أساسيات أمن تكنولوجيا المعلومات و ازاي تحمي بياناتك

السادة متابعي موقع كونكت لتكنولوجيا المعلومات والانترنت النهاردة هنحاول نقدم ليكم شرح مبسط يساعد كل اللي شغال في مجال ال IT وخاصة اللي شغالين كسيستم ادمن علي وضع سياسات واضحة وخطوات موثقة لقسم تكنولوجيا المعلومات فيما يخص جزء السيكيورتي .

في مقولة شهيره في امن تكنولوجيا المعلومات –Information technology security  وهي ” لا احد يضمن أمان الشبكة ” الهدف من المقولة دي انها توضح ان حماية الشبكه بتاعتك و حماية البيزنس اللي انت شغال فيه و حماية بيانات العملاء مش بس بيعتمد علي الفايروال –Firewall  و الانتي فيرس –Anti Virus و التشفير –encryption وتأمين المباني ولكن كمان بيعتمد علي مدي علم الموظفين بالتكنولوجيا وطريقة تعاملهم مع اي محاولة اختراق او خداع عن طريق المرفقات او الروابط المفخخه اوي طريقة تانية من وسائل الاحتيال .

دي مجموعة من الخطوات اللي يجب إتباعها كحد أدني لتوفير أمن معلوماتي داخل الشبكة بتاعتك

الخطوة الأولي : ال C I A

مثلث ال CIA  هو نقظة انطلاق كويسة لبداية تأمين الداتا بتاعتك داخل الشبكة واللي بيتكون من 3 عناصر

• السرية – Confidentiality

وهي ضمان لوصول البيانات للاشخاص او الموظفين المسموح ليهم بس بالاطلاع عليها والتاكد من عدم وصول الداتا دي لاي شخص تاني حتي ولو علي سبيل الخطأ.

• Integrity

وهي الحفاظ علي دقة واتساق البيانات الخاصه بيك وعدم قدرة أي شخص علي العبث بيها .

• التوفر –Availability

وهي ضمان توفرالبيانات بشكل دائم في اي وقت وتوفير ال High availability

الخطوة الثانية : صلاحيات الدخول –Access Control

• اتبع دايما القواعد دي في صلاحيات الدخول للانظمة والبيانات و أدي الصلاحيات لكل مستخدم علي قد المطلوب وبس.

• باقي الصلاحيات اللي مش هيحتاجها المستخدم ممنوعة –Access denied

• متستخدمش حساب واحد لاكتر من مستخدم حتي لو ليهم نفس الصلاحيات خلي لكل مستخدم حسابة الخاص عشان لو حصل مشكله تقدر تحدد مصدرها.

• حدد سياسات وإجرات واضحة للتعامل مع تسجيل الدخول للمستخدمين.

• حدد الجهة او الشخص المسئول اللي يوافق علي إعطاء اي مستخدم صلاحيات أعلي من الصلاحيات المطلوبة وتكون بموافقة كتابية مع تحديد الغرض والمدة.

• خلي دايما في مرجعية مكتوبة وتوثيق لعملية إعطاء الصلاحيات للمستخدمين وأخذ موافقات من المسئول المباشر.

الخطوة الثالثة : حدد سياسة لإستخدام موارد الشبكة –Use Agreement

حدد سياسة واضحة بالاستخدامات المقبولة والغير مقبولة من المستخدمين داخل الشبكة وخد توقيعهم عليها وأديهم شرح مبسط عن المسموح والغير مسموح بيه داخل المؤسسة عشان لما يحصل اي مشكلة يكون في مسأله للموظفين عن إستخدامهم.

الخطوة الرابعة : مراجعة ومتابعة حسابات المستخدمين

من المهم جدا يكون فيه مسار تدقيق لجميع التغييرات في  النظام والأمان
كمثال :-
لما  ينضم مستخدم إلى شركتك ، أو يغادر شركتك ، أو يتغير دوره الوظيفي أو القسم اللي بيشتغل فيه  أو يطلع إجازة مؤقتة ، لازم  يكون في  إجراء موثق لمتابعة تفاصيل و كيفية تنفيذ تعطيل الوصول لحساباتة الخاصة بالشغل ويكون هناك قائمة مراجعة وأرشفتها لأغراض المراجعة فيما بعد.

