يقال: "البيانات، هي النفط الجديد في عصر التكنولوجيا"
لماذا؟ وكيف يمكنني كمختص في مجال تقنية المعلومات أن أحمي بيانات الجهة التي أنتمي إليها؟
وما السياسات التي يجب تطبيقها؟
وما الأدوات التي تساعدني في فرض تطبيق هذه السياسات؟
إذا كانت لديك هذه التساؤلات، فهذه التدوينة لك.
سوف نقوم بعرض أهم السياسات الواجب تطبيقها داخل المؤسسة، ثم سأتطرق لومضات عن كيفية فرض التطبيق لبعض هذه السياسات من خلال ترجمتها إلى خطوات تقنية داخل الأنظمة الإلكترونية.
من أهم السياسات العامة الواجب تطبيقها لضمان أمن المعلومات:
- سياسة استخدام الإنترنت والتواصل الاجتماعي.
- سياسة استخدام بريد العمل.
- سياسة الاتصال عن بعد والاتصال بـ Wireless.
- سياسة استخدام أجهزة الشركة (لابتوب… الخ).
- سياسة استخدام أجهزة التخزين.
- سياسة تحميل البرامج.
- سياسة الوصول للمعلومات، والأنظمة.
- سياسات كلمات المرور.
- سياسة استخدام الأجهزة الشخصية.
- سياسة مشاركة المعلومات مع الموظفين داخل القسم، مع الموظفين في أقسام أخرى داخل المنظمة، مع الشركاء، ومع العامة.
- سياسة التوعية بالأمن السيبراني.
- سياسة التشفير.
- سياسة أمن التطبيقات.
- سياسة أمن الخوادم.
- سياسة أمن الشبكات.
- سياسة تصنيف البيانات.
- سياسة استمرارية الأعمال وإدارة الكوارث.
لفرض تطبيق السياسة (1): ينبغي حجب المواقع التي قد تشكل تهديداً على بيانات المنظمة، فلنفترض أننا حجبنا اليوتيوب، واحتاج أحد الموظفين لاستخدامه لأغراض العمل، في هذه الحالة، ينبغي أن يكون لدينا آلية لـProxy Exception، يقوم الموظف بتقديم طلبه، مع المبررات والتواريخ التي يحتاجها فيها.
لفرض تطبيق السياسة (7): ينبغي أن يكون الوصول مبني على مبدأ الامتيازات الأقل، أو Least Privileges بحيث يمكنه الوصول للمعلومات، واستخدام الأنظمة، بما يمكنه من أداء عمله فقط، دون زيادة أو نقصان، وهذا من التحديات التي تواجه مختصي الأمن السيبراني في الجهات.
لفرض تطبيق السياسة (8): ينبغي أن يكون هنالك سياسات واضحة لكلمات المرور، كم خانة يجب أن تكون؟ هل يجب أن تحتوي على رموز وأرقام وحروف؟ متى يجبر المستخدم على تغييرها؟ هل يسمح له بإعادة استخدام كلمات المرور السابقة؟ ماذا عن التحقق الثنائي MFA؟
لفرض تطبيق السياسة(9): ينبغي أن يكون هنالك آلية لطلب استخدام الأجهزة الشخصية للعمل، في إحدى الجهات، طلبت إضافة بريد العمل لجوالي الشخصي، بعد اجتياز طلبي للموافقات اللازمة، طلب مني تحميل برنامج الـ SSO، وتغيير كلمة المرور! ثم يتم تجزئة ملفات الجوال إلى قسمين، تم تقسيم ملفات الجوال إلى ملفات شخصية، وملفات خاصة بالعمل، لماذا؟ لأن الجهة تقوم بمسح كل البيانات التي تتعلق بالشركة مباشرة في حال ترك الموظف لعمله لأي سبب من الأسباب.
لفرض تطبيق السياسة(10): فلنفترض أن الموظفين يتشاركون ملفاتهم من خلال Box، أو غيرها من أدوات المشاركة. يمكن استخدام الأدوات التي تمكننا من التأكد من عدم مشاركة الملفات مع بريد شخصي، عدم تخزينها على USB، وعدم تحميلها على الجهاز.
لذلك، نقوم باستخدام أداة Prisma SaaS، والمعروفة بـ Aperture سابقاً قبل أن تمتلكها بالو ألتو وتغير اسمها. الأداة تقوم بعمل Flag عند إرسال الملفات لبريد شخصي أو تحميلها على الجهاز، وتعتبرها Incident. كما يمكن تعطيل إمكانية استخدام الـ USB على أجهزة العمل لمنع تحميل الملفات.
لفرض تطبيق السياسة (11): ينبغي أن يكون هنالك آليات لقياس وعي الموظفين بالأمن السيبراني، كما ينبغي وجود برامج إلزامية للتوعية بذلك، من الممكن عمل محاكاة لبريد التصيد مثلاً، وتصميم برامج توعوية بشكل ذكي يمكن من خلالها التأكد من أن الموظف يشاهد الفيديو، ويفهمه، ويقرأ السياسة كاملة، ويفهمها.
لفرض تطبيق (17): النقطة الأهم هي أن يكون لدينا آلية حكيمة للنسخ الاحتياطي، كم مرة يتم حفظ البيانات؟ أين يتم حفظها؟ هل يتم تشفير البيانات المحفوظة؟ أين يتم الاحتفاظ بمفاتيح فك التشفير؟ هل يتم استخدام Secret Management Tools؟ هل هنالك نسخة Offline؟ من يمتلك صَلاحِيَة الوصول إليها؟
كان ذلك استعراض لبعض سياسات الأمن السيبراني التي تمكننا من الحفاظ على معلوماتنا في جهات العمل.
ثلاث نِقَاط ينبغي الانتباه لها فيما يتعلق بالسياسات:
- كتابة وإنشاء السياسات.
- توعية الموظفين بوجود هذه السياسات.
- فرض تطبيق هذه السياسات داخل المؤسسة او الشركة.
مصدر هذا المقال هو ثريد على تويتر للدكتورة دلال الحارثي (من هنا) مع بعض التعديلات على الموضوع الاصلي.