أمن المعلومات في المؤسسات "الحلقة المفقودة "
ان الانضمام الرسمي لمعايير أمنية مفصلة لنظم التجهيز والتخزين الالكتروني للمعلومات في المؤسسات أمر حتمي كما ان معايير الأمن مطلوبة من قبل المنظمات والمؤسسات وذلك بسبب كمية المعلومات ، وقيمة المعلومات ، والسهولة التي يمكن فيها التلاعب بالبيانات أثناء عمليات النقل والتراسل باستخدام الشبكات المحلية والواسعه.
في حين أن برامج وانظمة أمن المعلومات في بعض الأحيان تنفذ بعد خسارة فعلية أوحادثة وبعد ان يكون الفأس قد وقع في الرأس ، ان من الحكمة معالجة الأمن المعلوماتي في وقت مبكر من حياة المنظمات والمؤسسات. أمن المعلومات يضع التركيز على حماية المعلومات المخزنة أو معالجتها من قبل النظام بدلا من التركيز على مجرد حماية المعدات والحرص على الأمن المادي فقط ولذلك فأن برنامج الحوسبة الشامله يجب أن يحقق.
أهداف المؤسسة
أهداف المؤسسة
الربحية والبقاء على قيد الحياة للمؤسسه يعتمد على المعلومات وهي من الاهداف الدافعة والأساسية للمؤسسه لضمان بقائها. في بيئة الأعمال الحديثة ،. بغض النظر عن المشاريع والأعمال التجارية .
ان مسارات الاتصالات الالكترونية اليوم والمشاريع التجارية واسعة النطاق (الشبكات الحاسوبية ونظم الهاتف على سبيل المثال) تمتد الى ما وراء الحدود المادية للعملية التجارية ، وقد تستغل نقاط الضعف في الشبكات الداخلية الى جانب التهديدات الخارجية .وقد تكون العواقب فقدان أو تعديل بيانات الأعمال الحساسة ، وتعطل الخدمات ، والسطو على خطط الملكية التجارية أو العمليات.
ان طالب في مدرسة ثانوية ، و من غرفة نومه تمكن بسهولة من مسح كل سجلات الفواتير ، وسبب توقف التدفق النقدي لأسابيع أو شهور لشركة فرطت في امنها المعلوماتي .. حتى الشركات (وكذلك المنظمات الحكومية) المحمية جيدا قد تكون مواقعها على الويب عرضة للهجمات.
هناك هجمات تافهة من شأنها أن تمكن من الوصول إلى مصدر صفحة الشركة على شبكة الإنترنت إلى أي متسلل. و ليست له قيمة جوهرية ، فإن الخسارة التي قد تحدث إذا كان المتسلل هو المنافس او من يعمل لصالحة من الهكر غير الاخلاقي ، قد يكون التعديل باضافة صورا جنسية أو تشوية البيانات وتعديلها او تمللكها وحرمان الشركة المستهدفه من الوصول الى بياناتها .
اليوم وفي بيئة الشركات والمؤسسات هناك وفي كثير من الأحيان وجود تعارض بين الأهداف الأمنية والاحتياجات التشغيلية. التسويق والتمويل ، والهندسة ، وإدارة إنتاج واستخدام جميع البيانات ذات الأهمية الحاسمة لتلك المنظمة لأنشطة الأعمال التجارية.. بالإضافة إلى ذلك ، داخل الحكومة أو في صناعة الدفاع ، وبعض هذه البيانات يمكن أن تعتبر سرية (أي سرية ، سرية ، الخ) أو غير سرية ، وقد تكون حساسة (امن الدولة) ، الأمر الذي يتطلب تطبيق معاييرأكثر صرامة من الضوابط لحمايتها.. لذا ، و على الرغم من بعض الضغوط المالية للتغاضي عن الاحتياجات الأمنية للمعلومات ، فأن المنظمات الناجحة والمسؤولة والمنظمات التابعة لها تطبق سياسة أمنية مكتوبة تضع الخطط الأمنية الرسمية وتنفذ الإجراءات المعيارية لتوجيه موظفيها ، فضلا عن الأعمال التجارية ، وذلك لحماية ممتلكاتهم من المعلومات.
