خلال اجتمع ICANN رقم 52، استعلم العديد من أعضاء المجتمع عن حالة الخدمات الرقمية في ICANN. وبالإضافة إلى ذلك، وردًا على أحد منشورات مدونتي، التقى البعض منكم مع كريس جيف، نائب رئيس شعبة الخدمات الرقمية، ومعي من أجل الحصول على فهم أعمق للحالة والخطط. وفي أحد الإعلانات الأخيرة، أكدت ICANN على أننا سوف نعلن عن المزيد حول جهودنا في "تقوية الخدمات الرقمية" على مدار عدة أعوام. إنني أكتب هذه المدونة من أجل البدء في هذه العملية الخاصة بإطلاعكم - إطلاع مجتمعنا - على آخر المستجدات وإشراككم في العديد من أنشطة تقنية المعلومات الحالية والمخطط لها.
"المجموعات" الخمسة لتمكين تقنية المعلومات
للمساعدة في وضع أساس جيد، فإنني أكرر ذلك الجزء من إحدى الرسائل من مدونة blog/vlog سابقة. وبشكل عام، فإن ICANN تعرض خمس مجموعات من الأصول ذات قدرات تقنية المعلومات في صورة "خدمات رقمية":
- خدمات الويب المواجهة للمجتمع
- خدمات الأطراف المتعاقدة
- الخدمات الفنية إلى المجتمع
- خدمات IANA
- خدمات العمليات المواجهة لفريق العمل
وكما يمكنكم أن تتخيلوا، فإننا نتعامل مع ذلك بشكل مختلف للغاية عن بعضها البعض، لاسيما من منظور أمن تقنية المعلومات. وعلى الإجمال، لدينا أكثر من 80 خدمة رقمية من هذه يستفيد منها المجتمع ومجلس الإدارة وفريق عمل ICANN. لقد تحدثت كما كتبت عن عن البيانات التي تقوم هذه الخدمات بتجميعها ومقارنتها بالإضافة إلى الوصف الدقيق لهذه المعلومات باعتبارها المتغيرات التي تقوم ICANN بحفظها. علمًا بأن لاستخدام وتمديد مجاز بنكي، فإن ICANN برمتها هي "مقر إيداع البيانات" وأننا - في تقنية المعلومات - الحراس الماديين لهذه البيانات. وهذه من الأمانات العامة التي نأخذها على محمل الجد.
عمليات التدقيق السنوية المعمول بها من جهات خارجية
لضمان أننا نقوم بحفظ هذه المتغيرات بشكل صحيح، في شهر يونيو-يوليو من عام 2014، ننوي دعوة جهة خارجية رائدة ومعترف بها عالميًا من أجل تدقيق جميع أصول تقنية المعلومات من البداية إلى النهاية. والمنهجية التي اخترنا اعتمادها واستخدامها في الوصول إلى النظم الخاصة بنا تتمثل في إطار عمل مكون من 20 وحدة تحكم في الأمن الحيوي (معهد SANS سابقًا). وسوف نلتزم بإطار العمل هذا على المدار الأعوام العديدة القادمة، بحيث يمكن لـ ICANN مراجعة أصول تقنية المعلومات الخاصة بها في "مرآة" عالمية الطراز وللتعرف على الطريقة التي تعمل بها جهودنا على تغيير "صورتها" على مدار فترة من الزمن. كما يسرني أيضًا القول بأن نفس هذا الطرف الخارجي تم الإبقاء عليه من أجل عمليات التدقيق السنوية الاعتيادية، وهو يقوم في الوقت الحالي بمراجعة سير الأعمال على مدارة 12 شهرًا الماضية، وسوف نتعرف في القريب على هذه النتائج.
وقد أظهرت نتائج التقييم في 2014 أننا أبلينا بلاءً حسنًا في بعض النواحي وأن لدينا متسعًا للتحسن في نواحٍ أخرى. وكان الأكثر قيمة من هذا التقييم العام متمثلاً في قائمة واضحة بالنواحي الخاصة التي يمكننا تركيز انتباهنا فيها بشكل فوري على وتنفيذ التحسينات بشكل سريع.
وقد تناولنا التوصيات الفردية وقمنا بتصنيفها بعدة طرق. وقد قمنا بتصنيفها على أساس مصفوفة من الأهمية / الإلحاح؛ وقمنا بترميز كل توصية بمستوى من الجهود (LoE)؛ وبالإضافة إلى تكلفة دولارية محددة ومتوقعة. بعد ذلك قمنا بتحديد أولوية التتابع الذي يمكن به معالجة هذا الأمر.
وقد أثمر هذا عن خارطة طريقة مكونة من 16 مشروعًا للعام المالي 2015 وجزء من الطريق المؤدية إلى العام المالي 2016. ونحن نتعامل مع كل ذلك كأولوية أولى، بالإضافة إلى تسعة مشاريع أساسية تم الانتهاء منها في الوقت الحالي، ويشمل ذلك: الاكتشاف المتطور للتطفل على خوادم ويندوز، وحلول اكتشاف التطفل المنفذة بالكامل (IDS) بالإضافة إلى حلول منع التطفل (IPS)، وحل IDS محيطي، وإشراف مركزي على إدارة الإصلاحات، وإدارة برمجيات خادم مجدولة بشكل اعتيادي ومراقبة، بالإضافة إلى مراقبة الحسابات الممتازة، كل ذلك على سبيل المثال لا الحصر. وهذه المشروعات أساسية وقد بدأت في التعامل الناجح مع بعض من الاحتياجات الأكثر إلحاحًا لـ ICANN. وهناك العديد من المشروعات الأخرى قيد التنفيذ في الوقت الحالي.
