سياسات المخاطر السيبرانية للتقنيات، الأفراد، والكيانات PDF

Summary

هذه وثيقة عن سياسات المخاطر السيبرانية للتقنيات، الأفراد، والكيانات في جامعة أم القرى، تغطي مبادئ وممارسات الأمن السيبراني. تتضمن الوثيقة جوانب مهمة مثل كيفية إنشاء سياسة أمن سيبراني، وسياسات أمان تكنولوجيا المعلومات، وأمن البريد الإلكتروني واستخدام الأجهزة الشخصية للعمل.

Full Transcript

‫الكلية التطبيقية‬
Cyber Risks Policies for Technologies,
Individuals and Entities

‫سياسات المخاطر السيبرانية‬
‫للتكنولوجيات واألفراد والكيانات‬
 ‫مقدمة‬
‫‪Introduction‬‬

‫ سياسات األمن السيبراني هي مجموعة من اإلرشادات واإلجراءات التي تتبعها‬
‫المنظمات واألفراد لحماية أصولهم الرقمية من التهديدات السيبرانية‪.‬‬
‫ تم تصميم هذه السياسات لحماية المعلومات الحساسة‪ ،‬مثل البيانات الشخصية‬
‫والمعلومات المالية والملكية الفكرية‪ ،‬من الوصول غير المصرح به أو السرقة أو‬
‫الضرر‪.‬‬
‫ يمكن أن تغطي هذه السياسات موضوعات مختلفة‪ ،‬بما في ذلك أمان تكنولوجيا‬
‫المعلومات وأمن البريد اإللكتروني واستخدام األجهزة الشخصية للعمل ‪.‬‬
 ‫من يجب أن يكتب سياسات األمن السيبراني؟‬
‫‪?Who Should Write Cyber Security Policies‬‬

‫ إن سياسة األمن السيبراني لها تأثيرات بعيدة المدى عبر المنظمة ويمكن أن تمس‬
‫أقسام متعددة‪.‬على سبيل المثال‪ ،‬قد يكون موظفو تكنولوجيا المعلومات مسؤولين‬
‫عن تنفيذ السياسة‪ ،‬في حين أن الفرق القانونية أو فرق الموارد البشرية قد تتحمل‬
‫مسؤولية تطبيقها‪.‬‬

‫ ونتيجة لذلك‪ ،‬يجب تطوير سياسات تكنولوجيا المعلومات والحفاظ عليها من قبل‬
‫فريق متعدد التخصصات يتكون من موظفين من تكنولوجيا المعلومات والشؤون‬
‫القانونية والموارد البشرية واإلدارة‪.‬‬

‫ وهذا يضمن أن السياسة متوافقة مع األهداف اإلستراتيجية للشركة واللوائح المعمول‬
‫بها‪ ،‬ويمكن تنفيذها بشكل فعال إما عن طريق الضوابط الفنية أو اإلجراءات التأديبية‬
‫المحتملة‬
 ‫كيفية إنشاء سياسة األمن السيبراني‬
‫‪How to Create a Cyber Security Policy‬‬

‫إن إنشاء سياسة األمن السيبراني هي عملية متعددة المراحل تتضمن‬
‫الخطوات الرئيسية التالية‪:‬‬
‫ تحديد سطح التهديد‪ :‬تم تصميم سياسات مختلفة لمعالجة التهديدات والمخاطر المختلفة التي تواجه‬
‫المنظمة‪.‬الخطوة األولى في كتابة السياسة هي الحصول على فهم واضح لألنظمة والعمليات التي سيتم‬
‫تنظيمها‪ ،‬مثل استخدام األجهزة الشخصية لألعمال‪.‬‬

‫ تحديد المتطلبات المطبقة‪ :‬قد يكون لسياسات األمن السيبراني للشركات محركات داخلية وخارجية‪ ،‬مثل‬
‫أهداف أمان الشركة والمتطلبات التنظيمية (‪ ،HIPAA، PCI DSS‬وما إلى ذلك)‪.‬لتطوير سياسة األمن‬
‫السيبراني‪ ،‬تتمثل الخطوة التالية في تحديد المتطلبات التي يجب أن تلبيها السياسة‪.‬‬
 ‫كيفية إنشاء سياسة األمن السيبراني‬
‫‪How to Create a Cyber Security Policy‬‬