من المهم جدا أن تكون الإدارة قادرة على قياس فوائد برنامج الأمن المعلوماتي بوصفها تكلفة من التكاليف. هذه الفوائد ، و بعد مقارنة البدائل نجدها تكلفة ضرورية إذا أراد المرء أن يكون قادرا على تبرير برنامج الأمن المعلوماتي . من أجل إضفاء الطابع الرسمي على تحليل هذه العملية ، يجب النظر في بعض المفاهيم وهي :
اليوم وفي بيئة الشركات والمؤسسات هناك وفي كثير من الأحيان وجود تعارض بين الأهداف الأمنية والاحتياجات التشغيلية. التسويق والتمويل ، والهندسة ، وإدارة إنتاج واستخدام جميع البيانات ذات الأهمية الحاسمة لتلك المنظمة لأنشطة الأعمال التجارية.. بالإضافة إلى ذلك ، داخل الحكومة أو في صناعة الدفاع ، وبعض هذه البيانات يمكن أن تعتبر سرية (أي سرية ، سرية ، الخ) أو غير سرية ، وقد تكون حساسة (امن الدولة) ، الأمر الذي يتطلب تطبيق معاييرأكثر صرامة من الضوابط لحمايتها.. لذا ، و على الرغم من بعض الضغوط المالية للتغاضي عن الاحتياجات الأمنية للمعلومات ، فأن المنظمات الناجحة والمسؤولة والمنظمات التابعة لها تطبق سياسة أمنية مكتوبة تضع الخطط الأمنية الرسمية وتنفذ الإجراءات المعيارية لتوجيه موظفيها ، فضلا عن الأعمال التجارية ، وذلك لحماية ممتلكاتهم من المعلومات.
من المهم جدا أن تكون الإدارة قادرة على قياس فوائد برنامج الأمن المعلوماتي بوصفها تكلفة من التكاليف. هذه الفوائد ، و بعد مقارنة البدائل نجدها تكلفة ضرورية إذا أراد المرء أن يكون قادرا على تبرير برنامج الأمن المعلوماتي . من أجل إضفاء الطابع الرسمي على تحليل هذه العملية ، يجب النظر في بعض المفاهيم وهي :
- المخاطر وتمثل أي شيء يمكن أن يضر العملية التجارية ، والأصول ، أو الربحية للمنظمة.
تحليل المخاطر هي عملية رسمية لتحديد ما هي المعلومات الخاصة بك كأصول و قيمتها ، وتحديد نقاط الضعف من حيث اكتشاف التهديدات / التعرض الذي يمكن أن يحدث ، ومن ثم تحديد مقدار الضرر المحتمل وقد يكون السبب في حالة الضعف التي تم تحديدها واستغلالها.
لكل نقاط الضعف التي تم تحديدها ، وتحليل المخاطر ونتائج تحليل التكاليف والمنافع لتحديد ما إذا كانت تكلفة تنفيذ إصلاحات أو زيادة الحماية له ما يبرره.
وبالتالي ، فأن السياسة الأمنية والمخاطر متلازمان : السياسة أمر مطلوب للحد من المخاطر ، وتحليل المخاطر هي التي تستخدم لتبرير وخلق سياسة أمنية.
مسؤوليات الإدارة والموظفين:
مسؤوليات الإدارة والموظفين:
إذا كان كل من الإدارة والموظفين على فهم لمسؤوليات كل منهما لحماية المعلومات والبيانات الحاسوبية وما ويترتب على ذلك مع وجوب الاعتراف أيضا بالمشاكل التي يواجهونها في تطوير وتنفيذ برنامج الأمن المعلوماتي . الإدارة تتحمل المسؤولية الاساسية و النهائية عن تنفيذ برنامج أمن المعلومات على أساس تقييم المخاطر التجارية (التكلفة / المنفعة المتبادلة) ونظام للمعلومات يشمل تقييم المخاطر الأمنية.
يجب على جميع مستويات الإدارة أن تشارك (تساهم) و للتأكد من ان هذا البرنامج هو ماتم اقرارة وان التنفيذ تم على النحو الصحيح.
