توصيات لتطبيق فعال للضوابط الأساسية للأمن السيبراني
السبت - 13 أبريل 2019
Sat - 13 Apr 2019
لتوفير حماية فعالة من الهجمات الالكترونية المتزايدة تسن الدول قوانين وضوابط تضمن تطبيق جميع المؤسسات العامة والخاصة إجراءات ووسائل الحماية من هذه الهجمات. وفي المملكة العربية السعودية قامت الهيئة الوطنية للأمن السيبراني بجهود كبيرة وخطوات جبارة في هذا المجال، حيث أطلقت الهيئة حديثا الضوابط الأساسية للأمن السيبراني، والتي تهدف إلى توفير الحد الأدنى من المتطلبات الأساسية للحماية من الهجمات الالكترونية. ويجب على جميع الجهات الحكومية والخاصة الالتزام بتطبيق الضوابط مع تقديم ما يثبت ذلك للهيئة.
ونظرا لأهمية تطبيق الضوابط الأساسية للأمن السيبراني وأثرها الإيجابي على رفع مستوى الأمن والحماية للمؤسسات الحكومية والخاصة - مما ينعكس بشكل عام على حماية وطننا الغالي ومقدراته - أقدم مجموعة من التوصيات لتطبيق فعال للضوابط الأساسية للأمن السيبراني. تعتمد هذه التوصيات على منهجية تطبيق معيار الجودة الدولي لإنشاء وإدارة نظام الأمن السيبراني في المؤسسات (ISO 27001)، حيث تتكون المنهجية من أربع مراحل رئيسة تندرج تحت كل مرحلة مجموعة من الإجراءات المهمة:
أولا: مرحلة التخطيط والإعداد، وتعتبر من أهم المراحل لنجاح تطبيق الضوابط الأساسية للأمن السيبراني. وتنبع أهمية هذه المرحلة من احتوائها على مجموعة الإجراءات المهمة لنجاح مشروع تطبيق الضوابط. ومن هذه الإجراءات إنشاء لجنة للأمن السيبراني وإعطاؤها كامل الصلاحية لعمل الإجراءات اللازمة لتطبيق الضوابط الأساسية للأمن السيبراني.
تتكون اللجنة من مجموعة من أصحاب الاختصاص من جميع قطاعات المنظمة. ومن الإجراءات كذلك تحليل الضوابط الأساسية للأمن السيبراني لتحديد الجهات المسؤولة عن تطبيق الضوابط والإمكانيات التي تحتاجها المنظمة لتطبيق الضوابط، بالإضافة إلى تحديد المهام التي لا بد أن تنفذ لتطبيق الضوابط. ومن ضمن إجراءات مرحلة التخطيط أيضا تحليل الوضع الحالي للمنظمة أو ما يعرف بـ (Gap analysis) لتحديد هل المعايير الفرعية للضوابط الأساسية للأمن السيبراني مطبقة أو مطبقة جزئيا أو غير مطبقة أو لا تنطبق على المؤسسة، ومن ثم اتخاذ الإجراءات اللازمة.
ثانيا: مرحلة التطبيق والتنفيذ: في هذه المرحلة يبدأ العمل الفعلي من كل الجهات المسؤولة في المنظمة بتنفيذ المهام المكلفة بها بناء على نتائج تحليل الوضع الحالي. وفيما يلي قائمة ببعض المهام الرئيسية لتطبيق الضوابط الأساسية للأمن السيبراني: بناء استراتيجية للأمن السيبراني، إدارة وتقييم المخاطر (Risk Management)، وكتابة وتطبيق سياسات وإجراءات الأمن السيبراني والتوعية بها، إعداد خطة للاستجابة للحوادث واستمرارية الأعمال.
ثالثا: مرحلة المتابعة وتتضمن متابعة تطبيق الضوابط مع الجهات المسؤولة في كافة قطاعات المنظمة بالإضافة إلى إعداد التقارير اللازمة وإرسالها للهيئة الوطنية للأمن السيبراني.
رابعا: مرحلة التطوير والتحسين وتشمل هذه المرحلة مراجعة دورية لعملية التطبيق بغرض التحسين المستمر للضوابط المطبقة واستكمال الضوابط غير المطبقة أو التي طبقت جزئيا، حيث لا يتوقع أن تستطيع المؤسسات أن تطبق جميع الضوابط بفعالية وإتقان خلال الفترة الأولى لها، خاصة إذا لم توجد خبرة مسبقة للمؤسسات والعاملين بها في بناء نظام أمن سيبراني متكامل. ولكن مع مرور الوقت تكسب المؤسسة وعاملوها خبرة ودراية لتطبيق مثل هذه الضوابط.
