلومات المحاسبية في الشركات الحديثة على شبكات الاتصالات, وبالتالي يمكن ان تحدث ثغرة أمنية مزدوجة محتملة في البنية التحتية التلاعب بالمعلومات والاستخدام غير فإن تنفيذ بعض الآليات المحددة له أهمية قصوى يبدأ هذا التنفيذ من المستوى المادي الحماية المادية لخطوط النقل وإجراءات منع الوصول إلى وتطبيق تقنيات تشفير البيانات (التشفير) طريقة محددة لحماية الاتصال والتكوين غير المناسب لعناصر الأجهزة والبرامج ونقص الدعم من الشركات المصنعة، وضعف المعرفة أو المشكلات الأمنية أو الجهل بها النقاط الواردة في يتطلب الواقع من حولنا اتباع نهج ثلاثي الأبعاد للمخاطر التي تواجهها البنية التحتية للمعلومات المحاسبية, التهديدات التي تعتبر أحداثًا أو أنشطة ( عمومًا) من خارج النظام الذي تم تقييمه والتي تؤثر على نقاط الضعف مما يسبب التأثير الذي يُفهم على أنه خسارة أو نتيجة للشركة أو المؤسسة قد يعاني على

المالد Introduction
إن الظواهر التي ميزت البيئة الاقتصادية خلال العقود الماضية كانت تحت شعار العولمة والترابط والتفاعل.
ان ما يحدث في أي جزء من العالم قد يكون له تأثير بسيط أو كبير على البيئة الاقتصادية المحلية. في ظل هذه
الظروف، يتعين على أي شركة بغض النظر عن عملياتها وحجمها ومنطقة عملياتها أن تثبت قدرتها على
البقاء وقدرتها على التواصل والتكيف بهدف تحقيق أداء اقتصادي ومالي يزيد من قدرتها التنافسية.
أدى تطور أحدث تكنولوجيا المعلومات والاتصالات إلى بناء أنظمة متكاملة للشركة تجعل تخزين المعلومات
والوصول إليها ونقلها أكثر سهولة ومن خلال تنفيذ مثل هذه الأنظمة، يتم تمكين الشركات من بناء بنى تحتية
مرنة للمعلومات والتي تكون قابلة للتكيف بسهولة مع التغيرات في بيئتها التشغيلية، وبالتالي إحداث ثورة في
طريقة إجراء العمليات.
المحاسبة هي لغة رسمية للتواصل التجاري والتي تسمح للشركة بالتمثيل داخليا وخارجيًا . وينبغي أيضا أن
يكون قادرًا على التكيف بسرعة حيث تشهد بيئة الأعمال العالمية الجديدة تغييرًا وتحولا مستمرًا وسيكون هذا
التعديل مستحيلاً دون مساعدة تكنولوجيا المعلومات الجديدة والبنية التحتية للكمبيوتر التي تدور حول شبكة
الإنترنت. قد يكون استخدام شبكات وأنظمة الاتصالات خطيرًا لأنه قد يواجه أحداثا غير متوقعة مثل تعطل
أنظمة الاتصالات، أو فقدان المعلومات أو اتخاذ قرارات خاطئة.
وإذا نظرنا إلى الشركة من هذا المنظور فإن النظام المحاسبي يعتبر أهم عنصر في نظام معلومات الشركة
للأسباب التالية :

1. يعتبر نظام المعلومات المحاسبية هو النظام الوحيد الذي يسمح للإدارة والمستخدمين الخارجيين بالحصول
   على صورة شاملة عن الشركة.
   2 يربط نظام المعلومات المحاسبية أنظمة المعلومات الفرعية الرئيسية الأخرى مثل التسويق والموارد
   البشرية والبحث والتطوير والإنتاج وما إلى ذلك، إلى الحد الذي يمكن فيه التعبير عن جميع المعلومات
   التي توفرها هذه الأنظمة الفرعية في النهاية من الناحية المالية.


2. يتم دمج المعلومات غير المالية في مجالات مثل المسؤولية الاجتماعية والموارد البشرية مع المعلومات
   المحاسبية للسماح بعملية اتخاذ القرار.
   2
   .4. تكامل المحاسبة مع الأنظمة الفرعية الأخرى يؤدي إلى تقديم معلومات أكثر دقة للمستخدمين وبسرعة
   أعلى.
