واقع أمن المعلومات في الشركات: الموقع الإجتماعي Blippy كمثال
الكاتب: بشار | يوم: 27 أبريل, 2010 | التعليقات: 3 | القراءات: - عدد المشاهدات 5٬755
الحقيقة المؤكّدة والمؤسفة، هي أنّ الشركات بشكل عام، لا تلقي اهتماماً لأمن المعلومات، إلّا بعد “وقوع الفأس في الرأس” وحدوث اختراق لخوادمها أو بيانات عملائها. المثال الحيّ الأخير على ذلك، هو موقع Blippy الإجتماعي.
Blippy هو موقع اجتماعي يشارك فيه الأعضاء مشترياتهم. الجمعة الماضي (ابريل 23 2010) نشرت المواقع الإخبارية تقارير عن ظهور بطاقات الائتمان لبعض الاعضاء، في نتائج بحث غوغل. الشركة ذكرت أنّ هذا كان نتيجة لإهمال فنّي في شهر فبراير الماضي.
الّلافت والشاهد في الموضوع، جاء في تقرير الموقع حول الحادث. حيث ذكروا أنّ خطّتهم لتلافي هكذا خلل في المستقبل هي الآتي:
1- تعين مدير أمن معلومات مع طاقم مختصص، مهمّتهم فقط هي التركيز على المواضيع ذات الطبيعة الأمنيّة.
2- التعاقد مع طرف ثالث من أجل عمل مسح وتدقيق لأمن البنية التحتية والتطبيقات.
3- الاستثمار بشكل مكثّف في فلاتر ترشيح البيانات الحسّاسة.
4- انشاء مركز أمن وخصوصيّة يحتوي على معلومات حول كيف يقوم الموقع بحفظ بيانات عملاؤه وحمايتها.
طبعاً جميع ما ذكر جميل وهام جدّاً، ولكن جاء متأخّراً. ثقة العملاء، والمستثمرين قد تأثّرت بلا شك بهكذا حادث. أضف له التضخيم الإعلامي أثناء تغطية الخبر. هذا كلّه سيضعف الموقع، وقد يقود حتى لنهايته كما حصل مع شركات أخرى.
أمن المعلومات مهم، والاستثمار فيه، فيه فائدة سواء على المدى القصير أو البعيد. ما تحاول الشركات فعله من تركيز على الرّبح عبر توسيع نشاطاتها وخدماتها، دون التركيز على الأمن إلّا بشكل بسيط، له نتائج قد تكون مدمّرة على هذه الشركات.
بشار ماجستير نظم معلومات. مهندس أنظمة يمتلك خبرة في إدارة أنظمة ويندوز ولينكس. باحث ومختصص في مجال أنظمة المعلومات، معالجة الحوادث الأمنيّة، تحليل الإختراقات الأمنيّة، وفحصوصات الاختراق. حاصل على العديد من الشهادات الأمنيّة. عضو في مجلس استشاريّي معهد سانز لأمن المعلومات.
التعليقات:
اترك تعليقاً | عدد التعليقات: (3)
فعلا كلام سليم الشركه او المجموعه او اي شيء ضخم مثل هذا الموقع لا يضعون صلب اعينهم اهمية الحماية ووجود رجال داخل الشركه يقومون بمهمات السكيورتي الا بعد ان تحدث الكارثه
شكرا دكتور بشار على الخبر
اخوك هيثم
أشكرك يا خوي يا بشار ,,
و كلامك هنا
(الحقيقة المؤكّدة والمؤسفة، هي أنّ الشركات بشكل عام، لا تلقي اهتماماً لأمن المعلومات، إلّا بعد “وقوع الفأس في الرأس” وحدوث اختراق لخوادمها أو بيانات عملائها)
هو صحيح 100% و يعتبرون أن الاختراق هو أسطورة لا تحدث لهم و أنه مجرد مزحة أو كلمة ترهيبية كالرجل الغامض اللذي نخيف به الأطفال. كما لاحظت شخصيا أن هناك كثير من الشركات تأخذ كلام المهتمين بالحماية بمحمل السخرية و يقولون (نحن لسنا بنك أو مخابرات لكي نهتم بالحماية)
الغريب أن هذه الكلمة صدرت أمامي من شخص ذو خبرة عالية في مجال الـ IT و انصدمت جدا من رده لكن أنا لا أناقش شخص في أمر إذا كان جزء من معتقداته و أحب أن يرى عكس معتقده (بأم عينه)
تحياتي و احترامي
شكراً لمداخلتك اخي صبري… الكلام هنا واقع. شركات انهارت، شركات تعرضت لمسألات قانونيّة بسبب الحماية. ولا تستغرب أن تسمع من الأشخاص الذين لهم باع طويل في ال IT يقولون مثل هذا الكلام. المثل يقول الحكيم من اتعظ بغيره.
النّاس تعتقد انّه كون مجال عمله عادي مكشوف، غير مهم إلخ فهو آمن من الهجمات ضدّه. ولا يفكرون في مسألة ماذا اذا تمّ استخدام حواسيبهم أو شبكاتهم، كمنصات هجوميّة على شبكات أخرى. يعني الهاكر لا يحتاج هنا الى سرقة “أسرار” مثل هكذا شبكات. فقط يكفيهم استخدامها لاغراض خبيثة أخرى وعلى فكرة دون ادنى معرفة من قبل هذا “الخبير” أو ذاك.