من يحمي للشركات شبكاتها؟

تناول استطلاع الرأي، الذي أجرته عبر الإنترنت مؤخرا مجلة الشبكات الشقيقة لويندوز NETWORK ME، مسألة أمن الشبكات في المنطقة وأشارت نتائجه إلا أن هناك الكثير من الدروس التي ينبغي على المنطقة أن تستفيد منها والكثير من الثغرات التي لا بد من رأبها، على رأسها مسألة رفع الوعي تجاه أهميه أمن البيانات من خلال تدريب الكوادر اللازمة. وعلى الرغم من تزايد الاهتمام بمسألة أمن الشبكات في الآونة الأخيرة وتزايد أعداد الشركات العاملة في هذا المجال في المنطقة، إلا أن 7% من المشاركين في الاستطلاع أشارو إلى أنهم لا يملكون أيا من منتجات الحماية مثبتة على شبكاتهم. بينما لا يعتبر الكثيرون هذه النسبة عالية إلى حد يدعو للقلق، يشير خبراء الأمن إلى أن تلك الشركات أو هؤلاء الأفراد الذين لا يملكون برامج لحماية البيانات يعرضون أنفسهم لعدة أخطار تتمثل في الفيروسات المدمرة أو اختراق نقاط الضعف الموجودة في أنظمتهم.

  • E-Mail
من يحمي للشركات شبكاتها؟ ()
 Nawras Sawsou بقلم  June 5, 2003 منشورة في 
COMPANY:
-

MAGAZINE:
-

AUTHOR:
-


مقدمة|~||~||~|تناول استطلاع الرأي، الذي أجرته عبر الإنترنت مؤخرا مجلة الشبكات الشقيقة لويندوز NETWORK ME، مسألة أمن الشبكات في المنطقة وأشارت نتائجه إلا أن هناك الكثير من الدروس التي ينبغي على المنطقة أن تستفيد منها والكثير من الثغرات التي لا بد من رأبها، على رأسها مسألة رفع الوعي تجاه أهميه أمن البيانات من خلال تدريب الكوادر اللازمة.

وعلى الرغم من تزايد الاهتمام بمسألة أمن الشبكات في الآونة الأخيرة وتزايد أعداد الشركات العاملة في هذا المجال في المنطقة، إلا أن 7% من المشاركين في الاستطلاع أشارو إلى أنهم لا يملكون أيا من منتجات الحماية مثبتة على شبكاتهم. بينما لا يعتبر الكثيرون هذه النسبة عالية إلى حد يدعو للقلق، يشير خبراء الأمن إلى أن تلك الشركات أو هؤلاء الأفراد الذين لا يملكون برامج لحماية البيانات يعرضون أنفسهم لعدة أخطار تتمثل في الفيروسات المدمرة أو اختراق نقاط الضعف الموجودة في أنظمتهم.
||**||1|~||~||~|
دين بيل، مدير شركة سكانيت الشرق الأوسط، أشار إلى أهمية تبني أساليب الحماية على صعيد الأفراد والشركات قائلا: ''كل فرد يجب أن يملك جدارا ناريا شخصيا وبرنامجا لمكافحة الفيروسات على أقل تقدير. والشركات كذلك الأمر يجب أن تقوم بالشيء ذاته''.

معظم الشركات العاملة في مجال الحماية أشارت إلى أن نسبة 7% هي نتيجة مطابقة للواقع إلى حد بعيد، على الرغم من أن من الصعب الاتفاق على عدد منتجات الحماية التي ينبغي أن يملكها المستخدم حتى يعتبر محميا تماما ضد كافة الأخطار. وقد أشارت بعض تلك الشركات إلى أن الشركات غير الموصولة إلى الإنترنت هي أقل عرضة للأخطار سيما أنها لن تتعرض لتنزيل الفيروسات من الإنترنت أو أن تكون شبكتها متاحة للمتسللين عبر الإنترنت. هؤلاء أشاروا أيضا إلى أن الأفراد الذين يدخلون إلى الإنترنت على نحو متقطع يكفيهم برنامج واحد لمكافحة الفيروسات. ويقول بيل شارحا: ''إذا لم تكن الشركة موصولة على نحو دائم إلى الإنترنت، ويقتصر دخولها إلى الإنترنت على فترات متباعدة وقصيرة فإن من شأن برنامج مكافحة الفيروسات أن يؤمن الحماية اللازمة ضد الفيرسات من نوع طروادة والدودة والتي تتخفى ضمن رسائل بريد إلكتروني مفخخة''.