   تشير عبارة البنية التحتية للمعلومات إلى موارد المعلومات بما في ذلك أنظمة الاتصالات والكيانات
   والأشخاص ذوي الخبرة في هذا المجال. ومن أمثلة البنى التحتية البنية التحتية لمعلومات الشركات، والبنية
   التحتية للمعلومات الدفاعية, والبنية التحتية للمعلومات الوطنية، فضلاً عن البنية التحتية العالمية للمعلومات.

المهاجمين المحتملين Attackers:

المصادر الرئيسية للمخاطر التي قد تواجهها أنظمة المعلومات المحاسبية هي الأشخاص داخل الشركة
والحوادث أو الكوارث الطبيعية. علاوة على ذلك يمثل الأشخاص خارج الشركة مصدرًا مهما للخطر في
بعض الحالات لأنهم أكثر تحفيزا ويصعب اكتشافهم والتحقيق معهم من الأشخاص داخل الشركة من المحتمل
أن يتسبب "الوكلاء" التاليون في حدوث مشكلات متعلقة بالأمان لنظام المعلومات المحاسبية:
الموظفون يتم منحهم الثقة ولديهم إمكانية الوصول إلى نظام المعلومات مما قد يمكنهم من تطوير معرفة
أفضل بنقاط ضعف النظام، ويمكنهم إجراء عمليات تضر بالشركة وقد يقومون بحذف السجلات الرقمية
أيضا
الاستشاريون موظفو خدمة النظام ويتمتع هؤلاء الأشخاص بإمكانية الوصول بشكل متكرر إلى المناطق
الحساسة في نظام المعلومات، مما قد يمكنهم من إجراء مجموعة واسعة من العمليات.
الموردون الزبائن: لا تتوافق أسبابهم الاقتصادية دائما مع أسباب الزبون المورد, وفي بعض الأحيان قد
يتخذون إجراءات من المحتمل أن تشكل مخاطر متعلقة بالأمن.
المنافسين من المحتمل أن يستفيد أفراد أو شركات أخرى من الخسائر التي تتكبدها الشركة نتيجة لمثل
هذه الهجمات على نظام المعلومات.
مرتزقة تكنولوجيا المعلومات / المجرمين المحترفين (الهاكرز): الأشخاص الذين يخترقون أنظمة
المعلومات بشكل غير قانوني ويسببون الضرر عمدًا وتكون دوافعهم متنوعة بشكل عام.
خبراء التجس: إنهم محترفون في الحصول على المعلومات نيابة عن الشركات الأخرى. يتمتع هؤلاء
الأشخاص بخبرة تقنية عالية إنهم مدربون جيدا ويمكنهم في أغلب الأحيان متابعة اهتماماتهم دون أن يتم
اكتشافهم
الحوادث الكوارث الطبيعية: يمكن أن تتسبب في فقدان المعلومات المهمة أو قد تجعلها غير متاحة.
3
عادة ما ينقسم مهاجمو أنظمة المعلومات حسب دوافعهم إلى أربعة فئات رئيسية هي:
(1) الدافع الاجتماعي: يحاول المهاجمون في هذه الفئة اكتساب شعور بالتفوق أو السيطرة أو الاندماج
في مجموعة معينة.
(2) التحفيز الفني: يحاول المهاجمون في هذه الفئة "التغلب". النظام، كنوع من التحدي الفكري.
(3) الدافع السياسي: يحاول المهاجمون في هذه الفئة الحصول على الاهتمام السياسي من أجل الترويج
لقضية معينة.
(4) التحفيز المالي يحاول المهاجمون في هذه الفئة الحصول على منفعة شخصية (أي الجواسيس أو
مرتزقة تكنولوجيا المعلومات أو الشركات المختلفة أو حتى الأشخاص الذين يتعاملون مع الأمور
السرية للمعلومات وما الى ذلك.
قد يكون للهجمات على البنية التحتية لنظام المعلومات المحاسبية أشكال مختلفة
أولاً: يمكن تصنيف الهجمات وفقا للموقع الذي يتم فيه تنفيذ الهجوم, يمكننا التمييز بين نوعين من الهجمات:
(في الموقع أو عن بعد).
