أدوات إدارة المخاطر الأمنية: الأمن الرقمي
1.الأمن الرقمي
أدوات إدارة المخاطر الأمنية: الأمن الرقمي
ستتعلم كيفية دمج الأمن الرقمي في عمليات إدارة مخاطر الأمان في مؤسستك في هذا الدليل ف . يوفر هذا المورد التعليمي إرشادات حول تقييم مخاطر وتطوير استراتيجيات وسياسات الأمن الرقمي، ودمج الأمن الرقمي في خطة أمان مؤسستك وإجراءات التشغيل القياسية.
صمم المنتدى العالمي للأمن المشترك بين الوكالات (GISF) هذا الدليل بالتعاون مع مؤسسة Cornerstone OnDemand Foundation لضباط الأمن والمديرين والموظفين الميدانيين العاملين في حالات الكوارث الطبيعية وحالات الطوارئ والأزمات.
تم تصميم أدلة مستعد للانطلاق مع ملف PDF قابل للتنزيل خصيصًا للأجهزة المحمولة (الهواتف الذكية والأجهزة اللوحية) لدعم المتعلمين أثناء التنقل.
تم إنشاء هذا المورد بالاشتراك مع منتدى الأمن الأوروبي المشترك بين الوكالات (EISF). في أبريل 2020، أصبحت EISF منظمة عالمية (GISF). للوصول إلى منشوراتهم ومعرفة المزيد عن GISF،
إدارة مخاطر الأمن الرقمي
تساعدنا التكنولوجيا على إجراء الأنشطة المهمة وتربطنا بالزملاء والآخرين في جميع أنحاء العالم. تعتمد منظمات الإغاثة والتنمية بشكل متزايد على التكنولوجيا والأجهزة الالكترونية لتنفيذ البرامج والعمليات، خاصة من المواقع البعيدة.
بالرغم من أنّ الابتكار والتكنولوجيا يساعدونا على العمل بشكل أكثر فعالية، من المهم أخذ بصمتنا الرقمية بعين الاعتبار ومراعاة كيف يمكن أن يؤدي استخدام التقنيات المختلفة الى تعريض الموظفين والمؤسسات والمجتمعات للخطر.
تتكوّن إدارة مخاطر الأمن الرقمي من التدابير والاستراتيجيات والعمليات المستخدمة للتخفيف من المخاطر وتأمين هويات وبيانات وأصول وأجهزة الأفراد والمؤسسات.
تحليل السياق
عندما تبدأ المؤسسات مشروعًا جديدًا أو تبدأ بالعمل في منطقة جديدة، على تحليل السياق أن يشمل أيضا الثغرات في الأمن الرقمي. فكّر في هذه العناصر عند إجراء تحليل السياق.
السياق القانوني على مستوى الدولة
تعرّف على الضوابط القانونية الخاصة بالتكنولوجيا في البلدان التي تعمل فيها مؤسستك. في بعض السياقات، قد يكون ما يلي محظور أو غير قانوني أو يخضع لرقابة صارمة:
استخدام معدات مثل أجهزة الراديو والهواتف الفضائية
استخدام التشفير
استخدام مواقع الكترونية محددة ومواقع التواصل الاجتماعي
الرصد الحكومي
يجب أن تدرك أنه في المناطق التي تحتاج إلى دعم إنساني للسكان المدنيين، الحكومات المضيفة و / أو المانحة قد:
تكون حذرة من المنظمات الإنسانية ومن الموظفين
تقوم بمراقبة الأنشطة والتقارير والاتصالات لدى المنظمات سواء تم ذلك بشكل علني أو سري
تطلب الوصول إلى بيانات حساسة ومعلومات سرية حول الموظفين والمجتمعات والبرامج التي يمكن أن يكون لها آثار خطيرة على المنظمة وبرامجها، وكذلك على السكان المتضررين في المنطقة
إغلاق الشبكة
اعلم أن بعض الحكومات قد:
يكون لديها سيطرة واسعة على شبكات الاتصالات
تعلن عن قطع الإنترنت خلال أوقات الاضطرابات المدنية
حدّد ما إذا كانت هذه الظروف تنطبق على بيئة العمل الخاصة بك وقم بتطوير خطط مناسبة للحفاظ على قنوات الاتصال الخاصة بمؤسستك.
