يقال: "البيانات، هي النفط الجديد في عصر التكنولوجيا."
|
لماذا؟
وكيف يمكنني كمختص في مجال #الأمن_السيبراني أن أحمي بيانات الجهة التي أنتمي إليها؟
وما السياسات التي يجب تضمينها؟
وما الأدوات التي تساعدني في فرض تطبيق هذه السياسات؟
|
إذا كانت لديك هذه التساؤلات، فهذا الثريد لك.
|
لماذا؟
وكيف يمكنني كمختص في مجال #الأمن_السيبراني أن أحمي بيانات الجهة التي أنتمي إليها؟
وما السياسات التي يجب تضمينها؟
وما الأدوات التي تساعدني في فرض تطبيق هذه السياسات؟
|
إذا كانت لديك هذه التساؤلات، فهذا الثريد لك.
لخصت لكم تجربتي (1) العملية، من خلال عملي في هذا المجال في عدة جهات، و(2) الأكاديمية، من خلال بحثي ودراستي عن هذا الموضوع
- سأسرد بداية أهم السياسات الواجب تضمينها
- ثم سأتطرق لومضات عن كيفية فرض التطبيق لبعض هذه السياسات من خلال ترجمتها إلى خطوات تقنية داخل الأنظمة الإلكترونية
- سأسرد بداية أهم السياسات الواجب تضمينها
- ثم سأتطرق لومضات عن كيفية فرض التطبيق لبعض هذه السياسات من خلال ترجمتها إلى خطوات تقنية داخل الأنظمة الإلكترونية
من أهم السياسات العامة الواجب تضمينها لضمان أمن المعلومات
(1) سياسة استخدام الانترنت والتواصل الاجتماعي
(2) سياسة استخدام بريد العمل
(3) سياسة الاتصال عن بعد والاتصال بـ Wireless
(4) سياسة استخدام أجهزة الشركة (لابتوب.. الخ)
(5) سياسة استخدام أجهزة التخزين
(6) سياسة تحميل البرامج
(1) سياسة استخدام الانترنت والتواصل الاجتماعي
(2) سياسة استخدام بريد العمل
(3) سياسة الاتصال عن بعد والاتصال بـ Wireless
(4) سياسة استخدام أجهزة الشركة (لابتوب.. الخ)
(5) سياسة استخدام أجهزة التخزين
(6) سياسة تحميل البرامج
(7) سياسة الوصول للمعلومات، والأنظمة
(8) سياسات كلمات المرور
(9) سياسة استخدام الأجهزة الشخصية BYOD
(10) سياسة مشاركة المعلومات مع الموظفين داخل القسم، مع الموظفين في أقسام أخرى داخل المنظمة، مع الشركاء، ومع العامة.
(11) سياسة التوعية بالأمن السيبراني
(12) سياسة التشفير
(8) سياسات كلمات المرور
(9) سياسة استخدام الأجهزة الشخصية BYOD
(10) سياسة مشاركة المعلومات مع الموظفين داخل القسم، مع الموظفين في أقسام أخرى داخل المنظمة، مع الشركاء، ومع العامة.
(11) سياسة التوعية بالأمن السيبراني
(12) سياسة التشفير
(13) سياسة أمن التطبيقات
(14) سياسة أمن الخوادم
(15) سياسة أمن الشبكات
(16) سياسة تصنيف البيانات
(17) سياسة استمرارية الأعمال وإدارة الكوارث
(14) سياسة أمن الخوادم
(15) سياسة أمن الشبكات
(16) سياسة تصنيف البيانات
(17) سياسة استمرارية الأعمال وإدارة الكوارث
لفرض تطبيق السياسة (1)، ينبغي حجب المواقع التي قد تشكل تهديداً على بيانات المنظمة.
فلنفترض أننا حجبنا اليوتيوب، واحتاج أحد الموظفين لاستخدامه لأغراض العمل.
في هذه الحالة، ينبغي أن يكون لدينا آلية لـProxy Exception، يقوم الموظف بتقديم طلبه، مع المبررات والتواريخ التي يحتاجها فيها.
فلنفترض أننا حجبنا اليوتيوب، واحتاج أحد الموظفين لاستخدامه لأغراض العمل.
في هذه الحالة، ينبغي أن يكون لدينا آلية لـProxy Exception، يقوم الموظف بتقديم طلبه، مع المبررات والتواريخ التي يحتاجها فيها.
لفرض تطبيق (7) ينبغي أن يكون الوصول مبني على مبدأ الامتيازات الأقل، أو Least Privileges بحيث يمكنه الوصول للمعلومات، واستخدام الأنظمة، بما يمكنه من أداء عمله فقط، دون زيادة أو نقصان، وهذا من التحديات التي تواجه مختصي الأمن السيبراني في الجهات.
لفرض تطبيق (8) ينبغي أن يكون هنالك سياسات واضحة لكلمات المرور.
