الضوابط الأمنية – دليل عملي للحماية من المخاطر السيبرانية

343 مشاهدة
9 دقائق

كل شخص لديه أصول يريد حمايتها. وقد يشمل ذلك الممتلكات الموجودة في المنزل أو السيارة أو المعلومات الخاصة المخزنة على جهاز كمبيوتر محمول أو هاتف ذكي. نريد التأكد من أن منزلنا وسيارتنا في مأمن من التهديدات مثل السطو أو السرقة أو التخريب ونريد التأكد من حماية المعلومات الخاصة (مثل المعلومات المصرفية) من التهديدات السيبرانية. نحن نحمي أصولنا من التهديدات من خلال تطبيق الضوابط الأمنية وهي عمليات أو تقنيات تم وضعها لحماية سرية وسلامة وتوافر الأنظمة والأصول والمعلومات.

الضوابط الأمنية – أمثلة من الحياة الواقعية

نتفاعل كل يوم مع الضوابط الأمنية، سواء كان ذلك باستخدام قفل لحماية الوصول إلى المنزل أو السيارة، أو استخدام بصمة الإصبع لتسجيل الدخول للوصول إلى المعلومات الموجودة على جهاز كمبيوتر محمول أو هاتف ذكي، أو إعداد نظام مراقبة أمن المنزل. كل هذه أمثلة شائعة على الضوابط الأمنية المستخدمة التي تحمي الأصول ذات الأهمية بالنسبة لنا (السيارة، المنزل، المعلومات الشخصية، المعلومات المصرفية، وما إلى ذلك).

على سبيل المثال، يحتوي المنزل على العديد من الضوابط الأمنية، بما في ذلك قفل للباب الأمامي، وكاميرا مراقبة أمنية، خزنة حماية الأشياء الثمينة وعلامة تحذير تشير إلى أن المنزل تحت المراقبة، وجهاز كمبيوتر محمول مؤمن باسم مستخدم وكلمة مرور يستخدمان للتحكم بنظام الكاميرا. و. على غرار المثال المنزلي، تستخدم مؤسسة نموذجية مجموعة من عناصر التحكم الأمنية الشائعة مثل تشفير البيانات الحساسة، ومطالبة الموظفين بحمل شارات التعريف، والمطالبة بإدخال اسم المستخدم وكلمة المرور قبل الوصول إلى النظام. يعتبر ما سبق مجرد أمثلة قليلة لضوابط الأمان الشائعة. غالباً ما يتم تجميع ضوابط الأمان في فئات استناداً إلى طبيعة هذه الضوابط.التحكم. ومن الناحية العملية، فإن الفئات الثلاث الأكثر استخداماً هي الإدارية (administrative) والفنية (technical) والمادية (physical).

الضوابط الإدارية Administrative controls

توفر الضوابط الإدارية توجيهات وتعليمات تستهدف الأشخاص داخل المؤسسة. في مثال المنزل، تعد العلامة التحذيرية التي تشير إلى استخدام كاميرات المراقبة مثالاً على ضابط إداري. قد تشمل الأمثلة الأخرى للضوابط الإدارية في الحياة اليومية توقيع عقد إيجار يحتوي على لغة قانونية وعواقب التأخر في الدفع أو إجراء فحص الخلفية كجزء من الفحص مستأجر محتمل لعقار مستأجر. في منظمة نموذجية، تشمل أمثلة ضوابط الأمن الإداري ما يلي:

التوثيق

يتم استخدام التوثيق من قبل المنظمة للتأكد من عملية التواصل بشكل فعال لفهم التوقعات والمتطلبات للموظفين والكيانات الأخرى. غالباً ما يأتي ذلك في شكل اتفاقيات قانونية، كاتفاقية عدم الإفصاح NDA. بالإضافة إلى الوثائق التي يجب على الموظفين الالتزام بها مثل السياسات والإجراءات. تقوم المؤسسات أيضاً بتطوير وثائق تحدد خطة عملها في حالة وقوع بعض الأحداث الضارة، مثل خطة استمرارية العمل، أو خطة التعافي من الكوارث، أو خطة الاستجابة للحوادث.

