قائمة تدقيق جاهزية الأمن السيبراني

تدرك العديد من الشركات الصغيرة أهمية الأمن السيبراني، لكنها ليست متأكدة مما يعنيه مصطلح “جيد بما يكفي الآن”. توفر لك قائمة التحقق هذه نقطة بداية عملية. تركز على الأساسيات التي تقلل المخاطر الشائعة اليومية، مثل حماية الحسابات، وتحديثات البرامج، والنسخ الاحتياطية، وعادات الموظفين.

لا تحتاج إلى أن تكون تقنيًا لاستخدامها. إذا استطعت الإجابة بنعم أو لا أو غير متأكد لكل عنصر، فهذا يكفي. عبارة “غير متأكد” مفيدة أيضًا. غالبًا تعني أن الإجراء غير رسمي أو غير موثق أو يعتمد على شخص واحد.

هذه معلومات تعليمية عامة وليست تقييمًا أمنيًا. تختلف المتطلبات حسب المجال والصناعات والولاية. إذا كنت تتعامل مع بيانات صحية أو مدفوعات أو بيانات قانونية أو بيانات حساسة أخرى، فقد تكون لديك قواعد إضافية يجب الالتزام بها.

راجع كل عنصر وحدد إجابة واحدة: نعم أو لا أو غير متأكد. كن صريحًا. الهدف ليس الحصول على درجة مثالية. الهدف هو فهم وضعك الحالي.

إذا كنت مالكًا أو مدير مكتب، فقد ترغب في الإجابة بناءً على مدخلات من يتولى التعامل مع أجهزة الكمبيوتر أو البرامج أو مقدمي الخدمات/المورّدين. لا ترسل إلينا كلمات مرور أو تفاصيل الشبكة أو وصولًا إلى الأنظمة. نجمع فقط تفاصيل الأعمال الأساسية وبيانات التواصل إذا طلبت منا مساعدتك في العثور على مزوّد.

قاعدة جيدة بسيطة. إذا كانت خطوة الأمان تحدث فقط “عندما يتذكر شخص ما”، فاعتبرها لا. إذا كانت تحدث بانتظام، ومكتوبة، ويعرفها أكثر من شخص، فاعتبرها نعم.

قيّم كل عنصر على أنه نعم أو لا أو غير متأكد.

1. تم تفعيل المصادقة متعددة العوامل (MFA) لكل من البريد الإلكتروني، والمحاسبة، والخدمات المصرفية، وتخزين الملفات، وغيرها من الأنظمة المهمة. تعني المصادقة متعددة العوامل، أو MFA، أن المستخدمين يحتاجون إلى خطوة ثانية لتسجيل الدخول، مثل رمز تطبيق أو مفتاح أمان، وليس كلمة مرور فقط.

2. لكل موظف حسابه الخاص. يُتجنب استخدام تسجيلات الدخول المشتركة، خصوصًا للبريد الإلكتروني والأدوات المالية وأدوات الإدارة.

3. تتم إزالة الموظفين السابقين والمورّدين القدامى بسرعة من الحسابات والبرامج وشبكات Wi‑Fi والأجهزة.

4. تكون كلمات المرور قوية وفريدة، وتستخدم فرق العمل مدير كلمات المرور بدلًا من إعادة استخدام كلمات المرور في جدول بيانات أو دفتر.

5. يتم تحديث أجهزة الكمبيوتر والهواتف وأجهزة التوجيه (Routers) وتطبيقات العمل بانتظام. تعني عملية “الترقيع” (Patching) تثبيت تحديثات الأمان وإصلاح الأخطاء بحيث تقل احتمالية استغلال نقاط الضعف المعروفة.

6. يتم تثبيت برنامج مكافحة الفيروسات أو حماية حديثة للأجهزة وتكون فعّالة على أجهزة الكمبيوتر الخاصة بالعمل. تعني كلمة Endpoint جهازًا مثل حاسوب محمول أو سطح مكتب أو هاتف أو جهاز لوحي يتصل بأنظمة شركتك. يعد EDR، أي اكتشاف نقاط النهاية والاستجابة لها (endpoint detection and response)، أداة أكثر تقدّمًا قد يستخدمها بعض المزوّدين لرصد والتحقيق في الأنشطة المشبوهة على تلك الأجهزة.

7. يتم نسخ البيانات المهمة احتياطيًا تلقائيًا، وليس مجرد نسخ يدوي متباعد من حين لآخر.

8. يتم اختبار النسخ الاحتياطي من وقت لآخر عبر استعادة ملف أو نظام، حتى تعرف أن النسخ الاحتياطية قابلة للاستخدام.

9. تتبع إستراتيجية النسخ الاحتياطي لديك بشكل تقريبي قاعدة النسخ الاحتياطي 3-2-1. يعني ذلك الاحتفاظ بـ 3 نسخ من البيانات المهمة على نوعين مختلفين من التخزين، مع الاحتفاظ بـ 1 نسخة خارج الموقع أو على السحابة.

10. يعرف الموظفون كيفية التعرّف على رسائل البريد الإلكتروني المشبوهة والفواتير المزيفة وطلبات تسجيل الدخول غير المتوقعة، ويحصلون على تدريب أمني بسيط مرة واحدة أو مرتين على الأقل سنويًا.

11. توجد طريقة واضحة للموظفين للإبلاغ بسرعة عن أي شيء مشبوه دون الشعور بالخجل.

12. تكون شبكة Wi‑Fi الخاصة بالأعمال مؤمّنة، وتستخدم كلمة مرور قوية، وتكون شبكة ضيوف Wi‑Fi منفصلة عن أجهزة العمل قدر الإمكان.

