إن استخدام وسائل وحسابات التواصل الاجتماعي في يومنا هذا لم يعد مقتصراً على الأفراد العاديين فقط بل أصبحت تلك الوسائل من المنصات الرئيسية التي يتم الاعتماد عليها من قبل الهيئات والمنظمات الرسمية داخل المملكة لبعض الأعمال كالتواصل مع المستفيدين .
هل لديك فكرة عن ضوابط الأمن السيبراني لحسابات التواصل الاجتماعي؟
إن وجود حسابات لجهات رسمية ضمن وسائل التواصل الاجتماعي وبقدر أهميته وفائدته على الأعمال بشكل عام إلا أنه يشكل خطراً كبيراً في حال تم سرقة تلك الحسابات بطريقة ما واستغلالها بشكل سيء أو حتى احتمالية انتحال شخصية تلك الجهات عبر وسائل التواصل الاجتماعي ، ومن هنا وبهدف تقليل تلك المخاطر والوقاية منها ولدت فكرة ادارة حسابات التواصل الاجتماعي الخاصة بالأعمال من خلال إعداد ضوابط الأمن السيبراني لحسابات التواصل الاجتماعي للجهات (OSMACC-1-2021) من قبل الهيئة الوطنية للأمن السيبراني في المملكة والتي توضح الحد الأدنى من متطلبات الأمن السيبراني لتمكين الجهات من استخدام شبكات التواصل الاجتماعي بشكل آمن.
ما أهمية ضوابط الأمن السيبراني لحسابات التواصل الاجتماعي؟
تتمثل أهمية تطبيق ضوابط الأمن السيبراني لحسابات التواصل الاجتماعي للجهات (OSMACC-1-2021) في :
- تساهم في رفع مستوى الأمن السيبراني على المستوى الوطني
- تساعد في تمكين الجهات من استخدام شبكات التواصل وادارة حسابات التواصل الاجتماعي بشكل أكثر أماناً
- تطبيق الضوابط يساعد في تهيئة الجهات لتكون على أتم الاستعداد لمواجهة أي هجوم سيبراني محتمل والذي قد يؤدي لنتائج كارثية على تلك الجهة
نطاق تطبيق ضوابط الأمن السيبراني لحسابات التواصل الاجتماعي
تطبـق هـذه الضوابـط حسب الهيئة الوطنية للأمن السيبراني عـلى الجهات التالية عند استخدام وسائل التواصل الاجتماعي :
- الجهـات الحكوميـة في المملكة العربية السـعودية وتشـمل الـوزارات والهيئات والمؤسسات وغيرها والجهات والشركات التابعة لها
- جهات القطاع الخاص التي تمتلك بنية وطنية حساسة أو تقوم بتشغيلها أو استضافتها
مكونات ضوابط الأمن السيبراني لحسابات التواصل الاجتماعي
تتكون ضوابط الأمن السيبراني لحسابات التواصل الاجتماعي للجهات من:
- 3 مكونات أساسية
- 12 مكوناً فرعياً
- 15ضابطاً أساسياً
- 38 ضابطاً فرعياً
- حوكمة الأمن السيبراني Cybersecurity Governance ويشمل المكونات الفرعية التالية والتي تعمل وفقاً لمتطلبات الأعمال التنظيمية للجهة والمتطلبات التشريعية والتنظيمية ذات العلاقة :
- سياسات وإجراءات الأمن السيبراني : لضمان وتوثيق واعتماد ونشر متطلبات الأمن السيبراني والتزام الجهة بها
- إدارة مخاطر الأمن السيبراني : لضمان إدارة مخاطر الأمن السيبراني وحماية الأصول المعلوماتية و التقنية للجهة على نحو ممنهج
- الأمن السيبراني المتعلق بالموارد البشرية: للتأكد من أن مخاطر ومتطلبات الأمن السيبراني المتعلقة بالعاملين في الجهة تعالج بفعالية قبل وأثناء وعند انتهاء عملهم
- برنامج التوعية والتدريب بالأمن السيبراني : للتأكد من أن العاملين بالجهة لديهم التوعية الأمنية اللازمة وعلى دراية بمسؤولياتهم في مجال الأمن السيبراني ، والتأكد من تزويد العاملين بالجهة بالمهارات والمؤهلات والدورات التدريبية المطلوبة في مجال الأمن السيبراني لحماية الأصول المعلوماتية .
- تعزيز الأمن السيبراني Cybersecurity Defense ويشمل المكونات الفرعية التالية :
- إدارة الأصول : للتأكد من أن الجهة تملك قائمة جرد دقيقة وحديثة للأصول من أجل دعم العمليات التشغيلية للجهة ومتطلبات الأمن السيبراني لتحقيق سرية الأصول المعلوماتية والتقنية للجهة وسلامتها ودقتها وتوافرها
- إدارة هويات الدخول والصلاحيات : لضمان حماية الأمن السيبراني للوصول المنطقي إلى الأصول المعلوماتية والتقنية للجهة من أجل منع الوصول غير المصرح به
- حماية الأنظمة وأجهزة معالجة المعلومات : لضمان حماية الأنظمة وأجهزة معالجة المعلومات بما في ذلك أجهزة المستخدمين والبنى التحتية للجهة من المخاطر السيبرانية
- أمن الأجهزة المحمولة : لضمان حماية أجهزة الجهة المحمولة من المخاطر السيبرانية ، وضمان التعامل بشكل آمن مع المعلومات الحساسة والمعلومات الخاصة بأعمال الجهة وحمايتها أثناء النقل والتخزين عند استخدام الأجهزة الشخصية للعاملين في الجهة
- حماية البيانات والمعلومات : لضمان حماية السرية وسلامة بيانات ومعلومات الجهة ودقتها وتوافرها
- إدارة سجلات الأحداث ومراقبة الأمن السيبراني : لضمان تجميع سجلات الأمن السيبراني وتحليلها ومراقبتها في الوقت المناسب من أجل الاكتشاف الاستباقي للهجمات السيبرانية وإدارة مخاطرها لمنع أو تقليل الأثار المترتبة على أعمال الجهة
- إدارة حوادث وتهديدات الأمن السيبراني : لضمان تحديد واكتشاف حوادث الأمن السيبراني في الوقت المناسب وإدارتها بشكل فعال والتعامل مع تهديدات الأمن السيبراني استباقياً
- الأمن السيبراني المتعلق بالأطراف الخارجية والحوسبة السحابية Third-party &Cloud Computing Cybersecurity ويشمل المكون الفرعي الآتي :
- الأمن السيبراني المتعلق بالأطراف الخارجية : لضمان حماية أصول الجهة من المخاطر السيبرانية المتعلقة بالأطراف الخارجية وفقاً لمتطلبات الأعمال التنظيمية للجهة والمتطلبات التشريعية والتنظيمية ذات العلاقة.