الضوابط الأمنية في التدريب

لدى معظم المؤسسات برامج تدريبية لتثقيف العاملين حول السلوكيات أو العمليات. عادةً ما يُعرف التدريب المتعلق بالامتثال للمتطلبات الأمنية للمؤسسة، وحماية الأنظمة أو البيانات التنظيمية، وأفضل الممارسات الأمنية العامة باسم برنامج التوعية الأمنية وغالباً ما يغطي التدريب الذي تديره المؤسسة مجالات أخرى مثل التدريب على أخلاقيات العمل. يمكن تقديم التدريب بأشكال متعددة، بما في ذلك: تدريب تقليدي (مدرب-متدرب)، التدريب عبر الفيديو باستخدام الحاسب، تدريبات أو تمارين عملية. وتستفيد البرامج التدريبية من مزيج من وسائل التدريب. وغالباً ما يتم اتسخدام الدورات التدريبية المتاحة تجارياً لتدريس المفاهيم العامة والتدريب المخصص لتدريس المفاهيم الخاصة بالمؤسسة.

إدارة الموارد البشرية

تعتبر إدارة الموارد البشرية مسؤولة عن دورة الحياة الكاملة للموظفين (بكل تصنيفاتهم) داخل المؤسسة. ويشمل ذلك فحص ما قبل التوظيف، والتأهيل، والرعاية المستمرة، وانتهاء التعاقد مع الموظف. في حين أن ممارسات الموارد البشرية ليست جميعها ذات صلة بأمن المعلومات، فإن العديد من جوانب إدارة الموارد البشرية لها آثار أمنية.

  • عمليات التوظيف: هي خط الدفاع الأول للمؤسسة عند تقييم المخاطر التي قد يشكلها الموظف. من المهم فحص الأفراد بشكل مناسب قبل توظيفهم للتأكد من أنهم مؤهلون ولا يشكلون خطراً على المؤسسة. غالباً ما تشتمل فحوصات الخلفية قبل التوظيف، فحوصات مرجعية، أو فحوصات ائتمانية، أو فحوصات جنائية، أو التحقق من التوظيف السابق والتعليم. تركز هذه الفحوصات على تحديد مدى ملاءمة المرشح والتأكد من أنه صادق وملتزم بالقانون.
  • عمليات إنهاء الخدمة: عند انتهاء التوظيف يتم إلغاء وصول الموظف إلى الأنظمة والموارد على الفور. كما يجب أن يكون لدى المؤسسات إجراءات موثقة لاتباعها عند انهاء الخدمة. وقد يشمل ذلك إجراء مقابلة خروج، ومرافقة الفرد من المبنى، واستعادة أي ممتلكات تابعة للمؤسسة، مثل الشارات أو المفاتيح أو أجهزة الكمبيوتر أو غيرها من المعدات. من الضروري أن تكون هناك شراكة بين الموارد البشرية و فريق أمن المعلومات لضمان وجود الضوابط المناسبة طوال الوقت.

الضوابط الفنية Technical controls

تتضمن الضوابط الفنية الأجهزة أو البرامج التي تحمي الأصول المعلوماتية وموارد الشبكة كأجهزة الكمبيوتر أو المخدمات أو الأجهزة المحمولة أو شبكات الكمبيوتر أو البيانات المخزنة. ويشار إلى الضوابط الفنية أيضاً باسم الضوابط المنطقية. من الأمثلة على هذه الضوابط أن يتطلب الكمبيوتر المحمول تسجيل الدخول باستخدام كلمة المرور . تتضمن الأمثلة الأخرى للضوابط الفنية استخدام بصمة إصبعك لفتح هاتفك أو إدخال رقم التعريف الشخصي (PIN) عند استخدام بطاقة الائتمان. تشمل الأنواع الشائعة من الضوابط الفنية ما يلي:

ضوابط أمان البيانات

تركز على حماية المعلومات من الوصول غير المصرح به أو الكشف عنها أو تعديلها. تتم حماية البيانات من خلال التشفير، مما يضمن تشفير البيانات أثناء الراحة (البيانات المخزنة على أجهزة الكمبيوتر أو الخوادم أو الوسائط الخارجية) وأثناء النقل (البيانات المنقولة بين أجهزة الكمبيوتر الموجودة على الشبكة). يتم تنفيذ ضوابط أمان البيانات من خلال إعداد الأصول وتعزيز أمانها بشكل صحيح.  