سياق الجرائم المعلوماتيّة
م باتّخاذ إجراءات لمنع الجرائم الإلكترونية ضد مؤسستك من خلال:
معرفة بيئة الجرائم الإلكترونية العالمية
تقييم المخاطر السيبرانية المحلية
التخفيف من مخاطر الهجمات على أجهزة الكمبيوتر والأجهزة المحمولة التي يمكن شنها عن بُعد و / أو أثناء السفر
السياق القانوني على المستوى الدولي / الإقليمي
فهم الضوابط القانونية الدولية والإقليمية المتعلقة بالتكنولوجيا:
تحقق مما إذا كان تقييم تأثير حماية البيانات (DPIA) مطلوب للبيانات التي تديرها.
راجع قواعد حماية البيانات للمنظمات التي تتخذ من أوروبا مقراً لها مثل لائحة حماية البيانات العامة للاتحاد الأوروبي (GDPR) حول كيفية جمع البيانات عن الأفراد واستخدامها وتخزينها.
2.تقييم المخاطر الرقمية
تحديد المخاطر الرقمية
كل موظف لديه دور حاسم في إدارة مخاطر الأمن الرقمي.
تحديد المخاطر الرقمية التي قد تواجهها مؤسستك وموظفيها وبرامجها مهمة معقدة وصعبة، لا سيما بالنظر إلى أن التهديدات الإلكترونية تتطور باستمرار. العديد من الحوادث الرقمية ليست ناتجة عن عيوب تقنية ولكنها ناتجة عن "سوء السلوك الرقمي" للموظفين.
لتحسين الأمن الرقمي لمؤسستك، يجب إجراء تقييمات شاملة لمخاطر الأمن الرقمي وتطوير إجراءات تشغيل قياسية (SOPs) وسياسات لتوجيه الموظفين حول كيفية استخدام التكنولوجيا بأمان
تقييم احتياجات التكنولوجيا
تجذب الأنواع المختلفة من البرامج والمشاريع أنواعًا مختلفة من المخاطر. قد تكون برامج الاستجابة للطوارئ أكثر عرضة لمخاطر الابتزاز أو الاحتيال أو للتهديدات التي تستهدف الحماية. وقد يتم استهداف حملات المناصرة وحقوق الإنسان من قبل مجموعات مختلفة تسعى إلى إلحاق الضرر بالمنظمة أو الى جمع معلومات شخصية عن المجتمعات والموظفين. وقد تكون مشاريع التنمية عرضة للفساد وتحويل الموارد.
قد تستخدم مؤسستك مجموعة من التقنيات لإجراء عمليات لأغراض مختلفة، بما في ذلك الاتصالات وجمع البيانات والتنفيذ والمراقبة. كجزء من تقييم مخاطر الأمن الرقمي، من المهم أن تقوم مؤسستك بتحديد التقنيات المختلفة التي تستخدمها والنظر في كيفية استخدام مختلف الجهات المعنية لها (الموظفون والمجتمعات والجهات المانحة والحكومات المستضيفة) لكي تتمكن من تقييم التهديدات الرقمية المحتملة بشكل دقيق ولتطوير استراتيجيات التخفيف من المخاطر.