تمثل منتجات مكافحة الفيروسات بالنسبة لمعظم الشركات الخيار الأول عندما تنوي تلك الشركات اتخاذ إجراءات الحماية لشبكاتها ومستخدميها. هذا ما عكسه أيضا الاستطلاع الذي أشارت نتائجه إلى أن 26% من المشاركين فيه يملكون إلا برامج لمكافحة الفيروسات.

يعلق على ذلك أدهم مغربي، المدير الإقليمي للمبيعات والتسويق في شركة ISS، بالقول: ''أنا متأكد تماما من أن الآخرين ممن أشارو إلى امتلاكهم أكثر من مجرد حل لمكافحة الفيروسات لا يملكون جميعا كافة عناصر الحماية التي يجب ان يمتلكونها. فالنسبة العظمى هي ممن يملكون برامج مكافحة للفيروسات وجدران نارية، وهذه وحدها لا تكفي لتأمين حماية تامة''. يؤيد مغربي في ذلك كيفن اسحق، المدير الإقليمي لشركة سيمانتك الشرق الأوسط وشمال أفريقيا، ويذهب إلى الإشارة إلى أن برامج الحماية من الفيروسات تعطى أهمية أكثر بكثير مما تستحق، على أنها تنهار وتعجز عن تأمين الحماية اللازمة ضد أكثر التهديدات شيوعا. ويشرح اسحق ذلك بالقول: ''هؤلاء الناس الذين يطمئنون أنفسهم على أنهم محميون ضد الأخطار لأنهم غير موصولين إلى الإنترنت يغفلون حقيقة أن معظم الأخطار تأتي من داخل الشركة وليس من الخارج''.
||**||2|~||~||~|
هذا وتعمل الشركات المنتجة لحلول الحماية دائما على تبني مجموعة متكاملة من مختلف هذه الحلول لحماية شبكاتهم، وتتضمن تلك المنتجات أنظمة اكتشاف المتطفلين إلى الشبكة، والجدران النارية الداخلية والخارجية، وحلول الحماية ضد الفيروسات. وقد ادعى 22% من المشاركين في الاستطلاع أنهم يملكون هذه المجموعة كاملة، إضافة إلى 37% أشاروا إلى أنهم يملكون مجموعة جزئية من تلك الحلول.

تنصح الشركات التي تقدم تلك الحلول بأن يتم تبني مجموعة من حلول الحماية بحيث يتم تنصيب مجموعة متكاملة من البرامج يتم إدارتها مركزيا، على أن يتم التأكد من الترقية الدائمة لها وتنزيل التحديثات والحلول الجديدة دائما. ويبدو أن الشركات باتت تستجيب لتلك النصائح وبات همها الأول أن تنجز نشر مثل تلك الحلول المتكاملة، كما أن الشركات العاملة في مجال الحماية باتت تطور الحلول المتكاملة وتقدم خدمات نشرها والتدريب على إدارتها.

في هذا الإطار يبدو أن الكثير من الشركات باتت تضع مسألة الحماية على سلم أولوياتها وقد أشار استطلاع أجرته سيمانتك إلى أن أعداد الهجمات الناجحة تراجعت خلال الأشهر الستة الأخيرة من العام 2002. وعلى الرغم من ذلك يزعم اسحق أن التهديدات تزداد خطورة يوما بعد يوم، وبالمقابل لا ترقى مستويات الوعي تجاه هذه الأخطار إلى الحدود المطلوبة في الشرق الأوسط. ويشير اسحق بالقول: ''ربما يكون عدد الهجمات قد تراجع في الأشهر الستة الأخيرة من العام 2002، إلا أن أعداد نقاط الضعف في الأنظمة تتزايد على نحو مخيف أيضا، ومن شأن ذلك أن يزيد بدوره من عدد الهجمات على نحو دائم''. ثم يتابع بالقول: ''تتمثل المشكلة الكبرى والخطيرة في الشرق الأوسط بالشعور باللامبالاة والموقف القائل ''هذا التهديدات لن تصل إلي''... فالتساهل في هذا المجال نتج ربما عن قناعة تلك الشركات حتى اليوم بأننا في الشرق الأوسط معزولون عن باقي بقاع العالم''.