على الإدارة أيضا أن نفهم أن تكون مسؤولة قانونيا عن سلامة المعلومات كأصول للشركه كما هو الحال مع غيرها من موجودات الشركة. الموظفين يجب أن يحافظوا على اي معلومات للشركة على أجهزة الكمبيوتر الخاصة بهم نظرا لماتمثلة هذه المعلومات من قيمة لهم وللشركة .. عليهم أن يفهموا ايضا مسؤولياتهم القانونية فيما يتعلق بألافشاء والنسخ غير المصرح به للبيانات الحساسة. علما بأن البيانات الحساسة ( البيانات التي تتطلب الحماية بسبب المخاطر وحجم الخسائر أو الأضرار التي يمكن أن تنجم عن الكشف والتغيير أو الإتلاف لهذه البيانات) هي المستهدفة من تنفيذ برنامج او خطة سياسة الامن المعلوماتي في المؤسسات. . الشعور بالمسئولية يختلف من مستخدم / الى آخر ولكن التدريب على الوعي الأمني هي واحدة من أكثر الوسائل المتاحة لتحقيق الشعور بالمسؤولية عن المعلومات كأصول لها قيمة
بعض المنظمات تطلب من الموظفين التوقيع على اقرار يتضمن التزام الموظف بحماية أصول المعلومات كشرط للتوظيف ، في حين أن إخرى تطلب اقرار وتوقيع الموظفين كشرط للسماح لهم بالاتصال بالشبكة الحاسوبيه للمنظمه او المؤسسة .
من الوسائل التي كثيرا ما تنفذ في الشركات والمؤسسات هو استخدام توثيق واشعار بتسجيل الدخول الأمنية للشبكات، والتي يتم عرضها عندما يقوم المستخدم بتسجيل الدخول إلى شبكة الشركة وتحديد الفترات الزمنية التي يسمح للموظف باستخدام موارد الشركة المعلوماتية وتوثيق وتسجيل كل عمليات التعديل والحذف والطباعه ... الخ التي يقوم بها المستخدم وبحسب الصلاحيات الممنوحه له من مدير الشبكة وبما يتلائم ويتناسب مع طبيعة عمله داخل الشركة .
معرفة الهدف : المؤسسة ذات الامنية واسعة
معرفة الهدف : المؤسسة ذات الامنية واسعة
عند الحديث عن نقاط الضعف في نظام المعلومات العامة في المؤسسات حيث تتصل نقاط الضعف في الموجودات الملموسة هي المعلومات في المؤسسه ، وامكانية تعرض هذه الموجودات للاستغلال غير المشروع .
نقاط الضعف هذه يمكن أن تختلف اختلافا كبيرا اعتمادا على الشبكة أو قائمة بذاتها وبحسب البيئة التي تستخدمهاالمؤسسه. ومن الواضح أن أضعف حلقة في سلسلة الأمن هو أيضا النقطة الأكثر ضعفا وهو العنصر البشري .
ان الأهداف الثلاثة الأساسية لأمن المعلومات هي ضمان السرية والنزاهة وتوافر البيانات ، يمكن أن يكون الضعف في المكونات المادية من الأجهزة أوالبرامج وملفات البيانات والوثائق ، وقواعد البيانات ، والعنصر البشري ، والاتصالات الخارجية. تحفيز الموظفين من السمات الرئيسية لأمن المعلومات. الموظفين الساخطين الذين يقوموا بتطوير برامج الفيروسات عموما يفعلون ذلك من أجل الانتقام. لذلك فالتحفيز شيء مهم للشعور بالمسئولية .. التنافس أو لمجرد التسلية يحفز الهواة الى اختراق الشبكات المحمية واستهداف الملفات الحساسة.. التجسس للحصول على المعلومات التصنيعية يمكن أن يكون الدافع وراءها أسباب سياسية أو مالية أو بيئة تنافسيه سيئه.
بغض النظر عن الدوافع ، من وجهة النظر الشخصية فأن الأفراد الذين لديهم إمكانية الوصول إلى المعلومات التي تعتبر أصل من أصول الشركات والمؤسسات يجب ان يؤخذوا بعين الاعتبار عند منح الصلاحيات والتوثيق والمراقبه .
وفي نهاية المطاف ، يجب أن تكون الدوافع قوية لدى الموظفين لأهمية التعرف على الحاجة والاهمية لحماية معلوماتالمؤسسه وتقديم تقرير عن المحاولات من قبل الغرباء (هواة الاختراق او المخربين ) للحصول على المعلومات عن طريق الوصول غير المصرح به لتلك المعلومات.
