تعرّف على الضوابط القانونية الخاصة بالتكنولوجيا في البلدان التي تعمل فيها مؤسستك. في بعض السياقات، قد يكون ما يلي محظور أو غير قانوني أو يخضع لرقابة صارمة:

استخدام معدات مثل أجهزة الراديو والهواتف الفضائية

استخدام التشفير

استخدام مواقع الكترونية محددة ومواقع التواصل الاجتماعي

يجب أن تدرك أنه في المناطق التي تحتاج إلى دعم إنساني للسكان المدنيين، الحكومات المضيفة و / أو المانحة قد:

تكون حذرة من المنظمات الإنسانية ومن الموظفين

تقوم بمراقبة الأنشطة والتقارير والاتصالات لدى المنظمات سواء تم ذلك بشكل علني أو سري

تطلب الوصول إلى بيانات حساسة ومعلومات سرية حول الموظفين والمجتمعات والبرامج التي يمكن أن يكون لها آثار خطيرة على المنظمة وبرامجها، وكذلك على السكان المتضررين في المنطقة

اعلم أن بعض الحكومات قد:

يكون لديها سيطرة واسعة على شبكات الاتصالات

تعلن عن قطع الإنترنت خلال أوقات الاضطرابات المدنية

حدّد ما إذا كانت هذه الظروف تنطبق على بيئة العمل الخاصة بك وقم بتطوير خطط مناسبة للحفاظ على قنوات الاتصال الخاصة بمؤسستك.

م باتّخاذ إجراءات لمنع الجرائم الإلكترونية ضد مؤسستك من خلال:

معرفة بيئة الجرائم الإلكترونية العالمية

تقييم المخاطر السيبرانية المحلية

التخفيف من مخاطر الهجمات على أجهزة الكمبيوتر والأجهزة المحمولة التي يمكن شنها عن بُعد و / أو أثناء السفر

فهم الضوابط القانونية الدولية والإقليمية المتعلقة بالتكنولوجيا:

تحقق مما إذا كان تقييم تأثير حماية البيانات (DPIA) مطلوب للبيانات التي تديرها.

راجع قواعد حماية البيانات للمنظمات التي تتخذ من أوروبا مقراً لها مثل لائحة حماية البيانات العامة للاتحاد الأوروبي (GDPR) حول كيفية جمع البيانات عن الأفراد واستخدامها وتخزينها.

إجراءات دخول وخروج الموظفين للأنظمة والأجهزة الداخلية، بما في ذلك:

• حذف البيانات الشخصية
  
  

• آليات حماية كلمة المرور
  
  

• برامج مكافحة الفيروسات والجدران النارية
  
  

• بروتوكولات النسخ الاحتياطي للبيانات
  
  
  

• قواعد تحديث البرامج
  
  

مثال: تعدّ إضافة المصادقة ذات العاملين إلى جميع الأنظمة والأجهزة التنظيمية إجراءً أمنيًا فعالاً لمنع الوصول الغير المصرح به.

وضع سياسة سرية ونظام تصنيف لأمن المعلومات. يجب أن يتضمن ذلك إرشادات للمواد السرية أو المقيدة أو الداخلية أو العامة، ولوائح مشاركة المعلومات المتوافقة مع القانون.

وثائق أمن المعلومات غالبا ما تشير إلى مبادئ AIC الثلاثة:

• التوفر (ضمان الوصول إلى المعلومات)
  
  

• النزاهة (التأكيد على أن المعلومات موثوقة)
  
  

• السرية (التحكم في الوصول إلى المعلومات)

تعتبر سياسات الوصول إلى الشبكة والسفر مهمة بشكل خاص للمناطق التي يوجد فيها خطر المراقبة و / أو سرقة البيانات من قبل الحكومة / المسؤولين الذين قد يشتبهون في أنشطة مؤسستك. يجب أن تشمل السياسات ما يلي:

• إرشادات لاستخدام الشبكات الخاصة الافتراضية (VPN) والشبكات العامة أو غير الآمنة
  
  

• توجيهات ولوائح خاصة بحماية الجهاز (مثال: إجراء نسخ احتياطية منتظمة للملفات المهمة لمنع سرقتها أو طلب فدية بسببها.)
  
  

• إرشادات السفر (مثال: قد يبدو مسح المعلومات من الأجهزة قبل السفر كإجراء أمني جيد، ومع ذلك، فإن هذا المستوى من الاحتياط يمكن أن يثير الشكوك. عند السفر، احتفظ فقط بالمعلومات الضرورية وغير السرية وتجنب إبقاء الأجهزة "نظيفة" للغاية.)

وضع سياسات الأمن الرقمي للاتصالات بما في ذلك:

• تعليمات التشفير
  
  

• بروتوكولات الاتصالات الصوتية
  
  

• إرشادات حول استخدام التطبيقات للاتصالات المتعلقة بالعمل
  
  

• إجراءات الاحتفاظ بالسجلات
  
  

• نصائح للموظفين بشأن رسائل البريد الإلكتروني المشبوهة
  
  

أمثلة:

• لا تفتح المرفقات في الرسائل المشبوهة مطلقًا
  
  

• تجنّب أنواع الملفات الغامضة (exe, .ink, .jar, .dmg, .wsf, .scr.)
  