ختاما، أرى أن تحقيق الأمن والحماية من الهجمات على المستوى الوطني هو عمل تكاملي ومسؤولية مشتركة تقع على عاتق الجميع أفرادا ومؤسسات، لذلك لا بد من أخذ هذه الضوابط على محمل الجد واتباع منهجية علمية لتطبيقها.
ونظرا لأهمية تطبيق الضوابط الأساسية للأمن السيبراني وأثرها الإيجابي على رفع مستوى الأمن والحماية للمؤسسات الحكومية والخاصة - مما ينعكس بشكل عام على حماية وطننا الغالي ومقدراته - أقدم مجموعة من التوصيات لتطبيق فعال للضوابط الأساسية للأمن السيبراني. تعتمد هذه التوصيات على منهجية تطبيق معيار الجودة الدولي لإنشاء وإدارة نظام الأمن السيبراني في المؤسسات (ISO 27001)، حيث تتكون المنهجية من أربع مراحل رئيسة تندرج تحت كل مرحلة مجموعة من الإجراءات المهمة:
أولا: مرحلة التخطيط والإعداد، وتعتبر من أهم المراحل لنجاح تطبيق الضوابط الأساسية للأمن السيبراني. وتنبع أهمية هذه المرحلة من احتوائها على مجموعة الإجراءات المهمة لنجاح مشروع تطبيق الضوابط. ومن هذه الإجراءات إنشاء لجنة للأمن السيبراني وإعطاؤها كامل الصلاحية لعمل الإجراءات اللازمة لتطبيق الضوابط الأساسية للأمن السيبراني.
تتكون اللجنة من مجموعة من أصحاب الاختصاص من جميع قطاعات المنظمة. ومن الإجراءات كذلك تحليل الضوابط الأساسية للأمن السيبراني لتحديد الجهات المسؤولة عن تطبيق الضوابط والإمكانيات التي تحتاجها المنظمة لتطبيق الضوابط، بالإضافة إلى تحديد المهام التي لا بد أن تنفذ لتطبيق الضوابط. ومن ضمن إجراءات مرحلة التخطيط أيضا تحليل الوضع الحالي للمنظمة أو ما يعرف بـ (Gap analysis) لتحديد هل المعايير الفرعية للضوابط الأساسية للأمن السيبراني مطبقة أو مطبقة جزئيا أو غير مطبقة أو لا تنطبق على المؤسسة، ومن ثم اتخاذ الإجراءات اللازمة.
ثانيا: مرحلة التطبيق والتنفيذ: في هذه المرحلة يبدأ العمل الفعلي من كل الجهات المسؤولة في المنظمة بتنفيذ المهام المكلفة بها بناء على نتائج تحليل الوضع الحالي. وفيما يلي قائمة ببعض المهام الرئيسية لتطبيق الضوابط الأساسية للأمن السيبراني: بناء استراتيجية للأمن السيبراني، إدارة وتقييم المخاطر (Risk Management)، وكتابة وتطبيق سياسات وإجراءات الأمن السيبراني والتوعية بها، إعداد خطة للاستجابة للحوادث واستمرارية الأعمال.
ثالثا: مرحلة المتابعة وتتضمن متابعة تطبيق الضوابط مع الجهات المسؤولة في كافة قطاعات المنظمة بالإضافة إلى إعداد التقارير اللازمة وإرسالها للهيئة الوطنية للأمن السيبراني.
رابعا: مرحلة التطوير والتحسين وتشمل هذه المرحلة مراجعة دورية لعملية التطبيق بغرض التحسين المستمر للضوابط المطبقة واستكمال الضوابط غير المطبقة أو التي طبقت جزئيا، حيث لا يتوقع أن تستطيع المؤسسات أن تطبق جميع الضوابط بفعالية وإتقان خلال الفترة الأولى لها، خاصة إذا لم توجد خبرة مسبقة للمؤسسات والعاملين بها في بناء نظام أمن سيبراني متكامل. ولكن مع مرور الوقت تكسب المؤسسة وعاملوها خبرة ودراية لتطبيق مثل هذه الضوابط.
ختاما، أرى أن تحقيق الأمن والحماية من الهجمات على المستوى الوطني هو عمل تكاملي ومسؤولية مشتركة تقع على عاتق الجميع أفرادا ومؤسسات، لذلك لا بد من أخذ هذه الضوابط على محمل الجد واتباع منهجية علمية لتطبيقها.
