خصائص استراتيجية الأمن السيبراني الناجحة

بواسطة rawaa kamal

 

أمد سفيان منذر صالح

الجزء الثاني والاخير

1- قابلة للاستخدام

أول وأهم شيء في استراتيجيتك هو أنها يجب أن تعمل ، قد يبدو هذا أمرًا مفروغًا منه ، إلا أنك لو بحثت حوله ستندهش من عدد استراتيجيات وسياسات الأمن السيبراني للشركات الناجحة والتي تعيق الأداء أكثر مما تساعد.

استراتيجية الأمن السيبراني القابلة للاستخدام هي استراتيجية قوية بما يكفي لمنع المتطفلين غير المصرح بهم على الشبكة، ولكنها متساهلة بما يكفي للسماح لموظفيك وشركائك في العمل باستخدام المعلومات التي يحتاجون إليها بطريقة مبسطة.

2- تتطور بمرور الوقت

يجب أن تتضمن استراتيجية الأمن السيبراني الخاصة بك فترة تحديث دورية تتراوح بين ستة إلى اثني عشر شهرًا.

في هذه المرحلة ، سيجتمع فريق الأمن السيبراني لشركتك معًا لمعالجة أي مشكلات جديدة نشأت.

يجب مراجعة الاستراتيجية وتعديلها والموافقة عليها قبل تنفيذها.

هذا هو الوقت المثالي لتوظيف مستشار خارجي للأمن السيبراني يمكنه تحديد نقاط الضعف واقتراح طرق لمعالجتها.

3- تحسب حساب الخطأ البشري

إن استراتيجية الأمن السيبراني المرنة والمعدلة جيدًا ستوفر الإطار اللازم للتراجع عن الأخطاء البشرية أو عزلها عند الحاجة.

ما نوع الأخطاء التي نتحدث عنها؟

على سبيل المثال :

o قد يرسل الموظفون مستندات حساسة من خلال حسابات بريد إلكتروني غير آمنة.

o قد يكتب الآخرون كلمات المرور على الملاحظات اللاصقة حتى لا ينسوها

o قد يقوم موظف بفتح مرفق بريد إلكتروني من مصدر غير موثوق ما يعرض نظامك للاختراق.

على سبيل المثال :

o إذا كانت هجمات رفض الخدمة الموزعة تمثل تهديدًا كبيرًا ،فقد ترغب في أن تكون قدرات أمان الشبكة الخاصة بك ناضجة بشكل خاص.

o إذا كانت برامج الفدية ستكون أكبر مشكلة أمنية لديك ، فقد يكون عليك التأكد من أن إمكانات النسخ الاحتياطي والاسترداد ناضجة للغاية.

في النتيجة فإن مستويات النضج التي تستهدفها هي أهدافك الاستراتيجية الجديدة.

عندما تحدث مثل تلك الأخطاء ، فأنت تريد أن يكون لديك بروتوكولات في مكانها تحد من مقدار الضرر الذي يمكن القيام به مع توفير وسائل لسد فجوة المعلومات والحفاظ على أمان بياناتك قدر الإمكان.

4- موحدة ويتبعها الجميع

يحتاج كل عضو في فريقك إلى فهم استراتيجيتك وأن يكون مسؤولاً عن إنفاذها.

 

 

يجب أن تتضمن سياستك عواقب عدم الامتثال وفريق إشراف يفرض هذه العواقب ، يحتاج هذا الفريق إلى أن يكون على دراية عميقة باتجاهات الأمن السيبراني ليس فقط في مجال عملك ، ولكن في كل مستوى من مستويات الشركة.

5- متعددة التخصصات

عندما يكون لديك استراتيجية أمن إلكتروني قوية وموحدة ، فإنها تنطبق بشكل جيد على آليات قسم الشؤون المالية الخاص بك كما هو الحال في البحث والتطوير ، أو قيادة الشركة.

تم تصميم الاستراتيجية بشكل أساسي للعمل ضمن هذه السياقات ، مما يوفر إطارًا مبسطًا للوصول إلى البيانات المصرح بها والتواصل. للقيام بذلك ، يجب أن تلعب مؤسستك بأكملها دورًا في صياغة الاستراتيجية ، والتأكد من تلبية اهتمامات الجميع بشكل مناسب.

6- تخطط للاستثناءات

عند صياغة استراتيجية الأمن السيبراني الخاصة بك ، قد لا تكون وحدات عملك غطت جميع القواعد أو فكرت في المستقبل بما يكفي لتلبية جميع الاحتياجات ، هذا يعني أنه يجب أن تكون مستعدًا لتقديم عملية استثناء موحدة موثقة وخاضعة للمساءلة ومنظمة جيدًا.

