الكثير من المنظمات الخيرية لديها قلق على أمن بياناتها وطرق حمايتها، خصوصاً مع زيادة موجة الاختراقات الأخيرة التي شملت المنطقة. حتى المنظمات الربحية والحكومية العملاقة تحمل نفس الهاجس. إذا كانت هذه المنظمات والمؤسسات تعاني من أجل حماية بياناتها، حتى بعد امتلاكهم لأفضل الموارد والخبرات، فما بالك بإمكانيات المنظمات الصغيرة والغير ربحية في حماية بياناتها.

الجميع يحاول حماية بياناته سواء كانوا أفراداً أو منظمات، في هذا المقال سوف نتحدث عن المنهجيات والطرق السليمة في اتخاذ الإجراءات والاحتياطات اللازمة التي تساهم في حماية بيانات المنظمة. فلنبدأ باستعراض المنهجية السليمة والمتعارف عليها في حماية البيانات ألا وهي تحديد المخاطر المتوقع أن تواجهها المنظمة ومن ثم تطوير خطة محكمة لمواجهتها وكيفية التصرف معها.  هذه العملية تسمى إدارة المخاطر.

تقييم البيانات

الخطوة الأولى في كيفية تحديد المخاطر هي أن تعرف ماهي أنواع البيانات التي لديك وأين مواقع تخزينها.

• بالضبط ماهي البيانات التي لديك؟
• أين مكان تخزينها؟
• ما أهمية البيانات التي لديك؟

الآن يجب أن نضع قائمة بجميع أنواع البيانات ونصنفها بواسطة أماكن تخزينها. على سبيل المثال، اذا لديك نظام إدارة التبرعات، قم بعمل جرد  لكافة أنواع المعلومات وأماكن  تخزينها: العناوين، التبرعات الممنوحة، الوثائق والأصول، تفاصيل الاشخاص المتبرعين.. الخ . ومن ثم الانتقال إلى الموقع والقيام بجرد جميع ما تم تخزينه عليه. كرر هذه العملية لكل مكان  يتم تخزين فيه  البيانات، بما يشمل جميع أماكن التخزين في الخدمات السحابية وغيرها من الخدمات التي تقوم  بتخزين البيانات. هذه الخطوات ستزودك بتصوّر شامل عن البيانات وأماكن تخزينها وماهيتها.

أثناء عملية جرد أماكن تخزين البيانات يمكنك استخدام أدوات مساعدة التي من شأنها أن تساعدك في تنظيم وتسهيل العملية. بغض النظر عن الطريقة المستخدمة سواء برامج الكترونية واشهرها برنامج مايكروسوفت اكسل Microsoft Excel أو غيرها مثل دفتر سجلات أو على طريقة الخرائط الذهنية Mind mapping. لك الحرية في استخدام المناسب لك. فمثلا من الأدوات المفيدة والجيدة لهذه العمليات هي استخدام قصاصات الملاحظات سواء المقدمة على سطح مكتب مايكروسوفت ويندوز او قصاصات خارجية. فتجعل لكل مكان تم تخزين البيانات فيه  له لونه الخاص وأيضا نوع البيانات المتعلقة به .

أو إذا كنت تفضل أن يكون جميع الملاحظات المتعلقة بنوع البيانات أن تكون في صفحة واحدة جميعها يمكنك استخدام هذا التصميم بواسطة برنامج مايكروسوفت اكسل اضغط هنا . هذه الطريقة سوف تسهل عملية البدء في التنظيم.

بعد أن تمت عملية الجرد لجميع أماكن تخزين البيانات , السؤال التالي هو :

• ما مدى أهميتها للمنظمة ؟
• ما مدى أهميتها لسير العمل في المنظمة ؟
• ما الخطر التي قد تواجهه المنظمة  عند الاطلاع عليها من قبل الجميع  أو فقدانها لا سمح الله  وما مدى تأثيرها على سمعة المنظمة ؟

بعد التساؤلات واختيار الأدوات اللازمة للبدء بعملية الجرد، تبقى معرفة كيفية الإجابة عليها وما هي اسهل الطرق. هنالك طريقة مفيدة وتساهم في تسهيل الوصول إلى إجابات التساؤلات الكثيرة، ألا وهي تصنيف البيانات إلى ثلاث تصنيفات :

1. بيانات لا يمكن خسارتها: وهذه البيانات تشمل الملفات النهائية لمشاريع المنظمة المهمة وجميع المستندات والوثائق التي تخصها.
2. بيانات لا يمكن تعرضها للخطر: بيانات العملاء , سجلات الموظفين ومعلومات المشاريع  ومعلومات الدفع المهمة . ربما قد تواجه أنه بعض البيانات تنتمي لتصنيفين مماثلين بنفس الوقت مثل لا يمكن خسارتها ولا يمكن تعرضها لأي تهديد . وهذا يكون مؤشر ان هذه البيانات عالية الأهمية .
3. بيانات غير هامة: معلومات عامة عن المنظمة أخبار، مقالات ، معلومات عن المشاريع ..الخ. بحيث تكون متاحة للجميع ولا تشكل تهديد أو خطر عند الاطلاع عليها من قبل الجميع. خذ بالحسبان أن تصنيف البيانات الغير هامة لا يعني أن تهمل هذه البيانات , ولكنها فقط أن تكون غير متواجدة في تصنيفات البيانات العالية الأهمية  ، ولا تحتوي على معلومات ذات تأثير كبير على المنظمة عند الاطلاع عليها من قبل الجميع.

