أساسيات الأمن السيبراني التي تحتاجها أي شركة صغيرة

بالنسبة لمعظم الشركات الصغيرة، فإن أساسٍ قوي للأمن السيبراني ليس معقداً. غالباً ما يبدأ بـ المصادقة متعددة العوامل (MFA)، أي خطوة تسجيل إضافية مثل رمز من تطبيق، ثم التحديثات الدورية (Patching)، أي تثبيت تحديثات الأمان، ونسخ احتياطية موثوقة، وتصفية البريد الإلكتروني، وتدريب بسيط للموظفين.

يجب أن يكون مزود خدمات تكنولوجيا معلومات مُدارة جيد—ويُسمى أيضاً MSP—قادراً على شرح هذه الأساسيات بلغة إنجليزية بسيطة. ينبغي أن يوضح لك ما الذي يتولاه، وما الذي يحتاج فريقك للقيام به، وما غير مشمول.

لا يوجد مزود صادق يَعِد بعدم توقف الخدمة تماماً أو بشبكة غير قابلة للاختراق. الهدف الحقيقي هو تقليل المخاطر الشائعة، اكتشاف المشكلات مبكراً، وجعل عملية الاستعادة أقل إيلاماً إذا حدث خطأ ما.

إذا كنت تدير مكتباً صغيراً أو عيادة أو متجرًا أو مستودعًا أو مجموعة مطاعم أو شركة مهنية، فإن معظم المخاطر اليومية تأتي من أمور اعتيادية. كلمة مرور مُعاد استخدامها. جهاز كمبيوتر قديم لم يحصل على تحديثات. رسالة بريد إلكتروني فاتورة مزيفة. موظف ينقر على الرابط غير الصحيح. نسخة احتياطية تبدو سليمة لكن لا يمكن استعادتها فعلياً.

لهذا السبب تكتسب الأساسيات أهمية كبيرة. فهي تغطي أكثر المشكلات شيوعاً دون أن تجعل تشغيل عملك أصعب. كما أنها تخلق روتيناً: يتم تحديث الأجهزة. يتم إعداد الموظفين الجدد بشكل صحيح. يفقد الموظفون المغادرون صلاحية الوصول بسرعة. يتم تصفية رسائل البريد المشبوهة أو تعليمها. يتم نسخ الملفات المهمة احتياطياً واختبار الاستعادة.

وهنا أيضاً تساعد الإجراءات الواضحة. من الذي يوافق على البرامج؟ من الذي يمكنه شراء كمبيوتر جديد؟ من لديه صلاحيات المسؤول (Admin)؟ كيف يتم التحقق من تغييرات بيانات الدفع/البنك؟ غالباً ما تمنع القواعد البسيطة الأخطاء المكلفة.

عند مقارنة المزودين، اسأل كيف يتعاملون مع الأمن لنوع أعمالك وحجمها. تختلف متطلبات الصناعة والولاية. قد تحتاج الرعاية الصحية والمدفوعات والأعمال القانونية والجهات الخاضعة لتنظيمات إلى ضوابط أكثر من مكتب عادي.

ابدأ بـ المصادقة متعددة العوامل (MFA) على البريد الإلكتروني وتخزين الملفات وأدوات الوصول عن بُعد وأي تطبيق أعمال مهم. يعد البريد الإلكتروني مهماً بشكل خاص لأن صندوق بريد واحد غالباً ما يتصل بالفواتير، وإعادة تعيين كلمات المرور، ورسائل العملاء، والموافقات الداخلية. إذا كان البريد الإلكتروني ضعيفاً، فسيكون العديد من الأنظمة الأخرى مكشوفاً.

بعد ذلك يأتي التحديث (Patching). أي إبقاء أجهزة الكمبيوتر والهواتف ومعدات الشبكة وبرامج الأعمال محدّثة عبر تطبيق إصلاحات الأمان. اسأل كم مرة تتم مراجعة التحديثات، وكيف تتم معالجة القضايا العاجلة، وما الذي يحدث للأجهزة التي لا توجد في المكتب إلا نادراً.

ثم اسأل عن حماية نقاط النهاية (Endpoint protection). نقطة النهاية هي أي جهاز مستخدم مثل لابتوب أو كمبيوتر مكتبي أو هاتف. يستخدم بعض المزودين كشف الاستجابة لنقاط النهاية، ويُسمى EDR، وهو أداة تساعد على اكتشاف النشاط المشبوه على الأجهزة والاستجابة له. لا تحتاج إلى معرفة اسم العلامة التجارية. لكن يجب أن تعرف ما الذي يراقبه المزود وما الذي يفعله عندما يبدو أن شيئاً ما غير صحيح.

النسخ الاحتياطية مهمة بقدر ذلك أيضاً. اسأل عما إذا كانوا يتبعون نهج النسخ الاحتياطية 3-2-1، أي الاحتفاظ بـ 3 نسخ من البيانات المهمة على نوعين مختلفين من التخزين، مع الاحتفاظ بنسخة واحدة خارج الموقع. أيضاً اسأل كم مرة يتم اختبار عمليات الاستعادة. النسخ الاحتياطية لا تفيد إلا إذا كان يمكن استعادتها فعلياً.

كما يجب أن تكون تصفية البريد الإلكتروني جزءاً من الحديث. إنها عملية الفرز التي تمنع أو تُعلّم الرسائل غير المرغوبة والبرامج الخبيثة وصفحات تسجيل الدخول المزيفة ومحاولات انتحال الهوية قبل أن تصل إلى الموظفين. لن تلتقط كل شيء، لذا ما زال وعي الموظفين مهماً.