13. يتم تقييد صلاحيات الوصول كمسؤول (Admin access) على عدد قليل من الأشخاص الذين يحتاجون إليها فعليًا. لا ينبغي أن يتمكن الجميع من تثبيت البرامج أو تغيير إعدادات الأمان أو الوصول إلى جميع الملفات.

14. تعرف ما هي الأجهزة وما هي البرامج الأساسية/الحاسمة التي تعتمد عليها شركتك. لا يلزم أن تكون القائمة معقدة، لكن يجب أن تكون قائمة حديثة.

15. يتم التعامل مع العمل عن بُعد وفق قواعد أساسية، مثل قفل الشاشة والأجهزة المعتمدة والوصول الآمن إلى الملفات والتطبيقات.

16. إذا كنت تجمع مدفوعات بالبطاقات أو معلومات صحية أو بيانات منظّمة أخرى، فأنت تعرف ما هي القواعد التي قد تنطبق عليك. يشير PCI إلى متطلبات أمن بطاقات الدفع. HIPAA هو قانون قابلية نقل التأمين الصحي والمساءلة (Health Insurance Portability and Accountability Act) وينطبق على بعض المعلومات الصحية في الولايات المتحدة. SOC 2 هو معيار إعداد تقارير تستخدمه بعض الشركات/مزوّدي البرمجيات لإظهار كيفية تعاملهم مع ضوابط الأمان.

17. تعرف من تتصل به إذا حدث خطأ، مثل تسجيل دخول مشبوه أو جهاز كمبيوتر محمول مفقود أو حدث فدية/ابتزاز إلكتروني (ransomware). حتى قائمة تواصل بسيطة أفضل من محاولة ترتيب الأمور أثناء يوم مرهق.

18. تكون بيانات مزوّدي البرامج الأساسيين ومقدمي خدمات تقنية المعلومات موثقة، مع معلومات دعم حديثة ومواعيد تجديد.

19. إذا ساعدت شركة خارجية في تقنية المعلومات، فأنت تفهم ما هي مسؤولياتها وما ليست مسؤوليتها. يشير SLA، أي اتفاقية مستوى الخدمة (service level agreement)، إلى جزء من العقد يشرح أهداف الاستجابة ونطاق الخدمة. يشير RMM، أي المراقبة والإدارة عن بُعد (remote monitoring and management)، إلى برنامج يستخدمه كثير من مقدمي الخدمات المُدارين لمراقبة صحة الأجهزة وتطبيق التحديثات ودعم الأنظمة عن بُعد.

20. تتم مراجعة قرارات الأمان من حين لآخر على الأقل، وليس فقط بعد وقوع مشكلة. يقدم بعض مقدمي الخدمات المُدارين أيضًا دعم vCIO. يعني vCIO مدير معلومات تنفيذي افتراضي (virtual Chief Information Officer)، وهو دور تخطيطي يساعد الشركة على التفكير في أولويات التكنولوجيا والميزانيات والمخاطر.

إذا أجبت بنعم على معظم العناصر، فهذا مؤشر جيد. عادةً يعني ذلك أن لديك أساسًا يعمل. هذا لا يعني أن شركتك “آمنة بالكامل”. لن يعد أي مزوّد صادق بشبكة غير قابلة للاختراق أو بانعدام التوقف. ما يعنيه ذلك هو أن لديك الأساسيات في مكانها على الأرجح ويمكنك التحسين من هنا.

إذا أجبت لا أو غير متأكد على عدة عناصر، فلا داعي للذعر. هذا أمر شائع، خصوصًا في الشركات الصغيرة التي نمت فيها التكنولوجيا بشكل غير رسمي مع الوقت. ابدأ بالأساسيات التي عادةً تهم أكثر أولًا: MFA، والترقيع، والنسخ الاحتياطية، وإزالة الوصول القديم، وحماية الأجهزة، والتدريب الأساسي للموظفين.

إذا كانت معظم الإجابات لا أو غير متأكد، فإن الخطوة التالية ليست شراء كل الأدوات مرة واحدة. الخطوة هي وضع خطة واضحة ومُرتبة حسب الأولوية. يمكن لمزوّد تقنية معلومات مُدار مستقل جيد أن يساعدك في فرز الإصلاحات العاجلة مقابل التحسينات طويلة الأمد.

حوّل نتائجك إلى قائمة إجراءات قصيرة بثلاث مجموعات: إصلاح الآن، إصلاح قريبًا، ومراجعة لاحقًا. “إصلاح الآن” عادةً يشمل MFA، وتحديثات البرامج، وفحوصات النسخ الاحتياطي، وإزالة الحسابات القديمة، والتأكد من أن أجهزة العمل لديها حماية حديثة.

لكل عنصر عليه لا أو غير متأكد، اسأل سؤالًا مباشرًا. من المسؤول عن ذلك؟ ما مدى تكرار القيام به؟ هل هو موثق؟ كيف نعرف أنه كان فعّالًا؟ تكشف هذه الأسئلة الأربعة ما إذا كانت العملية حقيقية أم أنها مجرد افتراض.

إذا كنت تريد مساعدة لفهم خياراتك، يمكن لـ NodeBridge IT أن يربطك بـ مزوّد مستقل لخدمات تقنية المعلومات المُدارة. نحن خدمة مطابقة مجانية. لا ندير الأنظمة ولا نراقب شبكتك ولا نصل إلى حساباتك. يمكنك أيضًا قراءة المزيد من الدلائل بلغة واضحة ومقارنة خدمات تقنية المعلومات المُدارة الشائعة.