مراعاة المخاطر

بعد أن تم تحديد ماهي البيانات التي لا يمكن فقدانها والبيانات التي لا يمكن تعرضها للخطر، فالخطوة التالية هي أن تقوم بالبحث عن المخاطر والتهديدات التي من المحتمل أن تواجهها المنظمة. اسأل نفسك:

• ما الذي يمكن أن يحدث للبيانات لا سمح الله؟

هنا يمكنك أن تتخيل وأن تضع جميع السيناريوهات المختلفة التي قد تضع بيانات المنظمة في خطر. على سبيل المثال: هل البيانات في خطر عند حدوث حريق في المبنى؟ ماذا لو تمت قرصنة واختراق أجهزة الكمبيوتر للموظفين بواسطة اختراق عشوائي او فيروس مثل فيروس الفدية ransomware؟ (هذا هو نوع من أنواع البرمجيات الخبيثة التي تقوم بتشفير البيانات الخاصة بك وتطلب منك دفع فدية لفك التشفير ورجوعها كما كانت عليه في السابق). هل يمكن أن تتعرض أجهزة الحاسب لفيروس مراقبة سجلات ضغطات لوحة المفاتيح وتسجيلها من كتابة أحرف وأرقام وذلك يشمل اسم المستخدم وكلمة المرور لصاحب الجهاز؟ ضع كل السيناريوهات المحتملة، حتى تلك الغير مقصودة، مثل لو تعطل الجهاز فجأة أو لو قام أحد الموظفين بمسح البيانات بالخطأ.

عدد سيناريوهات اختراق البيانات كثيرة وصعب حصرها وسوف يتم استعراض الشائع منها :

• سرقة المعدات الحقيقة ( جهاز كمبيوتر , ملفات مطبوعة .. الخ).
• فقدان البيانات بسبب عوامل طبيعية : تلف أجهزة , احتراق مبنى .. الخ).
• عدم استخدام النظام بالشكل الصحيح.
• استخدام اجهزة غير محمية ببرامج مضادات الفيروسات AntiVirus.
• تعرض المنظمة إلى هجمات الكترونية ( اختراق , تجسس ).
• الوصول إلى المعلومات عن طريق خداع المستخدمين بأحد أساليب الهندسة الاجتماعية.
• اغراق الخادم بالطلبات وايقافه عن العمل وتسمى بعملية DDos Attack.

وبشكل عام , هذه السيناريوهات تعرض لنا أساليب مختلفة في كيفية فقدان البيانات أو تغييرها او سرقتها والإطاحة بها وجعلها غير قابلة للوصول و فقدانها .

• ما هي هي احتمالية حدوث هذا الشئ؟

من المرجح أن تحدث أي من هذه الأحداث السابقة بناء على سلوك الموظفين. خاصة الأشخاص الذين يتعاملون مع برامج البريد الالكتروني واستقبال الرسائل الخارجية والتي قد تتضمن روابط خارجية يتم الضغط عليها من أجل فتحها بدون أي تحقق. مما يزيد خطر التعرض للفيروسات والبرامج الخبيثة والخداع الإلكتروني. ومن ناحية اخرى، يمكن ان يكون تحديد الضحية بشكل دقيق من الجهة التي تقوم بالاختراق ومحاولة الوصول إلى البيانات المحمية. الجهة قد تكون شخصاً أو منظمة أو برنامجاً خبيثاً يتم إرساله من قبلهم.

• ما هي المساوئ عند حدوث هذه الأشياء؟

ماذا لو حدثت أحد السيناريوهات السابقة لا سمح الله؟ ماهي المساوئ عند حدوثها وتأثيرها على المنظمة؟ بالطبع سؤال مربك عند التفكير بفقدان البيانات وتأثيرها على جميع المستويات من ناحية جهة المنظمة إلى الأشخاص وجميع ما يتعلق بها. على سبيل المثال، الاختراق الذي يكون فيه خسارة للأموال من الحسابات البنكية يكون سهل اكتشافه ومعرفه التفاصيل عن طريق متابعة السجلات وبالتالي يتضح ان هناك خطأ ما بسبب اختراق أو غيره. أما الذي يكون بشكل عام وغير محدد فكيف سيكون موقف المنظمة وردة فعلها حول هذا الاختراق؟ بعد نشر هذه الاخبار والمعلومات السيئة عن المنظمة هل تعتقد أن الناس ما زالت لديهم الثقة في المنظمة من أجل دفع المزيد من التبرعات والمساعدات ؟ وهل مازالت لديهم الرغبة في مواصلة الاشتراك ببرامج المنظمة؟

تذكر أن هذه الأسئلة لسيناريوهات متوقع حدوثها في أي مكان وليست مقتصرة على المنظمات الخيرية. هناك الكثير والكثير من الاحتمالات التي ممكن أن تشكل خطرا على بيانات المنظمات، فيجب أخذ جميع الاحتياطات اللازمة من نسخ احتياطية بشكل دوري وتحديث الأجهزة وتوفير برامج حماية محدثة باستمرار وأيضاً تطوير مستوى الموظفين وتوعيتهم بتوزيع نشرات بريدية عن كيفية حماية البيانات وعدم إفشائها و كيفية التعامل مع روابط خارجية التي قد تكون خطراً على المنظمة.