تقنيات
تقنيات تسمح للموظفين بالتواصل وتبادل البيانات
تقنيات للمساعدة في تطوير البرامج وتقديمها ومراقبتها
تقنيات للتعامل مع الجهات المعنية والمجتمعات والجهات المانحة
تقنيات لضمان سلامة وأمن الموظفين والأصول وسلامة المعلومات
استخدام المعدات والأجهزة
المعدات
أجهزة الكمبيوتر المحمولة / أجهزة الكمبيوتر المكتبية / الأجهزة اللوحية
أجهزة التخزين الخارجية
أنظمة تحديد المواقع / الملاحة
بطاريات / باور بانك
أنظمة تتبع المركبات
الماسحات / الطابعات
أجهزة لاسلكية
أجهزة اتصالات
المعدات
الهواتف الذكية / الهواتف المحمولة
الهواتف الأرضية
هاتف ساتلايت
أجهزة راديو / مكررات راديو
البرامج والتطبيقات
المعدات
مشاركة الملفات المستندة إلى السحابة
خوادم البيانات المشتركة
تطبيقات المراسلة (Telegram, WhatsApp)
برنامج مكالمات الفيديو والمؤتمرات (Skype, Zoom)
البرید الالكتروني
وسائل التواصل الاجتماعي
تحديد التهديدات الرقمية
هناك مجموعة واسعة من التهديدات الرقمية التي يمكنها أن تؤثر على مؤسستك وموظفيها. تتحمل مؤسستك مسؤولية إبلاغ الموظفين بالمخاطر المرتبطة باستخدام تطبيقات وتقنيات معينة. تحتاج مؤسستك إلى مراعاة الملفات الشخصية المتنوعة للموظفين أثناء تحديد التهديدات الرقمية المحتملة لحماية جميع الموظفين بشكل مناسب.
التهديدات الرقمية للمنظمات
قرصنة الملفات
الإضرار بالسُمعة / التشهير
مراقبة الاتصالات أو التجسس
الأضرار التي تسببها فيروسات الحاسوب
سرقة الأجهزة
الاحتيال / السرقة المالية
التضليل / الأخبار الكاذبة
سرقة البيانات الخاصة بالموظفين أو المستفيدين
التهديدات الرقمية للموظفين
الاحتيال والابتزاز
تتبع الحركة والاستهداف
الإجهاد الناجم عن التكنولوجيا
الاحتيال / السرقة المالية
التضليل / الأخبار الكاذبة
سرقة البيانات الشخصية
انتحال الشخصية
أشكال الهجمات عبر الإنترنت
الهجمات الغير مباشرة
غالبًا ما تتخذ الهجمات الغير مباشرة شكل عمليات احتيال أو محاولات تصيد والتي قد لا تكون موجهة بشكل مباشر إلى منظمة أو موظفيها.
أمثلة:
التصيد = رسائل بريد إلكترونية احتيالية متخفية على أنها مرسلة من قبل كيان جدير بالثقة يطلب من المستلمين تنفيذ إجراءات معينة، مثل نقر الروابط أو فتح المرفقات
الهجمات المباشرة
تستهدف الهجمات المباشرة الفرد أو نظام المؤسسة لغرض معين.
أمثلة:
القوة الغاشمة = تحاول برامج الكمبيوتر اقتحام جهاز كمبيوتر مستهدف من خلال تخمين مجموعة من كلمات المرور الممكنة
برامج تسجيل المفاتيح = برامج الفيروسات التي تحدد كلمات المرور
القرب = المراقبة المباشرة
هجمات ضد وسائل التواصل الاجتماعي = استهداف حسابات الأفراد أو المنظمات
3.استراتيجيات الأمن الرقمي
بمجرد الانتهاء من تقييم المخاطر الرقمية، يجب على مؤسستك تطوير ملف استراتيجية الأمن الرقمي الذي يخفف من المخاطر المحددة. عالج هذه الاعتبارات الأمنية الهامة عند تطوير استراتيجية مؤسستك.
استراتيجيات الأمن الرقمي
فكّر في كيفية تعامل مؤسستك مع التهديدات عبر الإنترنت التي قد تؤثر على سمعتها ومصداقيتها وقبولها بين السكان المتضررين. يتضمن ذلك إدراك كيف يمكن لوسائل التواصل الاجتماعي أن تخلق مساحة تنتشر فيها المفاهيم الخاطئة والشائعات بسرعة، مما يجعل المنظمات الغير حكومية أكثر عرضة لتهديدات السمعة.
تأكّد من أن الاستراتيجية تتناسب مع السياسة الأمنية العامة للمؤسسة.
حاول أن تفهم كيف يصبح الموظفين عرضة لمخاطر الأمن الرقمي بسبب الملفات الشخصية المتعددة لهم. على سبيل المثال، قد يتعرض الموظفون الوطنيون والشركاء لتداعيات أكبر وطويلة المدى من الحكومات والمجتمعات المحلية إذا تم انتهاك سرية معلوماتهم الشخصية.