وأخيراً، اسأل عن إعداد المستخدمين وإجراء إنهاء وصول الموظفين (offboarding)، وقواعد كلمات المرور، وصلاحيات الوصول الإدارية، وتدريب التوعية بالأمن. غالباً ما تعمل الدورات التدريبية القصيرة والعملية بشكل أفضل من المحاضرات الطويلة. يجب أن يعرف الموظفون كيفية اكتشاف رسائل البريد المزيفة، والتحقق من طلبات الأموال، والإبلاغ بسرعة عن أي شيء غير معتاد.

تكاليف الأمن السيبراني للشركات الصغيرة تختلف كثيراً. الرقم الحقيقي يعتمد على عدد الموظفين، وعدد الأجهزة، واحتياجات الأمان، والموقع، وما إذا كنت تحتاج إلى دعم خارج أوقات الدوام، ومساعدة الامتثال، أو أعمالاً/مشاريع محددة. هذه النطاقات ليست عروض أسعار.

بالنسبة للعديد من الشركات الصغيرة، فإن خدمات تكنولوجيا المعلومات المُدارة مع أساسيات الأمن غالباً ما تقع—في مكان ما—حوالي 100 إلى 250 دولاراً لكل مستخدم شهرياً. في بعض المناطق أو الإعدادات الخفيفة قد يكون أقل. أما في البيئات الخاضعة لتنظيمات صارمة أو التي تركز كثيراً على الأمن فقد يكون أعلى.

قد يتم تضمين بعض العناصر ضمن خطة شهرية واحدة. وقد تكون أخرى منفصلة. على سبيل المثال، قد يتم تضمين أو تسعير بشكل منفصل حماية البريد الإلكتروني المتقدمة، وEDR، وتخزين النسخ الاحتياطية، وتدريب التوعية بالأمن، أو كبير مسؤولي المعلومات الافتراضي، ويُسمى vCIO. الـ vCIO هو مستشار تقني أول (كبير) على أساس دوام جزئي يساعد في التخطيط والميزانية والأولويات.

قد ترى أيضاً رسوم إعداد أو تكاليف مشاريع لمرة واحدة إذا كانت أنظمتك قديمة أو غير منظمة أو تفتقد ضوابط أساسية. هذا أمر طبيعي. المهم هو ما إذا كان المزود يستطيع شرح العمل الشهري، والتنظيف لمرة واحدة، وحدود الخطة بلغة واضحة.

لا تحتاج إلى أن تصبح خبيراً تقنياً. لكن تحتاج إلى بعض الأسئلة المباشرة. اسأل عما هو مشمول، وما الذي يُعد إضافياً، ومدى سرعة استجابتهم، وكيف يوضحون تقارير العمل الأمني. اسأل عما إذا كانوا يستخدمون المراقبة والإدارة عن بُعد، ويُسمى RMM، وهي البرمجيات التي يستخدمها المزودون لمراقبة صحة الأجهزة وتنفيذ الصيانة الروتينية عن بُعد. ثم اسأل ماذا يمكنهم رؤيته عبر هذه الأداة وماذا لا يمكن.

اطلب اتفاقية مستوى الخدمة، ويُسمى SLA. هذه الوثيقة التي تشرح أهداف الاستجابة، وساعات التغطية، ونطاق الخدمة. وهي ليست وعداً بأنه لن يفشل أي شيء أبداً. إنها وصف مكتوب لما يحدث عندما تحتاج إلى مساعدة.

إذا كنت تتعامل مع معلومات صحية أو بطاقات دفع، أو تعمل مع شركات أكبر، فاسأل كيف يدعمون المتطلبات الشائعة. HIPAA تعني قانون نقل التأمين الصحي والمساءلة للبيانات الصحية. وPCI غالباً تعني معيار أمان بيانات صناعة بطاقات الدفع للشركات التي تتعامل مع مدفوعات البطاقات. وSOC 2 هو إطار شائع لتقارير الأمن يطلبه كثير من البائعين والشركاء الأكبر. تختلف المتطلبات حسب الصناعة والولاية، لذا تعتمد الإجابة الصحيحة على وضعك.

إذا كنت تريد مساعدة في مقارنة الخيارات، NodeBridge IT يمكنه مساعدتك على فهم الأساسيات والتواصل مع مزود تكنولوجيا معلومات مُدار مستقل. خدماتنا مجانية للشركات. نحن نجمع فقط تفاصيل الأعمال والتواصل، وليس كلمات المرور أو الوصول إلى الأنظمة.

أولاً، اصنع قائمة قصيرة بما لديك حالياً. احصِ عدد الأشخاص، وأجهزة الكمبيوتر، والمواقع، والبرامج الرئيسية، وأي احتياجات خاصة بالصناعة. دوّن أي نقاط ألم، مثل رسائل البريد المزيفة، أو العتاد القديم، أو ضعف الواي فاي، أو القلق بشأن النسخ الاحتياطية، أو عدم وجود شخص يتولى مسؤولية تقنية المعلومات.

ثانياً، قرر كيف يبدو “الحد الكافي” خلال الأشهر الـ 12 القادمة. معظم الشركات تريد مفاجآت أقل، ومساعدة أسرع، وبريد إلكتروني أكثر أماناً، ونسخاً احتياطية تعمل بالفعل، وخطة شهرية واضحة. هذا مكان معقول للبدء.

ثالثاً، احصل على تثقيف قبل أن توقع أي شيء. يمكنك مراجعة أسئلة إضافية بلغة بسيطة على صفحة answers page، أو get matched إذا كنت تريد مساعدة في العثور على مزود مستقل مناسب لحجمك والمنطقة التي تعمل فيها واحتياجاتك.

لا تحتاج إلى أمن مثالي في اليوم الأول. تحتاج إلى أساس عملي واضح للبدء، ومسؤولية واضحة، والمتابعة بشكل ثابت.