سياسات الأمن السيبراني

يقال: "البيانات، هي النفط الجديد في عصر التكنولوجيا." لماذا؟ وكيف يمكنني كمختص في مجال الأمن السيبراني أن أحمي بيانات الجهة التي أنتمي إليها؟ وما السياسات التي يجب تضمينها؟ وما الأدوات التي تساعدني في فرض تطبيق هذه السياسات؟  

إذا كانت لديك هذه التساؤلات، فهذا المقال لك.

لخصت لكم تجربتي العملية من خلال عملي في هذا المجال في عدة جهات، والأكاديمية من خلال بحثي ودراستي عن هذا الموضوع، سأسرد بداية أهم السياسات الواجب تضمينها، ثم سأتطرق لومضات عن كيفية فرض التطبيق لبعض هذه السياسات من خلال ترجمتها إلى خطوات تقنية داخل الأنظمة الإلكترونية، فمن أهم السياسات العامة الواجب تضمينها لضمان أمن المعلومات: 

(1) سياسة استخدام الإنترنت والتواصل الاجتماعي 

(2) سياسة استخدام بريد العمل 

(3) سياسة الاتصال عن بعد والاتصال بـ Wireless 

(4) سياسة استخدام أجهزة الشركة (لابتوب.. إلخ) 

(5) سياسة استخدام أجهزة التخزين 

(6) سياسة تحميل البرامج

(7) سياسة الوصول للمعلومات والأنظمة 

(8) سياسات كلمات المرور 

(9) سياسة استخدام الأجهزة الشخصية BYOD 

(10) سياسة مشاركة المعلومات مع الموظفين داخل القسم، ومع الموظفين في أقسام أخرى داخل المنظمة، ومع الشركاء، ومع العامة 

(11) سياسة التوعية بالأمن السيبراني 

(12) سياسة التشفير

(13) سياسة أمن التطبيقات 

(14) سياسة أمن الخوادم 

(15) سياسة أمن الشبكات 

(16) سياسة تصنيف البيانات 

(17) سياسة استمرارية الأعمال وإدارة الكوارث

لفرض تطبيق السياسة رقم (1) ينبغي حجب المواقع التي قد تشكل تهديدًا على بيانات المنظمة، فلنفترض أننا حجبنا اليوتيوب، واحتاج أحد الموظفين لاستخدامه لأغراض العمل، ففي هذه الحالة، ينبغي أن يكون لدينا آلية لـProxy Exception، حيث يقوم الموظف بتقديم طلبه، مع المبررات والتواريخ التي يحتاجها فيها.

لفرض تطبيق السياسة رقم (7) ينبغي أن يكون الوصول مبني على مبدأ الامتيازات الأقل، أو Least Privileges بحيث يمكنه الوصول للمعلومات، واستخدام الأنظمة بما يمكنه من أداء عمله فقط دون زيادة أو نقصان، وهذا من التحديات التي تواجه مختصي الأمن السيبراني في الجهات.

لفرض تطبيق السياسة رقم (8) ينبغي أن يكون هنالك سياسات واضحة لكلمات المرور، كم خانة يجب أن تكون؟ هل يجب أن تحتوي على رموز وأرقام وحروف؟ متى يجبر المستخدم على تغييرها؟ هل يسمح له بإعادة استخدام كلمات المرور السابقة؟ ماذا عن التحقق الثنائي MFA؟

لفرض تطبيق السياسة رقم (9) ينبغي أن يكون هنالك آلية لطلب استخدام الأجهزة الشخصية للعمل، في إحدى الجهات طلبت إضافة بريد العمل لجوالي الشخصي، وبعد اجتياز طلبي للموافقات اللازمة طُلب مني تحميل برنامج الـ SSO  وتغيير كلمة المرور! ثم يتم تجزئة ملفات الجوال إلى قسمين سأوضحها هنا:

تم تقسيم ملفات الجوال إلى ملفات شخصية وملفات خاصة بالعمل، لماذا؟ لأن الجهة تقوم بمسح كل البيانات التي تتعلق بالشركة مباشرة في حال ترك الموظف عمله لأي سبب من الأسباب.

لفرض تطبيق السياسة رقم (10) فلنفترض أن الموظفين يتشاركون ملفاتهم من خلال Box، أو غيرها من أدوات المشاركة، يمكن استخدام الأدوات التي تمكننا من التأكد من عدم مشاركة الملفات مع بريد شخصي، وعدم تخزينها على USB، وعدم تحميلها على الجهاز، لذلك نقوم باستخدام أداة Prisma SaaS المعروفة بـ Aperture سابقًا -قبل أن تمتلكها بالو ألتو وتغير اسمها-، الأداة تقوم بعمل Flag عند إرسال الملفات لبريد شخصي أو تحميلها على الجهاز، وتعتبرها Incident، كما يمكن تعطيل إمكانية استخدام الـ USB على أجهزة العمل لمنع تحميل الملفات.

لفرض تطبيق السياسة رقم (11) ينبغي أن يكون هنالك آليات لقياس وعي الموظفين بالأمن السيبراني، كما ينبغي وجود برامج إلزامية للتوعية بذلك، ومن الممكن عمل محاكاة لبريد التصيد مثلًا وتصميم برامج توعوية بشكل ذكي يمكن من خلالها التأكد من أن الموظف يشاهد الفيديو، ويفهمه، ويقرأ السياسة كاملة، ويفهمها.

لفرض تطبيق السياسة رقم (17) النقطة الأهم هي أن يكون لدينا آلية حكيمة للنسخ الاحتياطية، كم مرة يتم حفظ البيانات؟ أين يتم حفظها؟ هل يتم تشفير البيانات المحفوظة؟ أين يتم الاحتفاظ بمفاتيح فك التشفير؟ هل يتم استخدام Secret Management Tools؟ هل هنالك نسخة Offline؟ من يمتلك صلاحية الوصول إليها؟

كان ذلك استعراض لبعض سياسات الأمن السيبراني التي تمكننا من الحفاظ على معلوماتنا في جهات العمل، وهناك ثلاث نقاط ينبغي الانتباه لها فيما يتعلق بالسياسات: 

(1) كتابة وإنشاء السياسات. 

(2) توعية الموظفين بوجود هذه السياسات. 

(3) فرض تطبيقها.

دلال الحارثي