هؤلاء الأفراد الذين لديهم إمكانية الحصول على صلاحية الوصول إلى معلومات الشركات والمؤسسات هم أولئك الذين لديهم فرصة لخلق المشاكل.. وهذه الفرصة لا تتعلق فقط بالموظفين ، ولكن أيضا لأولئك الذين هم من خارج المؤسسة بشرط ان تكون تقنيات حماية الشبكة ضعيفة حتى يتمكنوا من الوصول غير المصرح للمعلومات ، ان العمل بشكل صحيح لمراقبة الدخول للمستخدمين الأساس لأمن نظم المعلومات.. إذا كان كل من الإدارة والموظفين على فهم لمسؤوليات كل منهما لحماية المعلومات والبيانات الحاسوبية ، ومايترتب على ذلك من جهد ووقت وشعور بالمسئوليه . ما يجب التعرف أيضا التعرف على المشاكل التي يواجهونها عند تطوير وتنفيذ برنامج الأمن المعلوماتي .
الاساسيات الاربعه للتهديدات الامنية
هؤلاء الأفراد الذين لديهم إمكانية الحصول على صلاحية الوصول إلى معلومات الشركات والمؤسسات هم أولئك الذين لديهم فرصة لخلق المشاكل.. وهذه الفرصة لا تتعلق فقط بالموظفين ، ولكن أيضا لأولئك الذين هم من خارج المؤسسة بشرط ان تكون تقنيات حماية الشبكة ضعيفة حتى يتمكنوا من الوصول غير المصرح للمعلومات ، ان العمل بشكل صحيح لمراقبة الدخول للمستخدمين الأساس لأمن نظم المعلومات.. إذا كان كل من الإدارة والموظفين على فهم لمسؤوليات كل منهما لحماية المعلومات والبيانات الحاسوبية ، ومايترتب على ذلك من جهد ووقت وشعور بالمسئوليه . ما يجب التعرف أيضا التعرف على المشاكل التي يواجهونها عند تطوير وتنفيذ برنامج الأمن المعلوماتي .
الاساسيات الاربعه للتهديدات الامنية
بشكل عام ، هناك أربعة أنواع من التهديدات الأمنية للمعلومات : الانقطاع ، والاعتراض والتعديل والتلفيق (التزوير).
- الانقطاع (الحرمان من الخدمة) وتشمل أي تأخير أو تعطل العمليات التجارية العادية وتدفق البيانات بين الادارات المختلفه في المؤسسه . مثل. مشاكل فيروسات الحاسوب المستمره وإزالتها و وهي مشكلة شائعة جدا اليوم. ان الانقطاع حتى لبضع دقائق لكل موظف يمكن أن تضيف ما يصل الى فقدان كثير من الموظفين لساعات أو لاأيام ويؤدي الى تراجع من الإنتاجية للموظفين.
المعترض (الكشف) هي أي عملية دخول غير مصرح به للمعلومات ، والتي قد تكون أو لا تؤدي إلى الاستخدام غير المشروع للبيانات.
- من خلال تصفح الملفات المخزنة ومراقبة شبكة الهاتف أو التحويلات. هناك المئات من أساليب الوصول غير المصرح به عن بعد لأنظمة الكمبيوتر عبر الشبكة.
- إذا كانت هذه الشبكة هي شبكة الانترنت العامة ، أي شخص في العالم يمكن الوصول اليها.
- في الشبكات الخاصة ، لا تزال معظم حوادث الاختراق مايزيد عن 70% ذات طبيعه داخلية ، ومعظم حوادث الاحتيال الكمبيوتر تتم بواسطة المطلعين على معلومات الشركة وإمكانياتها من شبكات ونظم الهاتف والاستفادة منها بسهولة ، مما يتيح الوصول إلى البيانات الحساسه كثيرا أو المعرفة اللازمة للحصول على الوصول مباشرة إلى الخادم الرئيسي للمؤسسة أو نظم المعلومات فيها.
ويشمل التعديل العبث بمجرد الوصول للمعلومات ويتم تحقيقه من خلال تغيير في البرامج أو الأجهزة أو تعديل في ضوابط البيانات نفسها.. لابد من التفكير في العواقب اذا تمكن متسلل من تغير المبالغ المستحقة على الشركة من قبل الموردين الخارجيين. او التعديل في جميع الفواتير الخاصة بالعملاء فأن ذلك سوف يؤدي الى الاعتماد على بيانات غير صحيحه وتعطيل التدفق النقدي خاصة اذا تأخر الكشف المبكر لما قام به المتسلل من التعديل في البيانات التي تعتمد عليها الشركه.