  

• احذر من الأسماء والعناوين التي بها أخطاء إملائية (قد يعرض العنوان الاحتيالي بهذه الطريقة ”a.person@your-ngo.net“ بدلاً من ”a.person@your-ngo.org“)

ضع سياسات لوسائل التواصل الاجتماعي بحيث تشمل:

• إرشادات حول نشر المعلومات الحساسة (التي تتماشى مع مدونة قواعد السلوك في مؤسستك)
  
  

• أنظمة للإبلاغ عن الإساءات والهجمات ضد الموظفين أو المنظمة

مع تطور المخاطر القائمة على التكنولوجيا، قم بإبلاغ وتدريب الموظفين باستمرار على تدابير الأمن الرقمي وتحديثهم بانتظام بشأن التهديدات الجديدة والناشئة. تأكد من تكييف التدريب مع الثقافة الرقمية وكفاءة موظفيك. تأكد من أن جميع الموظفين على دراية بالمخاطر المختلفة الموجودة وكيف يمكن أن تؤثر هذه المخاطر عليهم وعلى زملائهم وعلى المنظمة. يجب أن يعلموا كيفية التخفيف من المخاطر المحتملة، والتي قد تشمل:

• تهديدات قائمة على التكنولوجيا (البرامج الضارة التي يمكنها تسجيل الصوت أو تنشيط كاميرات الويب أو التقاط الشاشة أو تغيير الملفات)
  
  

• مخاطر استخدام وسائل التواصل الاجتماعي وتطبيقات التواصل (WhatsApp)
  
  

• مخاطر مرتبطة بزيارة المواقع الغير آمنة (يتوجب على الموظفين استخدام مواقع الويب الآمنة فقط والتي تحتوي على عنوان صفحة انترنت ’HTTPS‘)
  
  

• مخاطر مرتبطة باستخدام البرامج المقرصنة أو المنسوخة

يجب على الموظفين:

• إكمال عملية تعريف الموظف بالكامل قبل اكتساب إمكانية الوصول إلى الخادم.
  
  

• القيام بتسجيل الدخول فقط من خلال خادم المكتب أو الشبكة الخاصة الافتراضية لدى المؤسسة (VPN).
  
  

• استخدام كلمات المرور التي تحتوي على مجموعة من الأحرف الكبيرة والصغيرة والأرقام والأحرف الخاصة، وتجنب استخدام الكلمات التي يمكن العثور عليها في القاموس. مثال عن كلمة مرور جيدة: M*d0gH@zF!ea5 (كلبي لديه براغيث)
  
  

• استخدم أداة إدارة كلمات المرور المفضلة للمؤسسة (إن وجدت).

يجب على الموظفين ألّا:

• يقوموا بتسجيل كلمات المرور أو مشاركتها.
  
  

• يقوموا باستخدام نفس كلمة المرور لحسابات متعددة، سواء كانت شخصية أو متعلقة بالعمل.
  
  

• يقوموا بالسماح لمواقع إلكترونية / المتصفحات بتخزين كلمات المرور.

يجب على المنظمات:

• اعتبار جميع البيانات الموجودة على أجهزة الموظفين ومحركات الخادم سرية، بما في ذلك بيانات المستفيدين.
  
  

• القيام بتعيين موظف يوافق على إصدار أي بيانات خارج المنظمة، بما في ذلك الجهات المانحة ووسائل الإعلام.
  
  

• التأكد من أن عمليات جمع البيانات وأمن المعلومات تتوافق مع سياسة السرية الخاصة بالمنظمة.
  
  

• التشجيع على استخدام التشفير للاتصالات شديدة السرية.
  
  

• تحديد تطبيقًا مفضلاً لاستخدامه في مراسلة الجوال في العمل.

يجب على الموظفين:

• طلب الموافقة من نقطة الاتصال المعينة لتثبيت البرامج والتطبيقات على الأجهزة التي توفرها المؤسسة.
  
  

• القيام بتثبيت تحديثات البرامج فور إعلامك بذلك.
  
  

• استخدام شاشات الخصوصية على أجهزة العمل التي يتم قفلها تلقائيًا بعد ثلاث دقائق أو أقل من عدم الاستخدام.
  
  

• الإبلاغ عن جميع رسائل البريد الإلكتروني المشبوهة إلى الشخص المعني داخل المنظمة.

يجب على الموظفين ألّا:

• يقوموا بتحميل المرفقات ما لم يتم تأكيد المرسل.

يجب على الموظفين:

• التأكد من أن لديهم أنظمة اتصالات فعالة عند السفر خارج المناطق الحضرية الرئيسية.
  
  

• حفظ أرقام الطوارئ.
  
  

• نسخ احتياطي لكافة الملفات الشخصية وملفات العمل قبل السفر إلى مناطق عالية الخطورة.
  
  

• حفظ المعلومات الضرورية وغير السرية على أجهزتهم (وتجنب إبقاء الأجهزة "نظيفة" للغاية) عند السفر إلى مناطق عالية الخطورة.

يجب على الموظفين ألّا:

• يقوموا بتشغيل أي أجهزة أثناء قيادة السيارة.

يجب على الموظفين:

• طلب الموافقة من جهة الاتصال المخصصة لنشر أي قصص وصور من رحلات العمل.
  
  

• اتباع مدونة القواعد السلوكية عند استخدام وسائل التواصل الاجتماعي لكل من الأغراض الخاصة والعمل في جميع الأوقات.
  
  

• الإبلاغ عن أي إساءة و / أو تنمر عبر الإنترنت و / أو قصص سلبية تتعلق بالمنظمة أو برامجها.

يجب على الموظفين ألّا:

• يقوموا بنشر أي معلومات تتعلق بعملهم أو خطط سفرهم على وسائل التواصل الاجتماعي (بما في ذلك الحسابات الخاصة).