فكّر في كيفية تأثير الأمن الرقمي بشكل متبادل على الموظفين والمنظمة والمجتمع. حلّل كيف يمكن لخرق أمني في منطقة ما أن يؤثر على مناطق أخرى.
قم بمواءمة استراتيجية الأمن الرقمي مع نهج المؤسسة تجاه واجب الرعاية وإدارة المخاطر الأمنية.
عناصر استراتيجية إدارة مخاطر الأمن الرقمي
أمن المجتمع
فكّر في أمان المجتمعات المختلفة التي تعمل معها:
كيف ستدير معلومات البرامج بحيث تمتثل لسياسات الحماية ومبادئ ”لا ضرر ولا ضرار“؟
كيف ستمتثل للوائح حماية البيانات مثل اللائحة العامة لحماية البيانات (GDPR)؟
هل تتطرق آليات التغذية الراجعة وأنظمة الاستجابة للشكاوى الحالية لديك الى إساءة استخدام الإنترنت ووسائل التواصل الاجتماعي؟
أمن الموظفين
فكّر في أمن الموظفين:
كيف ستحمي الموظفين المستهدفين بالهجمات الرقمية؟
هل الإجراءات الأمنية تحمي جميع الموظفين باستخدام ملفات تعريف مختلفة؟
كيف ستحمي بيانات الموظفين (كشوف المرتبات وسجلات الموارد البشرية، ومعلومات الاتصال، والبيانات المخزنة على أجهزة العمل)؟
كيف ستحافظ على الاتصالات، خاصة في حالات الطوارئ؟
الأمن التنظيمي
فكّر في أمان مؤسستك:
كيف ستنشئ نظام شبكة داخلية آمنة (الإنترانت، التحكم في الوصول، حماية البيانات)؟
ما هي المعلومات السرية أو الحساسة التي سيتم جمعها من قبل نظام الشبكة الداخلية؟
كيف ستراقب الاتهامات السلبية على الإنترنت التي تهدد قبول مؤسستك وسمعتها وكيف سترد عليها؟
تحديد سياسات إدارة مخاطر الأمن الرقمي
يجب أن توفر سياسات الأمن الرقمي إرشادات واضحة حول ما هو مسموح به وما هو غير مسموح به في البيئة الرقمية. فكّرفي هذه العناصر عند تطوير سياسات إدارة مخاطر الأمن الرقمي لمؤسستك.
الأنظمة والأجهزة الداخلية
إجراءات دخول وخروج الموظفين للأنظمة والأجهزة الداخلية، بما في ذلك:
حذف البيانات الشخصية
آليات حماية كلمة المرور
برامج مكافحة الفيروسات والجدران النارية
بروتوكولات النسخ الاحتياطي للبيانات
قواعد تحديث البرامج
مثال: تعدّ إضافة المصادقة ذات العاملين إلى جميع الأنظمة والأجهزة التنظيمية إجراءً أمنيًا فعالاً لمنع الوصول الغير المصرح به.
وضع سياسة سرية ونظام تصنيف لأمن المعلومات. يجب أن يتضمن ذلك إرشادات للمواد السرية أو المقيدة أو الداخلية أو العامة، ولوائح مشاركة المعلومات المتوافقة مع القانون.
وثائق أمن المعلومات غالبا ما تشير إلى مبادئ AIC الثلاثة:
التوفر (ضمان الوصول إلى المعلومات)
النزاهة (التأكيد على أن المعلومات موثوقة)
السرية (التحكم في الوصول إلى المعلومات)
تعتبر سياسات الوصول إلى الشبكة والسفر مهمة بشكل خاص للمناطق التي يوجد فيها خطر المراقبة و / أو سرقة البيانات من قبل الحكومة / المسؤولين الذين قد يشتبهون في أنشطة مؤسستك. يجب أن تشمل السياسات ما يلي:
إرشادات لاستخدام الشبكات الخاصة الافتراضية (VPN) والشبكات العامة أو غير الآمنة
توجيهات ولوائح خاصة بحماية الجهاز (مثال: إجراء نسخ احتياطية منتظمة للملفات المهمة لمنع سرقتها أو طلب فدية بسببها.)