الخطوة الخامسة : النسخ الإحتياطية – Backup

• اتأكد من عمل نسخة احتياطية من جميع البيانات الهامة في موقع آمن خارج الموقع–Offsite backup  والأهم من ده إنك تتأكد من اختبار النسخ الاحتياطية وانها شغالة بشكل سليم . وضع خطة للطوارئ لاستعادة البيانات بعد الكوارث – disaster recovery/backup واختبارها سنويًا.

• قم بتطبيق ال on-site redundancy واللي بتضمن استمرار الخدمة في حالة حدوث خلل في مزود الخدمة الرئيسي :-
  –  زي  خط اتصال إنترنت إضافي في حال انقطاع الخط الرئيسي ، RAID ، أنظمة UPS  عشان تضمن عمل السيرفرات والأجهزة في حال انقطاع الكهرباء ، fail-over server clusters

الخطوة السادسة : إدارة تغييرات النظام – System Change Management

• إدارة التغييرات اللي بتحصل في الشبكة أمر بالغ الأهمية لتسهيل عملية استكشاف الأخطاء وإصلاحها- Troubleshooting. عادة لو كان النظام مستقر وبيعمل بشكل سليم وبعدين حصلت مشكلة  فدة أكيد ان حاجه اتغيرت.

• من المفيد الحصول على سجل وريكورد-Records and logs لجميع تغييرات داخل الشبكة والانظمة الموجودة في المؤسسة.
• لازم تتاكد من أن جميع تغييرات النظام قد تم تخطيطها وتوثيقها عشان تقدر  تحدد  بوضوح ايه اللي  اتغير ، ومين اللي  قام بتغييره ، وليه قاموا بتغييره وامتى تم تغييره.
• لازم يكون عندك  نظام لتسجيل التغيرات اللي بتحصل في السيستم والنظام داخل الشركة  ومهم جدا يكون عندك Ticketing system  .

من أشهرأنظمة التكتينج سيستم :

• سبايس وركس – Spiceworks وده مجاني
• Atlassian jira ticketing system
• Microsoft System Center Service Manager

الخطوة السابعة : كن علي دراية بالقوانين

لازم يكون عندك دراية بالقوانين التنظيميةالمحليةوفهم قواني نحماية البيانات.
كمثال :عنداستخدام جهات خارجية لتخزين المعلومات السرية (علي سبيل المثال،النسخ الاحتياطي السحابي-Cloud Backup) ،تعرف على البلد اللي هيتم تخزين البيانات فيه ومين هيكون ليه حق الوصول إلى بياناتك.

الخطوة الثامنة : المراقبة –Monitoring

من المهم جدا ان يكون عندك- IDS intrusion detection system  واللي بيساعدك في اكتشاف اي تهديد علي الشبكة ولكن ايه فايدته لو مفيش حد بيتابعه !! لو عندك intrusion prevent system – IPS من المهم جدا انك تتابع السجلات بتاعته وتشوف اي هي التهديدات اللي منعها عنك وايه مصادرها.

الخطوة التاسعة : البوليسي – Policies

تأكد من أن عندك سياسة واضحة لأمن المعلومات –Information Security ،وتأكد من مراجعتها بانتظام والأهم من ذلك أن تتواصل مع موظفي الشركة و أوصي بالاحتفاظ بالأدلة على أن الموظفين قرأوا وفهموا سياسات الشركة فيما يخص أمن المعلومات أو سياسات قسم ال IT  عامة على أساس سنوي.

الخطوة العاشرة : Test and Production

من المهم جدا ان يكون عندك بيئة او نظام منفصل لإختبار التعديلات والتغييرات اللي هتعملها علي الشبكة بعيد عن الشبكة الفعلية اللي بيستخدمها باقي الموظفين داخل الشركة عشان لو حصل اي مشكله محدش يتأثر بيها وبعد ما تتأكد ان كل الأمور ماشية بشكل مظبوط والتعديلات مفيش فيها أي مشاكل تقدر بعد كده تطبق التغييرات دي علي جزء صغير من الموظفين في بيئة العمل الفعلية عشان تقدر تقيمها قبل تطبيقها علي جميع الموظفين.

الخطوة الحادية عشر : التدريب –Training

لازم تتأكد ان الموظفين عندهم الحد الأدني من فهم المخاطر والتهديدات اللي ممكن يتعرضوا ليها خلال تعاملهم مع الانترنت داخل الشركة فيفضل ان يكون في زي برزنتيشن صغير او تدريب للموظفين الجدد من خلال قسم ال IT  يكون فيه شرح سريع وإرشادات لأنواع المخاطر وأشهر عمليات وطرق الاستيلاء علي البيانات او الحسابات البنكية وتوجيهم لتفاديها ممكن الموضوع ده يكون مرهق عليك في الاول بس هيريحك كتير جدا قدام .

