“البيانات هي النفط الجديد للعصر التكنولوجي”.
لماذا وكيف؟
كخبير في مجال #Network Security ، كيف أحمي بيانات مؤسستي؟
ما هي السياسات التي يجب تضمينها؟
ما هي الأدوات المتوفرة لمساعدتي في تطبيق هذه السياسات؟
إذا كانت لديك هذه المشاكل ، فهذه التدوينة مناسبة لك.
لقد قمت بتلخيص
(1) خبرتي العملية من خلال من خلال عملي في هذا المجال،
و (2) خبرتي الأكاديمية من خلال البحث في هذا الموضوع
لذلك سأدرج أهم السياسات أولاً – بعد ذلك سأناقش كيفية تنفيذ بعض هذه الاستراتيجيات من خلال تحويل هذه الاستراتيجيات إلى خطوات فنية في نظام إلكتروني
من أهم السياسات العامة التي يجب تضمينها لضمان أمن المعلومات
(1) سياسة استخدام الإنترنت ووسائل التواصل الاجتماعي
(2) سياسة استخدام البريد الخاص بالعمل
(3) سياسة الإتصال عن بعد والإتصال بــ wireless (wifi)
(4) سياسة استخدام أجهزة الشركة (أجهزة كمبيوتر ,لابتوب,طابعات، إلخ).
(5) سياسة استخدام جهاز التخزين
(6) سياسة تنزيل البرامج والاضافات
(7) سياسة الوصول إلى المعلومات والنظام
(8) سياسة كلمة المرور
(9) سياسة استخدام الأجهزة الشخصية
(10) سياسة مشاركة المعلومات مع الموظفين داخل القسم، مع الموظفين في أقسام أخرى داخل المؤسسة، مع الشركاء، ومع العامة
(11) سياسة التوعية بالأمن السيبراني
(12) سياسة التشفير
(13) إستراتيجية أمان التطبيق
(14) إستراتيجية أمان الخادم
(15) سياسة أمان الشبكات
(16) سياسة تصنيف البيانات
(17) سياسة استمرارية الاعمال وإدارة الكوارث
مثلاً لتنفيذ السياسة (1)
يجب حظر مواقع الويب التي قد تشكل تهديدًا لبيانات المؤسسة.
لنفترض أننا نحظر موقع YouTube ويحتاج الموظف إلى استخدامه لأغراض العمل. في هذه الحالة ، يجب أن يكون لدينا آلية لاستثناءات هذا الموظف، ويقدم الموظفون طلباتهم ، والأسباب والتواريخ التي يحتاجون إليها.
لفرض تطبيق (7)
يجب أن يستند الوصول إلى مبدأ الامتياز الأقل أو الامتياز الاكثر حتى يتمكن من الوصول إلى المعلومات واستخدام نظام يسمح له بأداء عمله دون زيادة أو نقصان. وهذا من مهام متخصص الأمن السيبراني في المؤسسة ويعد اهم أحد التحديات التي تواجه.
لفرض (8)
يجب أن تكون هناك سياسة كلمة مرور واضحة.
كم عدد الخانات التي يجب أن تكون؟
هل يجب أن يحتوي على رموز وأرقام وحروف؟
متى يضطر المستخدمون للتغيير؟
هل يجوز له إعادة استخدام كلمة المرور السابقة؟ ماذا عن المصادقة الثنائية MFA؟
من أجل تنفيذ التطبيق (9)
يجب أن تكون هناك آلية لطلب استخدام جهاز شخصي للعمل. ذات مرة ، طلبت إضافة رسائل البريد الإلكتروني الخاصة بالعمل إلى وحدتي الشخصية. بعد أن اجتاز طلبي الموافقة اللازمة ، طلب مني تنزيل برنامج SSO وتغيير كلمة المرور! ثم قسّم ملف الهاتف المحمول إلى جزأين
حيث تنقسم ملفات الجوال إلى ملفات شخصية وملفات عمل.
لماذا ؟
لأنه إذا غادر الموظف لأي سبب من الأسباب ، فسيقوم الوكيل بمسح جميع البيانات المتعلقة بالشركة مباشرةً.
لنفرض التطبيق (10)
افترض أن موظفيك يشاركون الملفات من خلال Box أو أدوات مشاركة أخرى.
تتوفر الأدوات التي تسمح لنا بضمان عدم مشاركة الملفات مع البريد الشخصي ، وعدم تخزينها على USB ، وعدم تحميلها على الجهاز.
لذلك، سنقوم باستخدام أداة Prisma SaaS، والتي عرفت بـ Aperture سابقاً قبل أن تمتلكها بالو ألتو وتقوم بتغيير اسمها.
ستقوم الأداة بوضع علامة عليه ،عند إرسال الملفات لبريد شخصي أو تحميلها على الجهاز .
يمكنك أيضًا تعطيل استخدام USB على جهاز العمل لمنع تحميل الملفات.
من أجل تنفيذ (11)
يجب إنشاء آليات مناسبة لقياس وعي الموظفين بالأمن السيبراني.
كما يجب أن تكون هناك خطة توعية إلزامية. على سبيل المثال ،
يمكنك محاكاة رسائل البريد الإلكتروني الخادعة وتصميم برامج الإدراك بذكاء.
من خلال هذه البرامج ، يمكنك التأكد من مشاهدة الموظفين للفيديو وفهم الفيديو وقراءة الإستراتيجية الكاملة وفهم الفيديو.
من أجل تنفيذ (17)
فإن النقطة الأهم هي أن لدينا آلية نسخ احتياطي .
كم مرة يتم تخزين البيانات؟ أين يتم تخزينها؟ هل البيانات المحفوظة مشفرة؟ أين يتم تخزين مفتاح فك التشفير؟ هل تستخدم أدوات الإدارة السرية؟ هل هناك نسخة غير متصلة بالإنترنت؟ من له الحق في استخدامه؟
هذه مراجعة ملخصة لبعض سياسات الأمن السيبراني التي تمكننا من الحفاظ على المعلومات في العمل.
ملاحظة عامة : ثلاث نقاط يجب ملاحظتها حول السياسة:
(1) صياغة واقرار السياسات.
2) وعي الموظفين بوجود هذه السياسات.
(3) تطبيق السياسات.
و هكذا نكون قد انتهينا من تدوينة اليوم ، تابعونا ليصلكم كل جديد