7- تشرح كيفية التعامل مع الحوادث

حتى إذا قمت بصياغة استراتيجية أمن سيبراني سليمة وتغطي جميع وظائف مؤسستك ، فقد لا يكون ذلك كافيًا.

في أي لحظة قد يتم اكتشاف الثغرات الأمنية ، وقد يتم الكشف عن البيانات الحساسة وقد تضطر إلى عزل عناصر معينة من شبكتك من أجل الحفاظ على أمان عملك.

ستحتاج إلى حلول حاسمة وسريعة الاستجابة وموثوقة لمجموعة متنوعة من التهديدات والحوادث المحتملة.

أهم استراتيجيات الأمن السيبراني

الآن سنوضح لك أهم ست استراتيجيات يمكنك تنفيذها لحماية الأمن السيبراني في مؤسستك

1- إشراك القادة في المؤسسة

من الخطأ الاعتقاد أن الأمن السيبراني هو المسؤولية الوحيدة لفريق تقنية المعلومات بل يجب أن يكون مصدر قلق على المستوى C وعلى مستوى مجلس الإدارة لأن الهجوم الإلكتروني يمكن أن يؤثر سلبًا على الصحة المالية للشركة وسمعتها.

على سبيل المثال :

o يحتاج المدير المالي إلى فهم أن الاستثمار في الأمن السيبراني له عائد استثمار مرتفع لأنه يساعد في منع خرق البيانات المكلف.

o يجب أن يشارك قادة الموارد البشرية في صنع السياسات والاستراتيجيات، والتأهيل ، وإيقاف العمل ، واتصالات الموظفين لضمان التنفيذ الناجح لبروتوكولات الأمان.

2- توفير تدريبات للموظفين على الأمن السيبراني

لتوضيح أهمية توعية وتدريب الموظفين لننظر في مثال التصيد الاحتيالي phishing وهو إحدى الطرق الأكثر شيوعًا التي يستخدمها المخترقون لاختراق أنظمة المؤسسة ، هل يمكنك أن تتصور أن الأمر لن يتطلب سوى موظف واحد مهمل للنقر فوق ارتباط ضار واحد والذي سينتج عنه اختراق شبكة مؤسستك بالكامل بواسطة منفذو الهجوم .

إذاً فمن المهم جداً تدريب موظفيك على أحدث بروتوكولات الأمان ، عليك أن تتأكد من أنهم يتعاملون بحذر ويتبعون الإرشادات.

اعمل على تثقيف موظفيك بانتظام حول الأساليب الشائعة التي يستخدمها المتسللون حتى يتمكنوا من البقاء متيقظين ضد أحدث التهديدات.

3- ابق على اطلاع دائم على تكامل البرامج

بينما يساعد دمج العديد من التطبيقات في نظام أساسي واحد في كسر الحواجز وتسهيل التعاون في الوقت الفعلي ، يجب عليك اتخاذ احتياطات الأمان المناسبة عند اختيار البرامج والموردين – خاصةً عندما تتضمن مهام سير العمل نقل المعلومات المهمة للأعمال من تطبيق إلى آخر.

تعاقد مع البائعين ذوي السمعة الطيبة الذين يقومون بتحديث منصاتهم بشكل متكرر بأحدث تدابير الأمان.

تحقق أيضًا من بقاء جميع عمليات الدمج سليمة بعد الترقية للتأكد من عدم وجود ثغرة أمنية في نظامك.

4- سياسات الوصول عبر الهاتف الجوال

نظرًا لأن العمل عن بُعد أصبح أكثر شيوعًا ، عليك التأكد من أن الموظفين يمكنهم تسجيل الدخول إلى شبكتك بأمان من أي مكان

لتحقيق ذلك من الممكن :

o استخدام خدمة VPN للوصول إلى الخادم

o استخدام المصادقة متعددة العوامل لتسجيل الدخول إلى التطبيقات

o توفير التدريب على كيفية إعداد بيئة عمل آمنة.

كما أنك في حال سمحت للموظفين باستخدام أجهزتهم المحمولة للوصول إلى المعلومات المتعلقة بالعمل ، فأنت بحاجة إلى تنفيذ سياسة BYOD وتزويد الموظفين بدعم تقنية المعلومات المناسب حتى يتمكنوا من إعداد أجهزتهم بشكل صحيح.

5- شراء التأمين الالكتروني

على الرغم من أن التأمين الإلكتروني لا يصد المتسللين ، إلا أنه إجراء وقائي يمكن أن يحميك من العواقب المدمرة المحتملة في حالة اختراق نظامك.