الخطوة الثانية عشر : أعرف نقاط الضعف والثغرات اللي جوه النتورك بتاعتك – Vulnerability and Penetration Testing

مش لازم تستني لحد ما يحصل عليك هجوم او تتعرض لمحاولة إختراق وتستني حدوث الكارثة وبعدين تدور علي سبب المشكلة .

ممكن يكون إختبار الاختراق مكلف ولكن التكلفة هتبقي أكتر بكتير لو حصل أختراق للبيانات ساعتها مقارنة بالخساير هتعرف ان الموضوع يستحق في سبيل حماية أمن المعلومات داخل شركتك .

من أفضل الحلول لإختبار الإختراق وإكتشاف الثغرات الموجوده في النتورك بتاعتك هو nessus vulnerability scanner

بيحددلك الثغرات الأمنية الموجودة في الإعدادت –Configurations والبورتات المفتوحة –open ports والمفات المتشيره لاي حد بدون صلاحيات  ولم يتم غلقها –open shares for everyone  والتحديثات الأمنية –Security patches .

الخطوة الثالثة عشر : إعرف خصمك -Know your attacker

إعرف خصمك مقولة مشهورة جدا والهدف منها انك تعرف ازاي خصمك او الهاكر اللي بيهاجمك بيفكر إزاي او ايه اخر الطرق والوسائل والثغرات اللي بيستخدمها فعشان كدة لازم تكون متابع وعارف اخر التطورات في مجال أمن المعلومات وأحدث الطرق المستخدمة متنساش كمان تاخد بالك الخطر مش بس من بره الشركة ممكن يكون من جوه الشركة برضو من موظف عندك سواء بقصد او بدون قصد يقدر بصلاحياتة يسبب ضرر كبير جدا ليك ولبياناتك .

الخطوة الرابعة عشر : ضوابط ونصايح عامة – Controls and Maintenance TIPS

يجب علي المؤسسات سواء كانت مؤسسة كبيرة أو صغيره إستخدام الضوابط والصلاحيات دي :

•  لازم يكون عندك جدار حماية او فايروال –firewall منفصل و فعال ولازم تجدد إشتراكة بشكل منتظم وتعمل الإعدادت بتاعته بشكل سليم عشان يوفرلك الحماية المطلوبة للشبكة بتاعتك .

• استخدم الويب فيلتر –Web Filter  عشان يحميك من اي محاولة احتيال ويمنع دخول الموظفين علي اي مواقع مجهولة الهوية او غير موثوق فيها

• استخدام نظام التحقق الثنائي – Two factor authentication

ايه هو نظام التحقق بخطوتين؟  هي طريقة مهمة جدا ابتدت معظم الشركات اللي بتقدم خدمات اونلاين تتبعها ودي لحمايتك حتي لو حد عرف الباسورد بتاعك واسم المستخدم وحاول يسجل الدخول بيطلب منه خطوة تانية للتحقق من هويتة عن طريق رقم سري بيتبعت في ( رسالة نصية علي رقمة – او رسالة علي الايميل – او اشعار علي جهاز الموبايل بالموافقة علي تسجيل الدخول )

• استخدم التشفير في تشفير بياناتك برقم سري عشان لو حد قدر يوصل للشبكة بتاعتك ميقدرش بسهولة يوصل للمفات الهامة ومن أشهر وسائل التشفير هو البيت لوكر –Bit locker  واللي بيجي مدمج مع الويندوز ولو بستخدم نظام تشغيل أبل تقدر تستخدم FileVault

• أعمل تحديثات للويندوز والبرامج الموجودة بشكل دوري معظم الشركات بتعمل التحدثيات دي عشان تعالج بيها مشكلة او تقفل ثغره موجودة تم اكتشافها.

• حط سياسة لتحديث الباسوردات لاجهزة الكمبيوتر والايميلات بشكل منتظم .

• اي موظف يترك الشركة او ينتقل لقسم تاني او ادارة تانية لازم يكون عندك معرفة بيه وتقفل كل الصلاحيات والاكسس بتاعة علي البيانات اللي مبقاش ليه حق الوصول ليها.