‫ صياغة السياسة‪ :‬بعد تحديد المتطلبات‪ ،‬فإن الخطوة التالية هي صياغة السياسة‪.‬يجب أن يتم تحقيق‬
‫ذلك من قبل فريق يضم أصحاب المصلحة من تكنولوجيا المعلومات والشؤون القانونية والموارد البشرية‬
‫واإلدارة‪.‬‬

‫ التماس التعليقات‪ :‬تكون سياسة األمن السيبراني أكثر فعالية إذا كانت واضحة ومفهومة للموظفين‪.‬‬
‫إن التماس التعليقات من الموظفين خارج مجموعة السياسات يمكن أن يساعد في تجنب سوء الفهم‬
‫والمشكالت المماثلة‪.‬‬

‫ تدريب الموظفين‪ :‬بعد تطوير السياسة‪ ،‬يجب نشرها من خالل المنظمة‪.‬كما سيحتاج الموظفون إلى‬
‫التدريب على هذه السياسات لمتابعة متطلباتهم‪.‬‬

‫ تحديث السياسة بانتظام‪ :‬يمكن أن تصبح السياسات قديمة‪ ،‬وقد تتغير متطلباتها‪.‬وينبغي مراجعتها‬
‫وتحديثها بانتظام إلبقائها محدثة‬
 ‫سياسات لألمن السيبراني يجب أن تمتلكها كل منظمة‬
‫‪Cybersecurity Policies Every Organization Must Have‬‬

‫‪.1‬سياسة االستخدام المقبول‪ :‬تركز على الخطأ البشري كمصدر رئيسي لخروقات األمان‬
‫السيبراني (‪ ،)٪95‬وتحدد قواعد استخدام تكنولوجيا المعلومات والوصول للشبكة‪.‬يجب أن تكون‬
‫موجزة وسهلة القراءة‪ ،‬تشمل ممارسات أمان البيانات وتحظر مشاركة كلمات المرور عبر البريد‬
‫اإللكتروني وتحديد قيود لألنشطة غير القانونية‪.‬‬

‫‪.2‬التدريب على التوعية األمنية‪ :‬مع زيادة عدد المؤسسات المشجعة على استخدام أجهزة‬
‫الموظفين الشخصية في العمل من المنزل‪ ،‬أصبحت األمان مسؤولية مشتركة‪.‬تحدد سياسة‬
‫التدريب متطلبات التدريب األمني لحماية البيانات واألنظمة‪.‬الدراسات تظهر أن المنظمات ذات‬
‫سياسات تدريب الوعي األمني تتكبد خسائر أقل بسبب الجرائم اإللكترونية‪.‬يجب أن يشمل‬
‫التدريب جميع الموظفين‪ ،‬ويمكن استخدام محاكاة الهجمات لتحسين الوعي واكتساب خبرة‬
‫عملية‪.‬‬
 ‫سياسات لألمن السيبراني يجب أن تمتلكها كل منظمة‬
‫‪Cybersecurity Policies Every Organization Must Have‬‬

‫سياسة إدارة الهوية ‪ :‬تبرز أهمية سياسة قوية إلدارة الهوية في ظل انتشار العمل عن بعد‪.‬تهدف‬ ‫‪.3‬‬
‫السياسة إلى منح المستخدمين الصحيحين حق الوصول إلى المعلومات الضرورية بشكل دقيق‪.‬يجب أن‬
‫تشمل السياسة ليس فقط آليات المصادقة‪ ،‬ولكن أيًض ا توفير كلمات المرور وفصل الموظفين من الخدمة‪.‬‬
‫يتم تخصيص قسم لمتطلبات كلمات المرور لضمان قوة وتنوعها‪.‬يشمل أيًض ا استخدام المصادقة متعددة‬
‫العوامل كمتطلب شائع لتعزيز األمان‪.‬‬

