سياسات وإجراءات الأمان الرّقمي

بعد تحديد التهديدات الرقمية المحتملة في أنشطتنا، يمكننا الشروع في وضع خطط الأمان الرقمي أو بروتوكولات الأمان ضمن إطار سياسات وخطط الأمان. هذه الخطط، سواء كانت رسمية وموثقة أو غير رسمية وقائمة على التفاهمات المشتركة، يجب أن نتعامل معها كوثائق دينامية قابلة للتحديث المستمر. كذلك ينبغي للتسمية المعتمدة لهذه الوثائق أن تُستمَد من ثقافة الفريق أو المنظمة والوثائق الإرشادية المتاحة، ومن الضروري اختيار أسماء تتوافق مع ثقافة المنظمة لتسهيل الفهم والتنفيذ الفعال لهذه السياسات والإجراءات.

يمكننا تنظيم خططنا واتفاقيات الأمان الرقمي بأي طريقة تناسب أسلوب عملنا، سواء بناءً على نوع الأنشطة، أو مناطق عملنا، أو المسؤولين، أو أيام الأسبوع، أو أي معيار آخر. بغض النّظر عن الطريقة، لا بدّ للخطط أن تشمل بعض العناصر الأساسية:

• سياسة الأمان الرقمي: توضح هذه السّياسة الأهداف والأشخاص المشمولين.
• إجراءات التشغيل القياسية: تشمل هذه الإجراءات كلمات المرور، وأمان السفر، والاتصالات، والمعلومات.
• أدلة أو إرشادات الأمان الرقمي: تشمل هذه المراجع أدلة أدوات إدارة كلمات المرور، والمصادقة الثنائية، وصيانة الأجهزة.

تختلف طريقة ترتيب وتنظيم وثائق الأمان الرقمي من مؤسسة لأخرى. تفضل بعض المؤسسات وجود سياسة أمان رئيسة واحدة تشمل جميع الوثائق الأخرى المتعلقة بالأمان الرقمي، تليها إجراءات التشغيل القياسية للأمان الرقمي أو أمان المعلومات. هذا التنظيم يعكس الثقافة التنظيمية الخاصة بكل مؤسسة، إلى جانب الممارسات والمصطلحات المستخدمة فيها. وفيما يلي تفصيل عن محتوى هذه الهيكلة الوثائقية إن جاز التعبير.

سياسة (ومدونة السلوك)

تُعرف السياسة بأنّها بيان يعبر عن النوايا ويُطبَّق كإجراء أو بروتوكول، وغالبًا ما تُعتمد السّياسات من هيئة الحوكمة داخل المؤسسة. تبين السياسة الأطراف المعنية، والأدوار والمسؤوليات بشكل عام، وتتضمن ملخصًا لإجراءات التشغيل القياسية المرتبطة بإدارة مخاطر الأمان الرقمي. تُحافظ هذه الوثائق على البساطة قدر الإمكان وتُراجع سنويًا أو حسب الحاجة، حيث تُعدّها الأمانة العامة أو مدير/مستشار/منسّق الأمان الرّقمي، بينما تتولّى الجمعية العامة أو مجلس الإدارة أو الإدارة العليا مهمّة القرارات المرتبطة بها.

إجراءات التشغيل المعياريّة

تُستخدم إجراءات التشغيل المعيارية كطرائق محددة ومرعيّة لأداء عمليات محددة أو في حالات خاصة. تحدد هذه الإجراءات الأشخاص المعنيين والأدوار والمسؤوليات بتفصيل جم. يجب توفر إجراءات تشغيل قياسية لجميع المجالات والعمليات التي تحتاج إلى تنظيم، بما في ذلك أمان المعلومات، والسفر، وتقييم المخاطر، وقدرات الشركاء، وأجهزة تقانة المعلومات، إلخ. من المهم أيضًا وجود إجراءات للحالات الرقمية الطارئة ومراجعتها بانتظام. يجب الحرص على عدم زيادة عدد الإجراءات لتجنب الإرهاق، وتُراجع سنويًا أو حسب الحاجة، على أن يُعهد بتحديثها لمدير/مستشار/منسق الأمان، بينما يُبت بالقرارات المتعلقة بها من طرف فريق الأمان أو الإدارة العليا.

