الاعتبارات الرئيسية لصنع القرار حول أدوات التوثيق

تم تصميم بعض الأدوات للعمل مع بعض الأدوات الأخرى (في بعض الأحيان يتعاون مطورو الأدوات أيضًا في ذلك) لذلك قد يكون من المفيد النظر إلى مجموعات من الأدوات التي تعمل بشكل جيد معًا. راجعوا جدول الأدوات لبعض الأمثلة.

تعد خيارات الاستيراد والتصدير مهمة عند الحاجة لنقل معلومات من أداة إلى أخرى، أو تلقي معلومات من مصادر معينة، أو أنواع معينة من المخرجات للمشاركة (مثل تقارير بي دي إف).

عند استكشاف الخيارات، ضعوا في الاعتبار أن استيراد وتصدير البيانات يمكن أن يضيف خطوة يدوية إضافية إلى سير العمل، وله آثار أمنية خاصة به.

يستخدم العديد من الموثقين هواتفهم لجمع الأدلة، لكنهم يواجهون احتمالية أن يتم إيقافهم من قبل سلطة أو شخصٍ معتدٍ (قد يكون نفس الشخص) ويتم تفتيش هواتفهم.

تقدم بعض تطبيقات الجمع للأجهزة المحمولة أعلاه ميزات للتعامل مع هذا السيناريو، بما في ذلك:

• الخيار لاستبدال أيقونة التطبيق واسمه على الهاتف الخاص بكم بشيء لا يثير الشبهات، مثل رمز آلة حاسبة.

• زر واحد لإيقاف التشغيل الفوري للتطبيق، والإزالة التلقائية للتطبيق من قائمة “التطبيقات المستخدمة مؤخرًا” في الهاتف.

• حذف سهل وسريع للتطبيق، وأية وسائط إعلامية تم التقاطها، من داخل التطبيق نفسه. يمكن أن يكون هذا مفيدًا إذا شعر الموثق أنه على وشك التعرض للتوقيف مثلًا.

تسمح بعض التطبيقات للمستخدمين بتحميل البيانات إلى مجلد مشترك أو خادم باسم مستعار، لحماية هويتهم في حالة اختراق البيانات في موقع الإدارة أو التخزين.

التشفير هو استراتيجية رئيسية للتخفيف من المخاطر حول الأدلة التي يتم الوصول إليها أو العبث بها أو سرقتها أو حذفها من قبل أطراف غير مصرح لها. يمكن استخدام التشفير بطرق مختلفة:

• تشفير البيانات داخل أداة. تتيح بعض تطبيقات الجمع، على سبيل المثال، التقاط الصور ومقاطع الفيديو باستخدام التطبيق، حيث يتم تشفيرها تلقائيًا. هذا يخفف من خطر الوصول إلى البيانات أو العبث بها في حالة سرقة الجهاز و/أو اختراقه.

• التأكد من أن البيانات تنتقل عبر اتصال آمن (عبر TLS/SSL مثلاً). قد تحتاج البيانات إلى الانتقال، على سبيل المثال، من تطبيق جمع إلى خادم آمن معين (حيث تتم إدارتها أو أرشفتها)، أو نقل البيانات بين المتصفح وموقع الويب أو تطبيق الويب. يخفف الاتصال الآمن من مخاطر الوصول إلى البيانات أو العبث بها أثناء النقل، وهو ممارسة قياسية بشكل عام لأي أداة تأخذ حماية البيانات على محمل الجد

• التشفير من الطرف إلى الطرف. يذهب التشفير من الطرف إلى الطرف خطوة أبعد من ذلك من حيث الأمن، حيث يشفر البيانات من الجهاز أو النظام المرسل إلى المستقبل. يستخدم هذا النوع من التشفير حاليًا في عدد قليل من تطبيقات المراسلة الآمنة المستخدمة على نطاق واسع (سغنال مثلاً). كما تم استخدام التشفير من الطرف إلى الطرف من قبل بعض أدوات التوثيق المعروفة في الماضي – مثل مارتوس (Martus) الذي تم إنهاء عمله عام 2018 بعد 15 عامًا.

يظهر هذا المورد من مؤسسة الحدود الإلكترونية (EFF) الاختلافات الرئيسية بين تشفير طبقة النقل (على سبيل المثال TLS/SSL) والتشفير من الطرف إلى الطرف.

تحتوي بعض الأدوات على خيارات حول مكان وكيفية استضافتها.

• الاستضافة الذاتية. مع بعض الأدوات، يكون لدى المؤسسات خيار إعدادها على خوادمها الخاصة. يمكن أن يسمح ذلك بالتحكم الكامل في البيانات. لكن الاستضافة الذاتية تتطلب أيضًا مستوى معين من المعرفة والمهارة التقنية.

• نسخ مُستضافة من الأداة. يقدم العديد من مطوري الأدوات في مساحة توثيق حقوق الإنسان نسخ مُستضافة لأداتهم – بمعنى آخر، يتم استضافة بيانات المؤسسة على خوادم يصونها مطور الأدوات نفسه، أو بواسطة شريك استضافة موثوق به
  سيكون لمطوري الأدوات مستويات مختلفة من التحكم والوصول هنا.

• الاستضافة في بلدان مختلفة. يقدم بعض مطوري الأدوات أو شركاء الاستضافة خيار الاستضافة في بلدان مختلفة. يمكن أن تأخذ القرارات هنا في الاعتبار السلطات التي يمكن أن تصل إلى البيانات.

تعد كلمات المرور جزءًا مهمًا من أي نظام آمن، ولكن يمكن تطبيقها أيضاً بطرق مختلفة.

• تطبيقات الجوال: على الرغم من أن تطبيقات الجوال بشكل عام لا تتطلب من المستخدم إدخال كلمة مرور منفصلة بعد إلغاء قفل الهاتف، إلا أن بعضها قد يتطلب واحدة كخطوة إضافية من الأمن.

• أدوات مستندة إلى الويب: بالنسبة للبرامج المستندة إلى الويب، يمكن إضافة طبقة إضافية من الحماية من خلال المصادقة الثنائية، مما يساعد على الحفاظ على أمان البيانات في حالة اختراق كلمة مرورك.

لمزيد من الشرح حول ما هي المصادقة الثنائية وكيف تعمل، راجعوا هذا الدليل من مؤسسة الحدود الإلكترونية.

• تقدم العديد من الأدوات مستويات مختلفة من أذونات الوصول. يمكن أن يكون تقليل عدد الأشخاص في المؤسسة الذين يمكنهم الوصول إلى البيانات الأكثر حساسية في نظامك استراتيجية أمن مهمة.

• يمكن لسجلات النشاط أن تمكن المنظمة من مراقبة من قام بمطالعة أية معلومات في النظام.

تتضمن عمليات تدقيق الأمن خبراء خارجيين يفحصون أمن البرنامج بشكل منتظم. إذا كان برنامج الأداة مفتوح المصدر، يمكن للمنظمات التي ترغب في اعتماد الأداة أيضًا إجراء تدقيق أمني مستقل بنفسها.

من الجدير ذكره أن يمكن لعمليات التدقيق الأمني أن تكون معقدة و/أو باهظة الثمن. خاصة بالنسبة للمنظمات ذات الكفاءة الفنية الأقل، قد يكون من الضروري تقديم دعم إضافي للقيام بهذه العملية.