‫التعافي من الكوارث واستمرارية األعمال‪ :‬يهدفان إلى إعداد المؤسسة لألحداث التخريبية وضمان‬ ‫‪.4‬‬
‫استئناف العمل بسرعة وبدون تأثير كبير‪.‬تشمل األحداث التخريبية الهجمات السيبرانية وحاالت الطوارئ‬
‫الداخلية والخارجية‪.‬يكتسبان أهمية كبيرة نظًر ا لتكلفة التوقف عن العمل‪ ،‬ويجب أن تعكس سياسة التعافي‬
‫الفريدة لكل مؤسسة‪.‬يتطلب تنفيذها تحليال دقيًقا لتحديد االحتياجات ويجب اختبارها لضمان تحقيق األهداف‬
‫المرجوة‪.‬‬
 ‫سياسات لألمن السيبراني يجب أن تمتلكها كل منظمة‬
‫‪Cybersecurity Policies Every Organization Must Have‬‬

‫‪.5‬االستجابة للحوادث‪ :‬ضرورة وضع سياسة لالستجابة للحوادث تحدد اإلجراءات الكتشاف‬
‫والتعامل والتعافي من حوادث األمان السيبراني‪.‬يجب أن تكون هذه السياسة مرنة لتلبية‬
‫التطورات المستمرة في تكتيكات مجرمي اإلنترنت‪.‬تشمل مراحل االستجابة الستة‪ :‬اإلعداد‪،‬‬
‫والتحديد‪ ،‬واالحتواء‪ ،‬واالستئصال‪ ،‬والتعافي‪ ،‬والتعلم‪.‬يتطلب األمر اختبار سياسة االستجابة من‬
‫خالل محاكاة لمختلف أنواع الحوادث لضمان فعاليتها‪.‬‬

‫‪.6‬التصحيح والصيانة‪ :‬يشير معهد ‪ Ponemon‬إلى أن ‪ ٪57‬من خروقات البيانات يمكن أن ترتبط‬
‫بثغرات أمان غير مصححة‪.‬تحدد سياسة التصحيح والصيانة المسؤوليات الكتشاف وتثبيت‬
‫التصحيحات بشكل فعال‪ ،‬وتشمل جميع أصول تكنولوجيا المعلومات المحتمل استغاللها‪ ،‬مضمونًة‬
‫تطبيق التحديثات بشكل صحيح في الوقت المناسب‪.‬‬
 ‫سياسات األمن السيبراني بالنسبة للتقنيات‬
‫‪Cyber Risks Policies for Technologies‬‬

‫يعد تطوير سياسات قوية للمخاطر السيبرانية أمًر ا ضرورًيا لحماية التقنيات واألفراد والكيانات من التهديدات المحتملة‪.‬فيما‬
‫يلي المكونات األساسية إلنشاء سياسات شاملة للمخاطر السيبرانية‪:‬‬
‫بالنسبة للتقنيات ‪:‬‬
‫‪.1‬سياسات التحكم في الوصول‪:‬‬
‫‪ -‬تنفيذ سياسات صارمة إلدارة الوصول إلى األنظمة والبيانات الحساسة‪.‬حدد أدوار المستخدم وأذوناته لتقييد الوصول بناًء‬
‫على مسؤوليات الوظيفة‪.‬‬
‫‪.2‬أمان البرامج وتحديثاتها‪:‬‬
‫‪ -‬فرض سياسات تحديثات البرامج المنتظمة وإدارة تصحيحات األمان لمعالجة نقاط الضعف على الفور وتقليل مخاطر‬
‫االستغالل‪.‬‬
‫‪.3‬تشفير البيانات‪:‬‬
‫‪ -‬وضع سياسات لتشفير البيانات الحساسة‪ ،‬سواء أثناء النقل أو أثناء حفظها‪ ،‬للحماية من الوصول غير المصرح به في حالة‬
‫حدوث انتهاك‪.‬‬
‫‪.4‬التخطيط لالستجابة للحوادث‪:‬‬
‫‪ -‬وضع سياسات تحدد الخطوات الواجب اتخاذها في حالة وقوع حادث يتعلق باألمن السيبراني‪.‬تضمين إجراءات الكشف عن‬
‫الحوادث واإلبالغ عنها واالستجابة لها‪.‬‬
‫‪.5‬مراقبة الشبكة‪:‬‬
‫‪ -‬تنفيذ سياسات المراقبة المستمرة ألنشطة الشبكة الكتشاف الحوادث األمنية المحتملة واالستجابة لها في الوقت الفعلي‪.‬‬
 ‫سياسات األمن السيبراني بالنسبة لألفراد‪:‬‬
‫‪Cyber Risks Policies for Individuals‬‬

