حققت البرمجيات المسماة بالجدران النارية Firewalls حماية جيدة لنظم التشغيل من الاختراق، ومع تطور استخدامات التطبيقات البرمجية ودخولها ضمن حدود تطبيقات الويب والتي قدمت للمستخدمين حلولاً جديدة لمسائل قيّمة منها رفع أداء وتخفيف كلفة الخدمات المقدّمة إلى المواطن مثل أنظمة الحكومة الإلكترونية التي أعطت المستخدم الحق بتجاوز الجدران النارية وصولاً إلى الخدمة الإلكترونية المطلوبة.
وبات لزاماً على جميع الإدارات التي تقدم خدماتها عبر تطبيقات "الويب" معرفة المخاطر التي قد تؤثر على عملها، من هنا وفي أولى نشاطاته لعام 2010 أقام فرع الجمعية العلمية السورية للمعلوماتية في "حماة" ورشة عمل بعنوان "الأمن الوظيفي للمعلومات" على مسرح مجلس مدينة حماة يوم الخميس الثامن والعشرين من كانون الثاني 2010، أدار الورشة الدكتور المهندس "عمّار جوخدار" مدير المشروع الوطني لتطوير وتحديث الخدمات الحكومية في برنامج الأمم المتحدة الإنمائي UNDP.
أن "الأمن" الوظيفي للمعلومات هو مسألة إدارية وليست مسألة فنية، لأن الأمن الوظيفي هو جزء من النظام وليس جزءاً من الواجهات
مدونة وطن eSyria التقت المهندس "جوخدار" وسألته عن ماهية "الأمن الوظيفي للمعلومات" فقال: «هو الأمن الذي تقدمه التطبيقات الإدارية، وهو أمن مستقل عن أمن نظم التشغيل، أو ما يطلق عليه اسم "الجدران النارية"، وهو الذي يحدد من يستطيع القيام بأي عمل، متى، وكيف».
وعن كيفية ضبط الأمن الوظيفي أضاف الدكتور "عمّار جوخدار": «عبر إنشاء علاقة تربط هوية المستخدم بالمورد الذي تستطيع استعماله، وهذه الخطوة ليست سهلة وتتضمن ملايين الاحتمالات، لأن البرمجيات هي أسطر بينما الأمن هو نظام».
وأضاف مدير المشروع الوطني لتطوير وتحديث الخدمات الإلكترونية: «إن درجة تعقيد الأمن الوظيفي من درجة تعقيد النظام البرمجي نفسه، فالموارد ما هي إلا الأغراض والإجراءات والحقول والعمليات، بل إنها أكثر تعقيداً لأن لها بعد ديناميكي».
وقال "جوخدار": «إن المشكلة تكمن في أن بعض الإجراءات يسمح باستدعائها بشكل غير مباشر، كما أن بعض الحقول يسمح برؤيتها من أجل قيم محددة، كما أن بعض الحقوق نفقدها في الفترات التي نكون فيها خارج الدوام».
ثم تابع: «المشكلة في أن توصيف "الأمن" صعب جداً أمام المسؤول الفني الذي يقوم بإدارة البرمجية في المؤسسة، لذلك سيكون عاجزاً عن تحقيق الأمن الوظيفي للمعلومات، أما المدير الإداري فسيكون غير متأكد من سلامة نظامه بسبب عدم إشرافه المباشر عليه».
وعن الحل المطروح قال الدكتور المهندس "عمار جوخدار": «يجب أن تكون مرحلة تقييم الأمن الوظيفي خلال مرحلة التحليل وليس بعد انتهاء تصميم البرمجية، حيث يجب تجميع الصلاحيات ضمن الأدوار المخصصة فلا يتحكم مدير النظام بالصلاحيات البسيطة وإنما يتحكم بربط المستخدم بالأدوار وفق ما جاء في التوصيف الوظيفي للعامل».
وخلص "جوخدار" إلى: «أن "الأمن" الوظيفي للمعلومات هو مسألة إدارية وليست مسألة فنية، لأن الأمن الوظيفي هو جزء من النظام وليس جزءاً من الواجهات».
وفي مداخلة لمدونة وطن حول تناول مشروع GSR وهو مشروع إعادة هندسة إجرائيات العمل لموضوع فصل دور المدير الفني عن الإداري أجاب "جوخدار": «لم نتطرق في مشروع GSR حتى الآن لقضايا من هذا النوع، لأننا نحاول قبل إيجاد الحلول الإلكترونية إيجاد حلول إدارية، لأن الحلول الإدارية أرخص بكثير، فيما يتعلق بحل مشكلة الفني والإداري كمثال الدفع الإلكتروني ATM فقد قمنا بعملية تحليل لمدة تسعة أشهر لجميع الإجراءات التي تتم في مديريات النقل، حيث تم إلغاء عدد منها وهو "التجديد" وقمنا بالإبقاء على ترسيم السيارة للمرة الأولى وبيع وشراء السيارات، الإجراءات موثقة مع الحقوق، وتم تحديد نقطة دخول واحدة عن طريق المصرف التجاري الذي تم ربطه بعقدة واحدة مع مديريات النقل، وهذه العقدة الوحيدة من شانها أن تحقق أمن معلومات مديرية النقل».
وختم "جوخدار" لقاءنا معه بالقول: «هناك وعي واضح اليوم في جميع المؤسسات وفقاً لخبرة كل مؤسسة في إعادة توصيف إجراءات العمل لتحقيق أمن معلوماتها الوظيفية، وهذا هو الحل الوحيد أمام كل المؤسسات ويمكننا القول اليوم أن هناك وعي لهذه المسألة وهي النقطة الأهم».