تزوير وتحوير والتلفيق.. هو تعديل في بطريقة ما في البيانات لصالح المخترق او من يعمل لصالحه مما يسبب مشاكل للمؤسسة فإنه يمكن أن ينطوي على التعديل بمهارة بإضافة بيانات أو تعرض لنظام الحوسبة مثل تعديل في المعاملات أو ادخال ملفات إضافية على قاعدة بيانات. مثال على العبث والتزوير في البيانات هي عملية الوصول إلى قاعدة بيانات الجامعة لتغيير العلامات او التقديرات .
- أهداف السياسة الأمنية
عندما عندما يتم اعتماد برنامج شامل لأمن المعلومات فأنه يجب ان يشمل كل من العنصر البشري والمعلومات.: والنشاطات المعتادة في مثل هذا البرنامج هي :
- الوقاية
- الحماية
- الاكتشاف / التحقيق
- تقييم الأضرار / الاستجابة ومعالجة الحوادث أو الإبلاغ
- الانتعاش والنهوض بعد الكوارث المعلوماتيه
- السياسات يجب أن تكون على مستوى عال من إرشادت أو توجيهات بالرؤية الثاقبة للمنظمة. توفر بيان السياسات الامنيه للمعلومات يضع الفلسفة الأساسية للمنظمة ويحدد المجالات الوظيفية ، حيث يجب أن تكون الضوابط المعمول بها فعاله . والتي تنفذها الإدارة لتوفير المعلومات والمراقبة والتوجيه ، هو الأمن المعلوماتي والسياسة الامنيه والتي تستخدم لدعم تطوير البرنامج الأمني لاحقا. ولتحقيق الأمن المعلوماتي فأن السياسة العامة يجب أن تشمل:
- تحديد وتثمين أصول المعلومات.
- تعريف من هو المسئول عن تصنيف وتقييم أصول المعلومات (المالك) والذين يجب يشملهم التصنيف.
- . وصف دور كل موظف / مستخدم في حماية المعلومات.
- توفير الكشف المبكر والإنفاذ في حالة الكوارث وانتهاك الأمن المعلوماتي
- في التفاصيل الخاصة بسياسة أمن المعلومات ينبغي أن توصيف ما ينبغي حمايته وكذلك مدى توزيع الصلاحيات المسموح بها. , المسؤوليات التي ينبغي أن تصل الى جميع المستويات للهيكل التنظيمي ، مع ذكر من هو المسؤول عن الامتثال للسياسة الامنية والجهة المسؤولة عن التأكد والمتابعه من أن السياسات تم تفعيلها وإنفاذها. كل موظف يجب ان يمارس لدورة في سياسة الامن المعلوماتي ؛ وبيان عواقب عدم الامتثال يجب أن ترتبط بتلك الأدوار والمسؤوليات.
ان عملية الرصد والمتابعة ، والتصدي لسياسة الإنفاذ للسياسية الامنية للعلومات بحيث تصبح نافذه، وكيفة فرض هذه السياسة ، وكيف سيتم متابعة الامتثال لهذه السياسية الامنية . - . تفاصيل السياسة يجب أن تكون قصيرة وسهلة القراءة ، ومقله من حيث المصطلحات التقنية. كما يجب أن يكون لا لبس فيها ، بحيث لا يمكن لأحد أن يعفى من المتطلبات والالتزامات.
- طريقة واحدة لضمان تحمل كل موظف مسؤولياته هو اضافة وثيقة القبول بالسياسات الامنية للمعلومات والتي يجب ان توقع من قبل الموظف وتعود الى شئون الموظفين كجزء من وثائق القبول للعمل. هذا النموذج يمكن أيضا أن يصبح مطلبا سنويا يسلم كجزء من التدريب السنوي للتوعية الأمنية . لا ننسى أن العنصر البشري يمكن ان يكون الحلقه الاضعف في تنفيذ السياسة الامنية .
- الاحتراس من الإفصاح (بشكل عرضي او متعمد) للمعلومات وبما يتعارض مع مسئوليات الموظف الموقع عليها وبما يؤدي الأخلال بمسئولياته في تنفيذ السياسية الامنية للمعلولمات .
- . ضمان إدارة الوعي بالحاجة للأمن ، والمشاركته من الجميع في وضع وتنفيذ السياسات الأمنية.