ثانيا: يمكن إجراء تصنيف ثان وفقا للطريقة التي يتفاعل بها المهاجم مع المعلومات بعد الهجوم الناجح.
ويؤدي ذلك إلى فنتين من الهجمات السلبية والفعالة ).
في معظم الحالات يجب أن يكون الشخص قادرًا على التعامل مع الأنواع التالية من الهجمات:
فيروسات الكمبيوتر، وأحصنة طروادة والأبواب الخلفية، ومفرقعات كلمات المرور، والماسحات الضوئية،
، و هجمات الهندسة الاجتماعية.
فيروس الكمبيوتر computer viruses : هو مصطلح عام يصف أنواعًا مختلفة من الهجمات على
البنية التحتية نظرا لأن وجود تعليمات برمجية ضارة في أنظمة الحوسبة قد يعمل بشكل مختلف نظرا لتصميم
التعليمات البرمجية ذاته, فيجب على المرء أن يأخذ في الاعتبار الفنات المختلفة من "البرامج الضارة، على
سبيل المثال الفيروسات وأحصنة طروادة، والقنابل والأبواب الخلفية، والخدع، وما إلى ذلك - عندما يشير
المرء إلى مثل هذه البرامج.

E
3:33
برنامج كسر كلمة المرور Apassword cracker : هو برنامج يمكنه كسر كلمات المرور أو تجاوز
حماية كلمة المرور أو إلغاء تنشيطها ومن بين الأساليب المستخدمة "لتخمين" كلمة المرور يشيع استخدام
الهجوم باستخدام القواميس.
الماسح الضوئي the scanner : هو تطبيق مفيد يستخدم للكشف تلقائيا عن نقاط الضعف في أمان
النظام. ومن خلال الماسح الضوئي سيتمكن المستخدم من التحقق في الموقع أو عن بعد. من نقاط الدخول
لاختراق النظام ثم تغطية هذه الثغرات الأمنية لاحقا. إذا استخدم شخص سيئ النية يتقن المعرفة المطلوبة
مثل هذه الأداة فسوف يتأثر أمن البنية التحتية لنظام المعلومات بشكل خطير. تم تصميم الماسحات الضوئية
في البداية لتعزيز هذا الحاجز إلا أن وصولها إلى الجانب الآخر من الحاجز قد يسبب مشاكل خطيرة في
ضمان الأمن.
المتشمم A sniffer : وهو عبارة عن مكون برمجي او جهاز مصمم للتنصت" و"النقاط" المعلومات
المنقولة عبر الشبكة. ومن أجل التعرف على حركة المرور, هناك شروط معينة مطلوبة : يجب أن تسمح بنية
الشبكة أو تكوين لوحة الشبكة بحدوث ذلك لا يمكن وضع أداة الشم داخل الشبكة إلا إذا وجد المهاجم ثغرة
في نظام الأمان أو كان هو أو هي موظفا في الشركة التي ترغب في جمع معلومات سرية.
الهندسة الاجتماعية social engineering : تستخدم الطبيعة البشرية لتأمين الوصول إلى المعلومات
السرية غالبا ما تستهدف مثل هذه الهجمات الأشخاص السذج من بين موظفي المنظمة.
تعرض الهجمات على قواعد البيانات بعض الميزات المحددة مقارنة بالمعلومات الأخرى الموجودة في
الشركة وهي أن قواعد البيانات تمثل أكبر قدر من المعلومات التي تعمل بها الشركة, يمكن لقواعد البيانات
الكشف عن التفاصيل الشخصية من خلال معالجة المعلومات العامة الأنواع الرئيسية للهجمات على قواعد
البيانات هي المباشرة وغير المباشرة وعن طريق المراقبة. ويمكن تطبيق الاجراءات المضادة على مثل هذه
الهجمات من أجل منعها أو الحد من آثارها مثل برامج مكافحة الفيروسات وجدران الحماية، ومحللي حركة
المرور والتصحيحات والإصلاحات، وأنظمة التشغيل الأمنة، التطبيقات الأمنة، وكلمات المرور الكافية،
وتعليم المستخدم.