أما دانييل نوفر، مدير التسويق في شركة كومغارد، فيتفق مع هذه الآراء إلا أنه أشار إلى أن نتائج الاستطلاع ربما كانت ستتغير لو كانت شركات المنطقة قد تعرضت لهجمة مدمرة (من طراز شيرنوبل أو فيروس الحب) قبيل إجراء الاستطلاع. ويشرح ذلك بالقول: ''الحقيقة، مع الأسف، هي أن الوعي والاهتمام بمسألة الأمن يزدادان بالتزامن مع ظهور خطر كبير أو بعد حدوث كارثة مدمرة. هذا الوعي والاهتمام لا يلبث أن يتلاشى بعيد انتهاء الخطر أو الكارثة''.

ربما ذهبت معظم الشركات العاملة في مجال الحماية إلى لوم المستخدمين من الأفراد والشركات على لامبالاتهم تجاه أهمية تبني حلول الحماية. ولكن بالمقابل نجد جستن دوو، مدير تريند مايكرو الشرق الأوسط وأفريقيا، يضع اللوم أيضا على تلك الشركات على أنها تتحمل جزءا من المسؤولية إذ أن من الواجب عليها أن تثقف السوق الإقليمية وترفع درجة الوعي تجاه نقاط الضعف ضد الاختراقات الأمنية، لا أن تسعى فقط إلى فرص التسويق والربح المادي. وقد أعرب عن ذلك بالقول: ''قبل أن تشير الشركات العاملة في ميدان الحماية إلى منطقة أو أخرى على أنها تفتقد إلى الوعي تجاه المسائل الأمنية، ينبغي عليها أن تقيّم أداءها أولا فيما يتعلق بما أنجزته من طرفها لنشر المعلومات إلى الناس والشركات في تلك المنطقة والجهود التي بذلتها لرفع الوعي تجاه المسائل الأمنية''.

ويشير دوو إلى أن الانتشار الواسع للشركات الصغيرة والمتوسطة SMBs في السوق المحلية تشكل تحديا للشركات العاملة في مجال الحماية. يتمثل هذا التحدي في قدرة الأخيرة على إيصال رسائل التوعية إلى هذه الشركات. يشرح دوو ذلك بالقول: ''لعل أكبر التحديات التي تواجهنا، بوصفنا نمثل صناعة قائمة بذاتها كشركات لتزويد حلول الحماية في الشرق الأوسط، هي الشركات الصغيرة والمتوسطة. فالمشكلة هي أن معظم تلك الشركات التي ينبغي أن تحصل على الوعي والتدريب الكافيين لا تملك مدراء تقنية معلومات تقتصر وظيفتهم على متابعة مسألة أمن شبكات تلك الشركات''.

بينما تحاول الشركات المقدمة للحلول التأكيد على أهمية تلك الحلول لتوفير الحماية وتطبيق سياساتها، تتفق جميع هذه الشركات على أن مجرد نشر حلول الحماية لن يشكل حماية مطلقة للشبكة. هذا ما أشار إليه اسحق من سيمانتك بالقول: ''ضمن سياسة الحماية التي يجب أن تتبعها الشركات تأتي المنتجات في آخر القائمة، إذ أنها مجرد أدوات يجب أن تجد خبراء مدربين لاستخدامها وتحتاج إلى أساليب معينة لتنظيم عملها''.
||**||3|~||~||~|
يجب أن ترتكز سياسات الحماية التي ينبغي على الشركات أن تتبناها على تدريب موظفيها ضمن الشركة، فما الفائدة من اتباع سياسة الحماية في شركة بينما لا يعرف العاملون فيها عن تلك السياسات وألية تطبيقها شيئا. ومن ناحية أخرى فإن تلك السياسات لن تعطي ثمارها فيما لو لم تكن متابعة دوما.

و بينما يستمر النقاش حول سياسات الحماية والمنتجات، تحاول الشركات المنتجة لحلول الحماية وتلك التي تقدم خدمات استشارية في هذا المجال أن تسهم في رفع سوية الوعي من خلال برامج التدريب وحلقات البحث المختلفة.

وتقوم شركات مثل سكانت Scanit وISS بتوفير مجموعة من المناهج التعليمية منها ما يتعلق ببرامج معينة ومنها ما هو عام، بينما تتابع شركة سيمانتك دعم وزيادة مرافقها التعليمية في كافة أنحاء المنطقة. هذا ما أشار إليه كيفن اسحق بالقول: ''قمنا مؤخرا بتعيين مركز Synoptics كشريك للتدريب في السعودية، ونتفاوض حاليا مع شريك آخر في مصر للقيام بخطوة مماثلة هناك''.