- ضمان حماية البيانات الحساسة والسرية .
- توفير الحماية من الأفعال التي من شأنها أن تسبب الأعطال ، الخطأ والسهو ، وعدم الدقة ، والكشف غير المصرح به أو تدمير البيانات.
- ضمان تنفيذ للضوابط والإجراءات المعمول بها التي تتيح الكشف الفوري عن تنفيذ التهديدات للمعلومات.
- . إدارة الحماية في حالة التنصل عن المسئولية من قبل شركات ومزودي خدمات نقل المعلومات.
- الأمن المادي. الاجراءات الحكيمة لتوفير الأمن المادي وتشمل تركيب جدران ناريه مناسبة ، ووضع ضوابط الوصول المادي إلى المرفق والمناطق الحساسه مثل غرف الخادمات الرئيسيه ، التلقائي كشف الحرائق ونظم إطفاء الحرائق.
- خطة الطوارئ (خطة التعافي من الكوارث ، أو خطة استمرارية الأعمال). هذا الجانب من خطة امنية تقوم على إدراك أنه إذا وقعت كارثة ، يتعين على المنظمة أن تكون قادرة على استئناف تجهيز حرجة. ويتطلب التعرف على تلك التطبيقات الهامة لبقاء المنظمه على قيد الحياة ، على سبيل المثال وتعليمات التشغيل ، والتخزين من أنظمة التشغيل ذات الصلة والبرامج والبيانات في التخزين خارج الموقع منشأة. وأهم جانب من جوانب هذا البرنامج هو اختبار الخطة باستخدام موقع محدد كموقع للتجهيز البديل. العديد من خطة التعافي من الكوارث قد فشلت لأنها لم تختبر ، وعندما كانت هناك حاجة ، لم يكن احد يعرف ماذا يفعل.
- حماية البيانات التحكم.. جانبا الموظفين (المستخدمين) ، وكذلك وهو الأكثر أهمية شبكة الكمبيوتر و الأصول ذات الصلة بالبرامج والبيانات.. يجب أن تكون محمية بواسطة بطاقة هوية صحيحة مع التوثيق على مستوى الصلاحية للمستخدم.. يجب ان تكون هناك رقابة على النحو الصحيح ، وسوف يضمن هذا أن المستخدم و الهدف من ذلك أن يكون المستخدم مخول من الوصول إلى البيانات. في نهاية المطاف السيطرة لا تكون على مستوى وسيط التخزين فقط، وإنما تشمل جميع التهديدات الأمنية الكمبيوتر : الانقطاع ، والاعتراض والتعديل ، والاحتيال.
- شبكة الأمن. لقد تطورت نظم الشبكات والمعلومات لتصبح عالية التقنية. العديد من المنظمات تعتمد اعتمادا كبيرا على هذه النظم للاتصال وجمع المعلومات. وبسبب هذه التبعية ، هناك أنظمة شبكية تتطلب عادة عمليات أمنية خاصة ، واستمرار التجارب كأجراء استباقي لتحقيق الأمن المعلوماتي شيىء مهم وحيوي ، واعداد خطط للطوارئ ، وتطبيق الضوابط المفروضة على بيئة العمل في المؤسسات والضوابط أعلاه للوصول إلى البيانات تتطلب تكاتف وتعاون الجميع.
- برنامج التدريب والتوعية. تدوين التوجيهات على مستوى المستخدم المناسب بشأن التدابير الوقائية والإجراءات ، وذلك لأن أفضل الخطط الأمنية تصورا لن تغطي كل شيء يمكن ان يحدث. التدريب أصبح جزءا أساسيا من ضمان استخدام الموظف المسئول عن الأمن.. الاجراءات الحكيمة لتوفير الأمن المادي وتشمل تركيب وتقييم جدران النار المناسبة ، وضوابط الوصول المادي إلى المرفق وتجهيز المناطق ، كشف الحرائق التلقائي ونظم الاطفاء.
- بوضع الاحتياجات للحوسبة والأهداف نصب العين وبالقبول بالسماح للضوابط الأمنية تحقق المنظمة جزء من أمنها المعلوماتي، بينما توفير حماية كاملة للأصول المعلومات للمنظمة ليست بالمهمة السهلة.
المراجع مصادر مفتوحة على شبكة الانترنت بتصرف