ضوابط التحكم في الوصول

:هي أنظمة فنية (منطقية) تتحكم في الوصول إلى الأصول المعلوماتية مثل أنظمة الكمبيوتر أو الشبكات أو التطبيقات أو قواعد البيانات. قد تشتمل ضوابط الوصول الفنية في المؤسسة على واحد أو أكثر مما يلي عند المصادقة باستخدام جهاز كمبيوتر أو نظام أو تطبيق: إدخال اسم المستخدم وكلمة المرور، استخدام MFA للأجهزة أو البرامج، استخدام المقاييس الحيوية (مثل مسح قزحية العين أو راحة اليد أو بصمة الإصبع) والصلاحيات المطبقة على الملفات.

ضوابط التحكم في أمن الشبكة

تتكون شبكة المؤسسة من الخوادم وأجهزة الكمبيوتر وأجهزة الشبكة وأجهزة الجوال وما إلى ذلك. غالباً ما يُشار إلى هذه الأصول المتصلة بالشبكة باسم نقاط النهاية. يتم تنفيذ هذه الضوابط عبر الشبكة. يتضمن ذلك عناصر التحكم المطبقة على نقاط النهاية (مثل برامج الأمان المثبتة على الكمبيوتر) وعلى شبكة المؤسسة (مثل أجهزة أمان الشبكة). تتضمن الأمثلة الشائعة لضوابط أمان الشبكة:  أنظمة كشف التسلل التي تكتشف الأنشطة الشاذة على الشبكة أو نقاط النهاية، أنظمة منع التسلل التي تمنع الأنشطة الشاذة على الشبكة أو نقاط النهاية، جدران الحماية التي تسمح باتصالات معينة أو ترفضها بناءاً على مجموعة من القواعد، الأدوات التي تعمل على جمع بيانات السجلات وتحليلها بشكل مركزي، وبرنامج مكافحة الفيروسات/البرامج الضارة الذي يكتشف البرامج الضارة ويعزلها.

الضوابط الأمنية المادية (الفيزيائية) – Physical controls

تهدف هذه الضوابط لحماية الموارد ضد التهديدات المادية، بما في ذلك، على سبيل المثال لا الحصر، عمليات السطو والحرائق والسرقة وما إلى ذلك. وتشمل هذه التدابير الوقائية للأشخاص والأصول والمرافق. في مثال المنزل، يعد قفل الباب والخزنة وكاميرا الأمان أمثلة على عناصر التحكم في الأمان الفعلي. تشمل الأمثلة الأخرى للضوابط المادية في الحياة اليومية قفل دراجتك، وأنظمة أمان المنزل، وطفاية الحريق الموجودة في معظم المنازل. وتشمل هذه الضوابط ولاتقتصر على: السياج، والأقفال، .حراس الأمن، كاميرات المراقبة، طفاية حريق أو نظام إخماد الحريق والقياسات الحيوية للوصول إلى مبنى أو غرفة.

يتناول روبودين في مقالات قادمة كل مجموعة من هذه الضوابط بتفصيل أكبر.

شارك المقال
اضف تعليق

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر قراءة

أمن قواعد البيانات
أمن قواعد البيانات – خطوات بسيطة نحو حماية أفضل
أمن انترنت الاشياء
أمن انترنت الأشياء IOT الاسباب والحلول
تقييم المخاطر
كيفية تقييم مخاطر الأمن السيبراني في خمس خطوات
مبادئ أمن المعلومات
مبادئ أمن المعلومات – العناصر الخمسة في AAA
هجوم حقن قواعد البيانات SQL
هجوم حقن قواعد بيانات SQL – دليل سريع للحماية
الهجمات على الشبكات اللاسلكية
التشفير في الشبكات اللاسلكية – طرق الحماية و حدودها
المرونة الإلكترونية للحماية من المخاطر السيبرانية
نهج عملي لإدارة المخاطر والمرونة الإلكترونية
مراقبة الشبكة و تحليل البيانات
مراقبة الشبكة – أنواعها، أدواتها و أهميتها في عالم الأعمال