إستراتيجية الإمتياز لتعزيز الأمن الإلكتروني
نبذة عن الإستعداد للأمن لإلكتروني:
- خصّص موارد بشرية مُحددة لأمن البيانات وسرّيتها.
- أجري تقييما أو تدقيقا للمخاطر. أي قم بتعيين بيانات نظام الإمتياز من خلال طرح الأسئلة التالية: ما هي المعلومات المُخزنة؟ من لديه حق الوصول؟ هل هو ضروري؟ إذا كان كذلك، فهل يتم تشفيره بشكل صحيح؟ إذا لم يكن ضروريًا، فهل نستمر في التخزين؟ يجب على الشركات التخلص من البيانات غير الضرورية إذا كان قرارًا تجاريًا معقولًا.
- قم بإشراك الخبراء لتحديد القوانين والمُتطلبات التعاقدية التي تنطبق على نظام الإمتياز والبيانات المكتشفة من خلال عملية رسم الخرائط.
- أطلب من المتخصصين يراجعون سياسات أمن البيانات والخصوصية لنظام الإمتياز، أو قم بإنشائها إذا لزم الأمر أو تعديلها للإمتثال للقوانين المعمول بها. ضمان إتساق السياسات الداخلية والسياسات المشتركة مع الجمهور.
- حدد سياسات التأمين الإلكتروني المناسبة لمانح الإمتياز واطلب من الممنوحين الحصول على التأمين المناسب. يلعب هنا المستشارون ومديرو المخاطر ذوي الخبرة في منح الإمتياز والأمن الإلكتروني والتأمين دورًا رئيسيًا.
- قم في الوقت نفسه بمراجعة وتحديث العقود التجارية مع أطراف ثالثة (مثل مزودي نقاط البيع وموفري حزم البرامج المفصلة لشبكة إمتياز معيّنة) وذلك لضمان حماية متّسقة ومناسبة في ضوء أنواع البيانات المعنيّة.
- مراجعة إتفاقية الإمتياز ودليل العمليات ودليل مانح الإمتياز ودليل التدريب ودليل مُيسر الشبكة ودليل تكنولوجيا المعلومات ودليل الأمان وأي نظام توثيق آخر للحماية والسياسات المناسبة.
- إعتماد خطة إستجابة لحوادث الأمن الإلكتروني.
في الختام
أصبحت إستراتيجية المرونة الإلكترونية، مع التحوّل الرقمي والتقارب المُفرط اللذان يخلقان بوابات غير مقصودة للمخاطر ونقاط الضعف والهجمات والإخفاقات، ضروريّة للشركة. فتُساعد إستراتيجية المرونة الإلكترونية الشركة على تقليل المخاطر والتأثير المالي والأضرار التي تلحق بالسمعة.
غالبًا ما تقوم البرامج الضارة بتعديل التكوينات قبل إتلاف البيانات نفسها. لذلك من الضروري إكتشاف أي تغييرات في التكوين قبل إصابة البيانات الفعلية. تحمي ميزة الإنتعاش من الحوادث الإلكترونية (Cyber Incident Recovery) وميزات تكوين النظام الأساسي الأخرى، بيانات التكوين لأعباء العمل والتطبيقات وأنظمة التخزين وأجهزة الشبكة الإفتراضية للتخزين وأجهزة الشبكة في البيئات المحلية، في السحابة العامة والهجينة والمُتعددة الأوساط السحابية.
تُعد حماية شبكة الإمتياز عملية مُستمرة تتطلب تخطيطًا دقيقًا. ولكن مع وجود الأشخاص المناسبين والتكنولوجيا والسياسات في مكانها الصحيح، سيكون لدى كل مانح إمتياز فرصة أفضل للعثور على نقاط الضعف وإصلاحها وإكتشاف التهديدات وإحباطها وتجنّب الكوارث.
يجب على الشركة إنشاء نماذج خطة تدخّل مع مراعاة ما يلي على وجه الخصوص:
1. نموذج خطة الاستجابة للحوادث
- مسؤوليات فريق الإستجابة للحوادث
- اختبار وتحديث نماذج التدخل
- لمحة عامة عن عملية الإستجابة للحوادث
- قوائم التحقق من الإستجابة للحوادث: إكتشاف الحوادث وتأكيدها
- الإحتواء والإستمرارية والاستئصال والإنتعاش والدروس المُستفادة.
2. خطة الإ ستجابة للحوادث
- فريق الإستجابة للحوادث
- إخطارات الإستجابة للحوادث
- مسؤوليات الموظفين
- أنواع الحوادث
- تعريف الخرق الأمني
- إجراء لتصنيف الحوادث المُحتملة
- إجراء الإستجابة
- الإنتعاش
- الإختبارات الدورية والمعالجة.
3. نموذج الإستجابة للحوادث
- الأدوار والمسؤوليات ومعلومات الإتصال
- تصنيف التهديدات
- الإمتثال والإلتزامات القانونية
- مراحل الإستجابة للحوادث والإجراءات المُتّخذة.
4. خطة الإستجابة للحوادث الأمنية
- كيفيّة التعرف على حادث أمني
- الأدوار والمسؤوليات
- جهات الإتصال الخارجية
- بطاقات الدفع – ما يجب القيام به في حالة الإختراق
- خطوات الإستجابة للحادث: الإبلاغ والتحقيق، الحفاظ على الإستمرارية، الحل والإنتعاش، الفحص
- أنواع مُحددة من الإستجابة للحوادث: البرمجيات الخبيثة، العبث بمحطات الدفع، نقاط وصول لاسلكية خادعة، فقدان المُعدات، عدم الإمتثال لسياسات الأمن.
- الإختبارات الدورية وتحديثات خطة العائد الإستثمار.
5. خطة الإستجابة لحوادث إدارة التكنولوجيا
يشير إجراء الإستجابة للحوادث إلى خطط أكثر تفصيلاً لأنواع حوادث معيّنة مثل البرامج الضارة وتعطّل النظام ومحاولات التسلّل النشطة.
6. نموذج الإستجابة للحوادث
- الهدف
- نطاق التطبيق
- تعاريف وأمثلة للحوادث
- الأدوار والمسؤوليات
- خطوات وإجراءات الإستجابة للحوادث.
أخيرًا، تمّ إنشاء برنامج تدريبي للتوعية بالأمن الإلكتروني وخطوات عملية لغرس ثقافة الأمن في جميع أنحاء الشركة، بما في ذلك كيفية
- تطوير إستراتيجية توعية أمنية أولية
- الإعتماد على المناصرين لإنشاء برنامج توعية فعال
- وضع ميزانية مُحددة تغطي برامج الأمن الإلكتروني
- تقديم تدريب للتوعية بالأمن الإلكتروني لكبار المسؤولين التنفيذيين
- تعزيز وتقوية برنامج التوعية الأمنية
- معرفة مكان وجود المنظمات الأخرى بالمعلومات والمعايير
- التعرّف على أفضل الممارسات والمكونات الأساسية لبرنامج فعال
- تحديد أدوار ومسؤوليات فريقك
- تطوير خطة إستجابة أكثر نضجًا للحوادث من خلال خطوات ملموسة
- التواصل مع موارد الصناعة الرائدة في إدارة الحوادث.
إذن هذه بعض الأشياء التي يحتاجه مديرو شبكات الإمتياز إلى مُعالجتها بهدف نقل مؤسساتهم نحو عقلية السلامة.