إرشادات السفر (مثال: قد يبدو مسح المعلومات من الأجهزة قبل السفر كإجراء أمني جيد، ومع ذلك، فإن هذا المستوى من الاحتياط يمكن أن يثير الشكوك. عند السفر، احتفظ فقط بالمعلومات الضرورية وغير السرية وتجنب إبقاء الأجهزة "نظيفة" للغاية.)
الاتصالات
وضع سياسات الأمن الرقمي للاتصالات بما في ذلك:
تعليمات التشفير
بروتوكولات الاتصالات الصوتية
إرشادات حول استخدام التطبيقات للاتصالات المتعلقة بالعمل
إجراءات الاحتفاظ بالسجلات
نصائح للموظفين بشأن رسائل البريد الإلكتروني المشبوهة
أمثلة:
لا تفتح المرفقات في الرسائل المشبوهة مطلقًا
تجنّب أنواع الملفات الغامضة (exe, .ink, .jar, .dmg, .wsf, .scr.)
احذر من الأسماء والعناوين التي بها أخطاء إملائية (قد يعرض العنوان الاحتيالي بهذه الطريقة ”a.person@your-ngo.net“ بدلاً من ”a.person@your-ngo.org“)
مواقع التواصل الاجتماعي
ضع سياسات لوسائل التواصل الاجتماعي بحيث تشمل:
إرشادات حول نشر المعلومات الحساسة (التي تتماشى مع مدونة قواعد السلوك في مؤسستك)
أنظمة للإبلاغ عن الإساءات والهجمات ضد الموظفين أو المنظمة
تدريبات الأمن الرقمي
مع تطور المخاطر القائمة على التكنولوجيا، قم بإبلاغ وتدريب الموظفين باستمرار على تدابير الأمن الرقمي وتحديثهم بانتظام بشأن التهديدات الجديدة والناشئة. تأكد من تكييف التدريب مع الثقافة الرقمية وكفاءة موظفيك. تأكد من أن جميع الموظفين على دراية بالمخاطر المختلفة الموجودة وكيف يمكن أن تؤثر هذه المخاطر عليهم وعلى زملائهم وعلى المنظمة. يجب أن يعلموا كيفية التخفيف من المخاطر المحتملة، والتي قد تشمل:
تهديدات قائمة على التكنولوجيا (البرامج الضارة التي يمكنها تسجيل الصوت أو تنشيط كاميرات الويب أو التقاط الشاشة أو تغيير الملفات)
مخاطر استخدام وسائل التواصل الاجتماعي وتطبيقات التواصل (WhatsApp)
مخاطر مرتبطة بزيارة المواقع الغير آمنة (يتوجب على الموظفين استخدام مواقع الويب الآمنة فقط والتي تحتوي على عنوان صفحة انترنت ’HTTPS‘)
مخاطر مرتبطة باستخدام البرامج المقرصنة أو المنسوخة
4.مخطط الأمن الرقمي
دمج إدارة المخاطر الرقمية في خطط الأمن
تعدّ المراقبة المستمرة للسياق المحلي وبيئة الأمن الرقمي أمرًا بالغ الأهمية لنجاح برامج مؤسستك وسلامة موظّفيها. يمكن أن يساعدك الاعتماد على سياسات إدارة مخاطر الأمن الحالية في تطوير ملف خطة الأمن الرقمي التي تناسب السياق الحالي والاحتياجات التشغيلية لبرنامج أو مكتب معين. يجب أن تتضمن خطة الأمن الرقمي تحديات الأمن الرقمي وتقديم نصائح للموظفين بشأن إجراءات التخفيف من المخاطر.
دمج إجراءات الأمن الرقمي في
SOPs ال
يجب على المنظمات تضمين تدابير الأمن الرقمي في إجراءات التشغيل الدائمة (SOPs). من المهم تكييف إجراءات التشغيل الموحدة وفقًا لتحليل سياق مؤسستك وتقييم المخاطر وتوسيع البرمجة. فكّرفي كيفية دمج بعض تدابير الأمان الرقمية هذه في إجراءات التشغيل الدائمة لمؤسستك.