فيما يتعلق بمسألة التدريب، يبدو أن مسألة الأمن تتصدر أجندة الشركات التي تعنى بالتدريب في المنطقة أيضا، إذ تركز هذه الشركات على زيادة مناهج الحماية بحيث تساير تزايد الاهتمام بهذا القطاع في صناعة تقنية المعلومات. من ناحية أخرى تقوم شركة تريند مايكرو بتدرب وكيل التوزيع المعتمد لديها للتأكد من أن الأخير مدعم بالمعلومات اللازمة وقادر على نقلها إلى العملاء والمستخدمين الأفراد على نحو أفضل. هذا ما أشار إليه دوو بالقول: ''عندما نسعى لتأهيل وكيل التوزيع المعتمد لدينا، فهذا يعني أننا نسعى أيضا إلى تأهيل كافة عملائنا وتدريبهم من خلال قناة التوزيع مباشرة''.
||**||4|~||~||~|
وعلى الرغم من الاستثمارات الكبيرة في ميدان التدريب على برامج وحلول الحماية، إلا أن هناك حالة من اللامبالاة لدى الكثير من الأفراد والشركات. هذا ما أظهرته نتائج الاستطلاع، إذ أن 86% من المشاركين لا يملكون أية شهادات في ميدان أمن البيانات. بعض الشركات العاملة في مجال حلول الحماية عبرت عن دهشتها لهذه النسبة، إلا أنها عللت ذلك بأن ذلك يعكس مرة أخرى ضعف الوعي لدى الشركات والأفراد تجاه مسألة الأمن وعدم إدراكها لأهمية التدريب في هذا المجال.

يعلق على ذلك مغربي من ISS بالقول: ''تسيطر على معظم الشركات في الشرق الأوسط في الوقت الحالي حمى الربط بالإنترنت والشبكات البعيدة، ما يفتح الباب أمام ظهور الكثير من نقاط الضعف تجاه الاختراقات الأمنية. تكمن المشكلة هنا في الكوادر المسؤولة عن الأمن في تلك الشركات، فقضية أمن المعلومات هي علم قائم بذاته، إذ ربما تمتلك إحدى هذه الشركات مثلا خريجا جامعيا يحمل شهادة في علوم الكمبيوتر وربما يعرف القليل عن أمن البيانات، إلا أنه لن يستطيع التعامل مع كافة المشاكل التي ستواجه الشركة، كما أنه لن يكون قادرا على وضع سياسة حماية مناسبة للشركة. ماذا مثلا لو تعرضت الشبكة إلى هجوم من قبل مخربين محترفين؟ بالطبع لن يكون قادرا على التعامل مع مثل هذه المشكلة إلا إذا كان مدربا على نحو خاص''. هذا ما يدعو الشركات المقدمة لحلول الحماية تحث الأفراد على الحصول على تدريب جيد وشهادات أمنية معتمدة تعكس مهاراتهم، لا أن يتبعوا تلك الدورات التدريبية لمجرد إضافتها إلى سيرتهم الشخصية.

يشير اسحق من سيمانتك إلى مقدار شح الخبرات في ميدان حماية البيانات بالقول: ''يمكنني أن أعدد عشرات الشركات هنا في الشرق الأوسط تبحث عن أشخاص مؤهلين في ميدان أمن البيانات، الشركات هنا بحاجة إلى أشخاص مدربين قادرين على إدارة حلول الحماية وتلبية الاحتياجات وابتكار السياسات الفاعلة على النحو المطلوب''.

من الواضح هنا أن الشركات باتت تعي الفرق ما بين مدير النظام وضابط الأمن (أمن البيانات طبعا)، ويتمثل هذا الوعي في إدراك أن ما على الأول القيام به يختلف تماما عما ينبغي على الثاني القيام به. كما أن لمدير الحماية في الشركة استقلالية تامة عن قسم تقنية المعلومات بحيث تتاح له فرصة تقييم مواطن الضعف والخلل في الأنظمة المستخدمة في الشركة ليتسنى له اتخاذ القرارات السليمة والتي تصب بدورها في صالح الشركة وتوفير نفقاتها على المدى البعيد. ||**||

يمكنك الآن الحصول على آخر الأخبار في صندوق الوارد لبريدك الالكتروني عبر الاشتراك المجاني الآن بـ نشرتنا الالكترونية.

إضافة تعليق

اسم المشترك، حقل إجباري

البريد الإلكتروني، حقل إجباري

Security code