S
التهديدات Threats
تمثل التهديدات التي تؤثر على البنية التحتية لنظام المعلومات المحاسبية سواء كانت محتملة أو متخذة والتي
قد تهاجم النظام
تنقسم التهديدات الموجهة ضد الأمن إلى ثلاث فئات طبيعية جسدية عرضية، ومتعمدة تلك المتعمدة هي
الأكثر شيوعا وهي تنقسم إلى فئتين داخلية وخارجية تأتي التهديدات الداخلية من داخل الشركة حيث يمكن
لموظفيها الوصول بسهولة إلى المعلومات وذلك بسبب وجود عدد أقل من الحواجز التي يتعين عليهم التغلب
عليها بالإضافة إلى ذلك فهم على دراية بسياسة أمن الشركة . تأتي التهديدات الخارجية من العديد من الفئات
مثل وكالات الاستخبارات الأجنبية والإرهابيين والمنظمات الإرهابية والمجرمين والمتسللين . ويمكن تصنيف
التهديدات التي تواجه البنية التحتية لنظام المعلومات المحاسبية على النحو التالي: التهديدات الأساسية
والتهديدات الميسرة، والتهديدات غير المباشرة تمثل التهديدات الأساسية ما يريد المهاجم القيام به وتتمثل
هذه التهديدات في تسرب المعلومات والتلاعب بالمعلومات والاستخدام غير المشروع.
تمثل التهديدات الميسرة تلك التهديدات التي تسمح بالوصول إلى التهديدات الأساسية. يمكن تصنيف
التهديدات الميسرة على أنها برامج ضارة، وتجاوز أمني، وانتهاك التفويض.
وتنبع التهديدات غير المباشرة من الخصائص الأساسية للإنترنت والبنية التحتية للمعلومات، على سبيل
المثال الاعتراض للمعلومات والخطأ الإداري.

الأمن Security
يتضمن ضمان أمن المعلومات تنفيذ أربعة أهداف السرية والنزاهة والتوافر وعدم الإنكار فالأمن ليس هدفا
في حد ذاته فالأمن كهدف يمكن تفسيره كدولة ولن يكون مثاليا أبدًا بغض النظر عن التدابير المتخذة لهذا
الغرض, ستكون هناك دائما بوابة غير مدروسة يمكن من خلالها مهاجمة نظام المعلومات المحاسبي. تقنيات
الأمان المصممة لإزالة المخاطر والحد من الخسارة هي التحكم في الوصول، وجدار الحماية، وبرامج مكافحة
الفيروسات، وتشفير الملفات، والتعريف الرقمي، والأمن المادي، وما إلى ذلك. وهي مصممة للحد من الوصول
إلى المعلومات إلى جانب تقييد التقنيات يجب إدارة أمان نظام البنية التحتية ومراقبته وصيانته .
برنامج مكافحة الفيروسات هو أداة مساعدة تكتشف عمل البرنامج الضار وتقضي عليه سيكتشف برنامج
مكافحة الفيروسات وجود رمز ضار (فيروس) في الكمبيوتر و بمجرد اكتشاف وجود فيروس سيطلق برنامج
مكافحة الفيروسات روتينا فرعيا وهو اللقاح الذي سيقضي على عمل الفيروس عند اختيار برنامج مكافحة
الفيروسات، يجب أن نأخذ في الاعتبار عدة معايير مثل محطة العمل عدد الفيروسات التي يمكنه اكتشافها،
الوقت اللازم للرد على الفيروس خيارات فحص الشبكة خيارات فحص البريد الإلكتروني، الحماية من
البرامج النصية، فحص الملفات المضغوطة وجود الدعم الفني ومدة التحديث المجاني المقدمة، واسم منتج
البرنامج، وموقع شركة البرنامج والموزع والسعر قد تواجه الشركات أو المؤسسات مشكلات عند استخدام
برامج مكافحة الفيروسات على سبيل المثال من الصعب إجراء فحص الفيروسات من كل محطة عمل
ومن الصعب التحديث من كل محطة عمل، ومن الصعب مراقبة أداء برنامج مكافحة الفيروسات على كل
7
محطة عمل. لذلك، من الضروري استخدام برنامج مكافحة الفيروسات الذي يسمح بالحماية والمراقبة من
وحدة تحكم واحدة، مع تحديث أمن ومستمر وإدارة مركزية.