كم خانة يجب أن تكون؟ هل يجب أن تحتوي على رموز وأرقام وحروف؟ متى يجبر المستخدم على تغييرها؟ هل يسمح له بإعادة استخدام كلمات المرور السابقة؟ ماذا عن التحقق الثنائي MFA؟
كم خانة يجب أن تكون؟ هل يجب أن تحتوي على رموز وأرقام وحروف؟ متى يجبر المستخدم على تغييرها؟ هل يسمح له بإعادة استخدام كلمات المرور السابقة؟ ماذا عن التحقق الثنائي MFA؟
لفرض تطبيق (9)، ينبغي أن يكون هنالك آلية لطلب استخدام الأجهزة الشخصية للعمل.
في إحدى الجهات، طلبت إضافة بريد العمل لجوالي الشخصي. بعد اجتياز طلبي للموافقات اللازمة، طلب مني تحميل برنامج الـ SSO، وتغيير كلمة المرور!
ثم يتم تجزئة ملفات الجوال إلى قسمين سأوضحها في التغريدة التالية
في إحدى الجهات، طلبت إضافة بريد العمل لجوالي الشخصي. بعد اجتياز طلبي للموافقات اللازمة، طلب مني تحميل برنامج الـ SSO، وتغيير كلمة المرور!
ثم يتم تجزئة ملفات الجوال إلى قسمين سأوضحها في التغريدة التالية
تم تقسيم ملفات الجوال إلى ملفات شخصية، وملفات خاصة بالعمل.
لماذا؟
لأن الجهة تقوم بمسح كل البيانات التي تتعلق بالشركة مباشرة في حال ترك الموظف لعمله لأي سبب من الأسباب.
لماذا؟
لأن الجهة تقوم بمسح كل البيانات التي تتعلق بالشركة مباشرة في حال ترك الموظف لعمله لأي سبب من الأسباب.
لفرض تطبيق (10).
فلنفترض أن الموظفين يتشاركون ملفاتهم من خلال Box، أو غيرها من أدوات المشاركة.
يمكن استخدام الأدوات التي تمكننا من التأكد من عدم مشاركة الملفات مع بريد شخصي، عدم تخزينها على USB، وعدم تحميلها على الجهاز.
فلنفترض أن الموظفين يتشاركون ملفاتهم من خلال Box، أو غيرها من أدوات المشاركة.
يمكن استخدام الأدوات التي تمكننا من التأكد من عدم مشاركة الملفات مع بريد شخصي، عدم تخزينها على USB، وعدم تحميلها على الجهاز.
لذلك، نقوم باستخدام أداة Prisma SaaS، والمعروفة بـ Aperture سابقاً قبل أن تمتلكها بالو ألتو وتغير اسمها.
الأداة تقوم بعمل Flag عند إرسال الملفات لبريد شخصي أو تحميلها على الجهاز، وتعتبرها Incident.
كما يمكن تعطيل إمكانية استخدام الـ USB على أجهزة العمل لمنع تحميل الملفات.
الأداة تقوم بعمل Flag عند إرسال الملفات لبريد شخصي أو تحميلها على الجهاز، وتعتبرها Incident.
كما يمكن تعطيل إمكانية استخدام الـ USB على أجهزة العمل لمنع تحميل الملفات.
لفرض تطبيق (11)، ينبغي أن يكون هنالك آليات لقياس وعي الموظفين بالأمن السيبراني. كما ينبغي وجود برامج إلزامية للتوعية بذلك.
من الممكن عمل محاكاة لبريد التصيد مثلاً، وتصميم برامج توعوية بشكل ذكي يمكن من خلالها التأكد من أن الموظف يشاهد الفيديو، ويفهمه، ويقرأ السياسة كاملة، ويفهمها.
من الممكن عمل محاكاة لبريد التصيد مثلاً، وتصميم برامج توعوية بشكل ذكي يمكن من خلالها التأكد من أن الموظف يشاهد الفيديو، ويفهمه، ويقرأ السياسة كاملة، ويفهمها.
لفرض تطبيق (17)، النقطة الأهم هي أن يكون لدينا آلية حكيمة للنسخ الاحتياطية.
كم مرة يتم حفظ البيانات؟ أين يتم حفظها؟ هل يتم تشفير البيانات المحفوظة؟ أين يتم الاحتفاظ بمفاتيح فك التشفير؟ هل يتم استخدام Secret Management Tools؟ هل هنالك نسخة Offline؟ من يمتلك صلاحية الوصول إليها؟
كم مرة يتم حفظ البيانات؟ أين يتم حفظها؟ هل يتم تشفير البيانات المحفوظة؟ أين يتم الاحتفاظ بمفاتيح فك التشفير؟ هل يتم استخدام Secret Management Tools؟ هل هنالك نسخة Offline؟ من يمتلك صلاحية الوصول إليها؟
كان ذلك استعراض لبعض سياسات الأمن السيبراني التي تمكننا من الحفاظ على معلوماتنا في جهات العمل.
|
ثلاث نقاط ينبغي الانتباه لها فيما يتعلق بالسياسات:
(1) كتابة وإنشاء السياسات.
(2) توعية الموظفين بوجود هذه السياسات.
(3) فرض تطبيقها.
|
ثلاث نقاط ينبغي الانتباه لها فيما يتعلق بالسياسات:
(1) كتابة وإنشاء السياسات.
(2) توعية الموظفين بوجود هذه السياسات.
(3) فرض تطبيقها.
جاري تحميل الاقتراحات...