تنفيذ Salesforce.com
في مسار متزامن لكنه منفصل، استعانت ICANN بخدمات شركة خبيرة في مجال المعرفة من أجل مراجعة تنفيذ Salesforce.com - قاعدة البيانات، وقاعدة الأكواد والتكوين. وقد ألقت المراجعة الضوء على نواحٍ متعددة حيث يمكننا تقوية منصتنا. فأطلقنا منذ ذلك الحين مجموعة متعددة من إصلاحات البرامج من أجل التعامل مع نواحي الضعف المتعددة والمحتملة التي تم تحديدها. ونتوقع إكمال جميع الأعمال في موعد أقصاه نهاية العام التقويمي 2015. وسوف نعمل مع مستخدمي هذه المنصات من أجل ضمان أننا نقلل من انقطاع توفير الخدمة، مع تحسين مستوى الأمان في نفس الوقت.
وفي الآونة الأخيرة اعتمد مجلس إدارة ICANN أموال من أجل الاستعانة بنفس شركات الخبرة المعرفية من أجل مراجعة قاعدة الأكواد في جميع منصات توفير الخدمات الرقمية من ICANN. وبعد ذلك سريعًا، أبقت ICANN على خدمات اثنتين من تلك الشركات. وسوف تقوم هاتين الشركتين بمراجعة منصة واحدة أو اثنتان (بما في ذلك جميع الخدمات المستضافة عليها) من البداية إلى النهاية بالإضافة إلى التعاون معنا في التعامل مع أية مشكلات يتم الكشف عنها. وبمجرد الانتهاء من ذلك، سوف نتعامل مع المنصتين التاليتين. وهلم جرا….إلى أن ننتهي من ذلك.
الاستعداد لتهديدات الأمن الإلكتروني
على مسار ثالث متوازٍ، قام فريق عمل ICANN بتنفيذ تدريب إلزامي في الوعي بالأمن الإلكتروني. وقد "لوحق" التدريب باختبارات تقييم، وتم تعقب ومراجعة ذلك بانتظام. ونتيجة لذلك، فإن فريق عمل ICANN أكثر انتباهًا على المستوى الإجرائي وأكثر وعيًا بخطوط التهديدات. ومن أجل إرساء وتقوية التعاليم أكثر من ذلك، فقد أبقت ICANN على خدمات شركة خبيرة متخصصة في الهندسة الاجتماعية. كما أن جهود تلك الشركة تلقي الضوء على النواحي الخاصة التي يجب فيها توفير إجراءات تصحيحية إضافية (ويجري تنفيذ ذلك).
وICANN - مثلها في ذلك مثل المنظمات الأخرى رفيعة المستوى - معرّضة للهجوم، لاسيما بالنظر إلى واقع تهديدات تقنية المعلومات العالمية والمتزايدة. ولا يمكننا التحكم فيمن يهاجمنا أو متى يطلق هجومه. لكن...يمكننا اختيار الدرع الذي نرتديه للدفاع عن أنفسنا عند التعرض للهجوم.
وفي سبيل ذلك، قام فريق الرد على حوادث الكمبيوتر في (CIRT) في ICANN بإدراج شركة خبيرة ومتخصصة في ذلك من أجل قيادة بعض أعضاء فريق العمل عبر مجموعة من الممارسات الفائقة للمساعدة في موالفة إيقاع الرد من جانبنا والاستعداد الأفضل للتفاعل مع الحوادث المستقبلية.
كما أننا نقوم برفع مستوى فنيات التخطيط للسيناريوهات من أجل تطوير وتعديل وممارسة خطط الاستعادة من الكوارث. ولأن هذا يشبه إلى حد كبير تأمين منزل من أجل دخيل، فهو ليس مجرد إجراء لمرة واحدة. بل إنه ممارسة واعية بالإضافة إلى خطط وبرامج يجري تنفيذها لتخزين وتجهيز دفاعنا بشكل نظامي. وكما هو الحال بالنسبة لأي خطة جيدة، فسوف نقوم بإعادة تقييم خطتنا بشكل دوري وإعادة ضبط الأسس الرئيسية حسب المطلوب.
ولدينا في الوقت الحالي خارطة طريق مرتكزة لتقنية المعلومات - مؤيدة بميزانية داعمة بالإضافة إلى موارد مناسبة من فريق العمل - للعام المالي 2016 والعام المالي 2017. ونحن على استعداد لتنفيذ ذلك. ويمكننا رؤية خططنا في الخطة التشغيلية والميزانية للعام المالي 2016.
كما أننا نقوم بشكل دور بإطلاع لجنة المخاطر التابعة لمجلس الإدارة (BRC) على آخر المستجدات - بالإضافة إلى أن تحديث تقنية المعلومات الآن من البنود القائمة في جدول الأعمال الخاص بهم. وقد كانت مشاركتهم لا تقدر بثمن في الحصول على الإرشادات، والموارد اللازمة بالإضافة إلى التعقب المرتكز الذي كان لازمًا من أجل تنفيذ برنامج حماية تقنية المعلومات الكاسح الذي لدينا الآن في ICANN.
ومن حين إلى آخر، فإنني أخطط لمشاركة وجهات نظر إضافية حول سير أعمالنا وخططنا المستقبلية. إذا كانت لديك مقترحات أو أفكار، برجاء مشاركتها معي على ashwin.rangan@icann.org. والأفضل من ذلك، إذا كنت تخطط لحضور اجتماع ICANN رقم 53 في بوينس آيرس، فربما يمكننا الاجتماع والتحدث؟
شكراً!