إن تغطية تأمين المسؤولية السيبرانية تغطي عادةً نفقات الطرف الأول ، والمطالبات من قبل أطراف ثالثة ، ورسوم التحقيق ، والرسوم القانونية ، وخسائر تجارية معينة ، ومراقبة الائتمان للعملاء.

6- استخدم بروتوكولات نقل الملفات الآمنة

تتطلب معظم لوائح الصناعة ، مثل PCI DSS و HIPAA و GDPR ، تشفير أي بيانات يتم نقلها.

على هذا النحو ، تحتاج إلى استخدام بروتوكول آمن لنقل الملفات ليس فقط لحماية معلوماتك الحساسة ولكن أيضًا لضمان بقائك ملتزمًا لتجنب العقوبات الباهظة.

في حين أن هناك العديد من الخيارات ، فإن أكثرها شيوعًا هي FTPS و SFTP ، بينما يقوم FTPS بمصادقة اتصال باستخدام معرف المستخدم وكلمة المرور و / أو الشهادة ، يسمح لك SFTP باستخدام طريقتين مختلفتين – معرف المستخدم وكلمة المرور المشفرين أو مفتاح SSH – لمصادقة معرف المستخدم.

أصبح وجود استراتيجية للأمن السيبراني هو أكثر بكثير من مجرد خيار ، فهو أمر بالغ الأهمية لأمن الأعمال ونجاحها في العصر الرقمي الذي نعيشه اليوم وذلك أياً كان مجال أو اختصاص عملك.

الأسئلة الشائعة حول استراتيجية الأمن السيبراني

ما المقصود باستراتيجية الأمن السيبراني؟

هي خطة عالية المستوى تساعد في تحديد كيفية تأمين مؤسستك لأصولها خلال السنوات الثلاث إلى الخمس المقبلة ، تتضمن عمومًا تحولًا من نهج الأمان التفاعلي إلى نهج الأمان الاستباقي ، حيث تركز الاستراتيجية بشكل أكبر على منع الهجمات والحوادث السيبرانية بدلاً من الرد عليها بعد وقوعها.

ما هي أهمية استراتيجية الأمن السيبراني؟

o تساهم استراتيجية الأمن السيبراني فيما يلي: o زيادة عدد وشدة الهجمات الإلكترونية عبر كل صناعة o زيادة قيمة البيانات وفرض عقوبات أشد عند اختراق البيانات o زيادة العمل عن بعد واستخدام الأجهزة الخاصة o زيادة مشاركة تكنولوجيا المعلومات في الأعمال التقليدية غير الرقمية

ما هو معيارISO 27001 ؟

يعتبر معيار (ISO/IEC 27001:2013 ) المعيار الدولي الذي يوضح كيفية وضع نظام إدارة أمن المعلومات بشكل معتمد وتطبيقه والحفاظ عليه وتحسينه باستمرار، ضمن أطر عملية مما يسمح بالحفاظ على البيانات الحساسة والسرية بشكل آمن والتقليل من احتمال الوصول إليها بشكلٍ غير قانوني أو بدون إذن كما يسمح بإدارة المخاطر الأمنية واسترداد المعلومات وتقليل الخروقات الأمنية.

كيف يساهم معيار ISO 27001 في رفع مستوى الحماية في المنظمات؟

يساعد المعيار في التأكد من وجود نظام أمن معلومات يؤدي المهام بكفاءة ويتابع مستويات الحماية الخاصة بالمنظمة من خلال : 1. إدارة الأعطال الأمنية. 2. حماية أصول المنظمة. 3. السماح بتبادل آمن للمعلومات. 4. الحفاظ على سلامة المعلومات السرية 5. تقديم الخدمات بشكل ثابت ومستقر. 6. تزويد المؤسسة بخاصية تنافسية.

كيف يمكنني التأكد من نجاح استراتيجية الأمن السيبراني التي وضعتها للمنظمة؟

تتسم استراتيجية الأمن السيبراني الناجحة بمجموعة من الخصائص حيث أنها: قابلة للاستخدام في المنظمة ولا تعيق أداء العمل، يمكن لها أن تتطور مع الوقت ويمكن التعديل عليها، توفر الإطار اللازم للتراجع عن الأخطاء البشرية أو عزلها عند الحاجة، متعددة التخصصات ويمكن تطبيقها بمختلف أقسام المنظمة، وتخطط للتعامل مع الحوادث التي قد تواجه المنظمة.

ومن الله التوفيق…

قد يعجبك ايضا
بحوث و دراسات

تخطيط ستراتيجيات الامن السيبراني

بحوث و دراسات

التصنيع الرشيق في الذكاء الاصطناعي

بحوث و دراسات

التسول قصة أكبر من دواعي الفقر والعوز

بحوث و دراسات

بيئة المدن والذوق العام