‫‪.1‬التدريب على التوعية األمنية‪:‬‬
‫‪ -‬توفير تدريب منتظم للتوعية باألمن السيبراني لألفراد داخل المنظمة‪.‬قم بتثقيفهم حول كيفية التعرف على‬
‫محاوالت التصيد االحتيالي‪ ،‬واستخدام كلمات مرور قوية‪ ،‬والحفاظ على الممارسات األمنية الجيدة‪.‬‬

‫‪.2‬سياسات أمان الجهاز‪:‬‬
‫‪ -‬وضع إرشادات لتأمين األجهزة الشخصية المستخدمة ألغراض العمل‪ ،‬بما في ذلك الهواتف المحمولة‬
‫وأجهزة الكمبيوتر المحمولة واألجهزة اللوحية‪.‬قد يتضمن ذلك استخدام برامج مكافحة الفيروسات والتشفير‪.‬‬

‫‪.3‬ممارسات اإلنترنت اآلمنة‪:‬‬
‫‪ -‬توصيل السياسات المتعلقة باالستخدام اآلمن لإلنترنت‪ ،‬بما في ذلك إرشادات تنزيل المرفقات‪ ،‬والنقر على‬
‫الروابط‪ ،‬والوصول إلى مواقع الويب الخارجية‪.‬‬
 ‫سياسات األمن السيبراني بالنسبة للهيئات‪:‬‬
‫‪Cyber Risks Policies for Entities‬‬

‫‪.1‬الحوكمة واالمتثال‪:‬‬
‫‪ -‬تطوير السياسات لضمان االمتثال لقوانين ولوائح األمن السيبراني ذات الصلة‪.‬إنشاء إطار حوكمة لإلشراف على مخاطر األمن‬
‫السيبراني وإدارتها‪.‬‬
‫‪.2‬سياسات إدارة المخاطر‪:‬‬
‫‪ -‬تنفيذ سياسات إلجراء تقييمات منتظمة للمخاطر لتحديد التهديدات المحتملة وترتيب أولوياتها‪.‬تحديد استراتيجيات التخفيف‬
‫وتخصيص الموارد وفًقا لذلك‪.‬‬
‫‪.3‬سياسات خصوصية البيانات‪:‬‬
‫‪ -‬وضع إرشادات للتعامل مع البيانات الحساسة وحمايتها‪ ،‬بما في ذلك معلومات العمالء‪.‬ضمان االمتثال للوائح حماية البيانات وإبالغ‬
‫سياسات الخصوصية لألفراد بوضوح‪.‬‬
‫‪.4‬سياسات أمان الطرف الثالث‪:‬‬
‫‪ -‬تنفيذ سياسات لتقييم وإدارة مخاطر األمن السيبراني المرتبطة بالبائعين والشركاء الخارجيين‪.‬تحديد متطلبات األمان للكيانات‬
‫الخارجية التي يمكنها الوصول إلى أنظمة أو بيانات المؤسسة‪.‬‬
‫‪.5‬إجراءات تأهيل الموظفين وإيقافهم‪:‬‬
‫‪ -‬تطوير إجراءات اإلعداد اآلمن للموظفين والمقاولين الجدد‪ ،‬باإلضافة إلى األفراد الذين لم يعودوا بحاجة إلى الوصول‪.‬يتضمن ذلك‬
‫إلغاء بيانات اعتماد الوصول وضمان أمان البيانات أثناء انتقاالت الموظفين‪.‬‬
‫‪-‬تعد التحديثات المنتظمة والدورات التدريبية والتقييمات ضرورية لتكييف هذه السياسات مع التهديدات السيبرانية الناشئة والحفاظ‬
‫على وضع قوي لألمن السيبراني عبر التقنيات واألفراد والكيانات‪.‬‬
 ‫المراجع‬

https://www.checkpoint.com/cyber-hub/cyber-security/c
yber-security-policy-types-of-cybersecurity-policies/
6 Cybersecurity Policies Small & Medium Sized Business
es Should Have (osibeyond.com)