جدار الحماية هو نظام يستخدم لتنفيذ السياسات المصممة للتحكم في الوصول إلى نظام الشركة أو بين
الشركات سوف يحمي جهاز الكمبيوتر أو الشبكة من الوصول غير المصرح به عند اختيار جدار الحماية
يجب مراعاة المعايير التالية درجة الأمان ونظام التشغيل والإدارة.
كاشف التسلل هو عملية تكتشف الاستخدام السيء لمكونات البنية التحتية لمعلومات المحاسبة وتستجيب له.
سيؤدي استخدام كاشف التسلل إلى تحقيق فوائد للشركة فيما يتعلق باكتشاف الهجمات وحظرها والرد عليها
ودعم تقييم الأضرار المتكبدة بالإضافة إلى الأدلة المقبولة في المحكمة ضد الأشخاص المتهمين بالاستخدام
التعسفي لمكونات البنية التحتية وفقاً لخصوصية الشركة وحجمها، يمكن للمرء اختيار نوع معين من أجهزة
كشف التسلل في المؤسسات الصغيرة يتم تضمين أجهزة كشف التسلل هذه في جدار الحماية المثبت. تحليل
سجلات جدار الحماية أو جهاز التوجيه سوف يشير إلى محاولات التطفل علاوة على ذلك يمكن لأنظمة
التشغيل تسهيل اكتشاف الاختراقات.
التحليل المقاط ادر Riskanal
يمكن تعريف المخاطر بأنها تهديد محتمل قد يستغل نقاط الضعف في نظم المعلومات المحاسبية. الخطر هو
حدث متوقع لمنع وقوع حدث من المحتمل أن يؤثر على أمن نظام المعلومات يجب اتخاذ تدابير محددة
وتسمى هذه التدابير الأمنية. يتضمن تحليل المخاطر عملية تحديد المخاطر الأمنية وتحديد مدى هذه المخاطر
المحتملة، وتحديد المناطق عالية المخاطر التي تحتاج إلى التأمين تحليل المخاطر هو جزء من مجموعة
شاملة من التدابير تسمى إدارة المخاطر, تقييم المخاطر هو نتيجة لتحليل المخاطر يمكن تعريف إدارة المخاطر
شاملة من التدابير تسمى إدارة المخاطر, تقييم المخاطر هو نتيجة لتحليل المخاطر يمكن تعريف إدارة المخاطر
على أنها مجموعة من الأساليب التي تهدف إلى تحديد أو فحص أو إزالة أو تقليل الأحداث التي قد تؤثر
على موارد النظام وتشمل هذه الهيئة تحليل المخاطر وتحليل التكاليف، واختيار الآليات، وتقييم الاجراءات
الأمنية المطبقة، فضلا عن التقييم الشامل للأمن.
يتم إجراء تحليلات المخاطر هذه بشكل رئيسي داخل الشركات الكبيرة وداخل بعض المؤسسات المتوسطة
الحجم ولا تمتلك الشركات الصغيرة موظفين متخصصين ولا الأموال اللازمة لدفع ثمن هذا التقييم ومع
يجب
ذلك
، اتخاذ الحد الأدنى من التدابير الأمنية, ومن الحقائق المعروفة أن مديري الشركات يترددون في الاستثمار
8
في شيء ليس له ربح مباشر .. وعندما يقتنعون بضرورة تخصيص المبالغ المطلوبة لضمان الحماية تكون هذه
المبالغ عادة أقل من حد المتطلبات. وفي ظل هذه الظروف تحتاج المنشأة الى ضمان وجود نظام أمني لا
تتجاوز نفقاته المبلغ المخصص, يمكن تسمية هذا بالأمان المقيد ماليا. هناك حلان بديلان لهذه الحالة أي
تغطية التهديدات الأكثر احتمالية لحدوثها مع الحفاظ على طرق الفحص الأولية أو تغطية جميع التهديدات
وتقليل تكاليف إجراءات التحقق الأول يسمح بأقصى درجة من الحماية ضد بعض التهديدات لكنه قد يترك
تهديدات مكشوفة جزئيًا أو كليًا ويتطلب هذا الأخير خفض النفقات اللازمة لضمان التحقق من وجود تهديد