وصول الموظفين إلى الشبكة وكلمات المرور
يجب على الموظفين:
إكمال عملية تعريف الموظف بالكامل قبل اكتساب إمكانية الوصول إلى الخادم.
القيام بتسجيل الدخول فقط من خلال خادم المكتب أو الشبكة الخاصة الافتراضية لدى المؤسسة (VPN).
استخدام كلمات المرور التي تحتوي على مجموعة من الأحرف الكبيرة والصغيرة والأرقام والأحرف الخاصة، وتجنب استخدام الكلمات التي يمكن العثور عليها في القاموس. مثال عن كلمة مرور جيدة: M*d0gH@zF!ea5 (كلبي لديه براغيث)
استخدم أداة إدارة كلمات المرور المفضلة للمؤسسة (إن وجدت).
يجب على الموظفين ألّا:
يقوموا بتسجيل كلمات المرور أو مشاركتها.
يقوموا باستخدام نفس كلمة المرور لحسابات متعددة، سواء كانت شخصية أو متعلقة بالعمل.
يقوموا بالسماح لمواقع إلكترونية / المتصفحات بتخزين كلمات المرور.
أمن البيانات والمعلومات
يجب على المنظمات:
اعتبار جميع البيانات الموجودة على أجهزة الموظفين ومحركات الخادم سرية، بما في ذلك بيانات المستفيدين.
القيام بتعيين موظف يوافق على إصدار أي بيانات خارج المنظمة، بما في ذلك الجهات المانحة ووسائل الإعلام.
التأكد من أن عمليات جمع البيانات وأمن المعلومات تتوافق مع سياسة السرية الخاصة بالمنظمة.
التشجيع على استخدام التشفير للاتصالات شديدة السرية.
تحديد تطبيقًا مفضلاً لاستخدامه في مراسلة الجوال في العمل.
برامج الحاسوب
يجب على الموظفين:
طلب الموافقة من نقطة الاتصال المعينة لتثبيت البرامج والتطبيقات على الأجهزة التي توفرها المؤسسة.
القيام بتثبيت تحديثات البرامج فور إعلامك بذلك.
استخدام شاشات الخصوصية على أجهزة العمل التي يتم قفلها تلقائيًا بعد ثلاث دقائق أو أقل من عدم الاستخدام.
الإبلاغ عن جميع رسائل البريد الإلكتروني المشبوهة إلى الشخص المعني داخل المنظمة.
يجب على الموظفين ألّا:
يقوموا بتحميل المرفقات ما لم يتم تأكيد المرسل.
سفر الموظفين
يجب على الموظفين:
التأكد من أن لديهم أنظمة اتصالات فعالة عند السفر خارج المناطق الحضرية الرئيسية.
حفظ أرقام الطوارئ.
نسخ احتياطي لكافة الملفات الشخصية وملفات العمل قبل السفر إلى مناطق عالية الخطورة.
حفظ المعلومات الضرورية وغير السرية على أجهزتهم (وتجنب إبقاء الأجهزة "نظيفة" للغاية) عند السفر إلى مناطق عالية الخطورة.
يجب على الموظفين ألّا:
يقوموا بتشغيل أي أجهزة أثناء قيادة السيارة.
مواقع التواصل الاجتماعي
يجب على الموظفين:
طلب الموافقة من جهة الاتصال المخصصة لنشر أي قصص وصور من رحلات العمل.
اتباع مدونة القواعد السلوكية عند استخدام وسائل التواصل الاجتماعي لكل من الأغراض الخاصة والعمل في جميع الأوقات.
الإبلاغ عن أي إساءة و / أو تنمر عبر الإنترنت و / أو قصص سلبية تتعلق بالمنظمة أو برامجها.
يجب على الموظفين ألّا:
يقوموا بنشر أي معلومات تتعلق بعملهم أو خطط سفرهم على وسائل التواصل الاجتماعي (بما في ذلك الحسابات الخاصة).