محدد بحيث يمكن تغطية جميع التهديدات المحتملة من الصعب قياس الأمن كميا ويمكن تقديره على أنه
مرتفع، أو متوسط، أو منخفض، أو مفقود. ومع ذلك يمكن قياس مستوى الأمان على الأقل من وجهة نظر
مالية, إن تنفيذ أو اختبار وتحديث نظام أمني سيؤدي دائمًا إلى توليد تكاليف تتعلق بالمعدات والموارد البشرية
إن وضع برنامج أمني هو العملية التي تضمن بها الشركة أو المؤسسة أمنها ويتضمن هذا البرنامج خمس
خطوات وهي تعيين الموظفين المسؤولين عن ضمان الأمن، وتحديد مراحل تنفيذ الأمن، وتحديد متطلبات
الارتقاء بالأمن، وإبلاغ الموظفين بالإجراءات الأمنية المطلوبة، والتدقيق والمراقبة الأمنية هناك حالات
يتطلب فيها ضمان الأمن الاستعانة بمنظمات متخصصة . ويمكنهم إجراء كل من الدراسة والتنفيذ، أو الدراسة
فقط، بينما يتم التنفيذ مع موظفي الشركة. غالبًا ما يتم الاستعانة بالخدمات المتخصصة من قبل المؤسسات
الصغيرة الحجم أو عندما يتطلب رفع مستوى مؤهلات الموظفين المسؤولين عن ضمان الأمن تكاليف عالية.
يمثل الاستعانة بمصادر خارجية خيار الشركة للخدمات الأمنية التي يضمنها طرف ثالث. إذا كان الأمر كذلك،
فإننا نشير إلى مورد إدارة خدمات الأمان (SMS) أنها توفر كل من الخدمات الأمنية وإدارتها مستمرة.
استنتاجات Conclusion
مع تزايد اعتماد الشركات والمؤسسات على التشغيل الموثوق لأنظمة المعلومات المحاسبية أصبحت مسألة
أمن النظام ذات أهمية قصوى وتعتمد البنية التحتية لأمن المعلومات المحاسبية في الشركات الحديثة على
شبكات الاتصالات, والتي تكون بشكل عام هياكل مفتوحة يمكن توصيل عدد كبير ومتنوع من المكونات بها,
وبالتالي يمكن ان تحدث ثغرة أمنية مزدوجة محتملة في البنية التحتية التلاعب بالمعلومات والاستخدام غير
المصرح به من أجل ضمان أمن نظام المعلومات المحاسبية، فإن تنفيذ بعض الآليات المحددة له أهمية
قصوى يبدأ هذا التنفيذ من المستوى المادي الحماية المادية لخطوط النقل وإجراءات منع الوصول إلى
الشبكات جدار الحماية البرمجيات)، وتطبيق تقنيات تشفير البيانات (التشفير) طريقة محددة لحماية الاتصال
بين التطبيقات التي تعمل على أجهزة كمبيوتر مختلفة في الشبكة ومن بين أسباب ضعف شبكات الاتصالات
نذكر الأخطاء البرمجية في التطبيقات وضعف توثيقها، والتكوين غير المناسب لعناصر الأجهزة والبرامج
ونقص الدعم من الشركات المصنعة، وضعف المعرفة أو المشكلات الأمنية أو الجهل بها النقاط الواردة في
هذه الورقة تمكننا من النظر في البيئة الرقمية باعتبارها مخاطر جديدة من أجل ضمان الحماية الفعالة للبيانات.
يتطلب الواقع من حولنا اتباع نهج ثلاثي الأبعاد للمخاطر التي تواجهها البنية التحتية للمعلومات المحاسبية, أي
التهديدات التي تعتبر أحداثًا أو أنشطة ( عمومًا) من خارج النظام الذي تم تقييمه والتي تؤثر على نقاط الضعف
داخل اي النظام، مما يسبب التأثير الذي يُفهم على أنه خسارة أو نتيجة للشركة أو المؤسسة قد يعاني على
المدى القصير أو المتوسط أو الطويل. لا يمكن إزالة المخاطر داخل الشركة تماما، فهي ستكون موجودة دائما
, ما يمكن أن تفعله إدارة الشركة هو تقليله إلى درجة يمكن التحكم فيها.