الأدلّة أو الإرشادات المحدّدة حسب الموضوع أو السّياق

توفر الإرشادات والأدلّة المواضيعيّة أو السيّاقيّة تعليمات تفصيلية للتعامل مع مواقف أو أعمال معينة مثل تقانة المعلومات والاتصالات وإدارة الحوادث، وإعداد التّقارير. يمكن لأي شخص في المنظمة يرى الحاجة لإرشادات معينة صياغتها، ويتم الاتفاق عليها من الجهة المختصة. تشمل هذه الإرشادات قوالب وخطط طوارئ وتعليمات تكنولوجيا المعلومات. يُشدد على ضرورة وجود إرشادات واحدة فقط لكل مجال، ويتم تحديثها دوريًا. تُراجع هذه الإرشادات حسب الحاجة، يُعد هذه الإرشادات فريق الأمان أو المديرين، او الكادر العام، ويتولّى فريق/مستشار/مديري الأمان مهمّة التّقرير بشأن هذه الإرشادات على المستوى المركزي.

ملاحظات عامة بشأن السّياسات والإجراءات

من الضروري التأكد من التناسق الداخلي بين السياسة/مدونة السلوك وإجراءات التشغيل القياسية والإرشادات في المؤسسة. يجب ضمان أن تشتمل إجراءات التشغيل والإرشادات على إشارات متبادلة عند الضرورة، خاصةً في حال وجود تداخل أو ترابط بينهما، مثل العلاقة بين أمان المعلومات وأمان السفر وتقييم قدرات الشركاء والمخاطر. من المهم أيضًا تحديد التّاريخ والجهة المسؤولة عن تقرير بشأن كل وثيقة.

أدوات وموارد متاحة عبر الإنترنت لإعداد وثائق الأمان الرّقمي

بينما يمكننا إعداد وثائق الأمان الرّقمي الخاصة بنا بشكل مستقل وفقًا لإجراءات العمل الداخلية والوثائق الأمنية الموجودة لدينا، يمكننا أيضًا استخدام قوالب وأدوات وموارد متاحة عبر الإنترنت مثل:

• أداة الحفاظ على أمان المنظّمات من خلال صناعة السياسات المُؤتمتة، وهي أداة بسيطة تُمكّن منظّمات المجتمع المدني من بناء سياسات أمان أفضل وأمتن: https://usesoap.app/
• أكاديمية دويتشه فيله، فاحص التّهديدات، أداة مُتاحة عبر الإنترنت تُساعدنا على تحديد التّهديدات السيبرانيّة والخروج بتوصيات سياساتيّة لحماية مؤسّساتنا الإعلاميّة: https://akademie.dw.de/threatcheck/
• تقارير العملاء: أداة تخطيط الأمان للحفاظ على بياناتنا بأمان من خلال خطّة أمان مُحاكة خصيصًا لسياقنا: https://securityplanner.consumerreports.org
• الأمان أوّلًا: تطبيق الشّمسيّة، القوائم التّحقق والتدقيق: https://secfirst.org/umbrella/ 

الموارد

Holistic Security Manual: Creating security plans and agreements [دليل الأمان الشامل: إنشاء خطط واتفاقات الأمان]:

https://holistic-security.org/chapters/strategise/3-3-creating-security-plans-and-agreements.html

فريق مساعدو الأمان الرقمي باكساس ناو، Basic guide to help organizations create and implement a security policy [دليل أوّلي لمساعدة المؤسّسات على إعداد سياسات الأمان وتنفيذها،] https://communitydocs.accessnow.org/370-Organizational_Security_Policy.html 

المعهد الوطني الديمقراطي، Cybersecurity Handbook For Civil Society Organizations: A guide for civil society organizations looking to get started on a cybersecurity plan [دليل الأمان السيبراني للمنظمات المدنية: دليل موجه للمنظمات المدنية الراغبة في تطوير خطة للأمن السيبراني،] https://cso.cyberhandbook.org/introduction | https://cso.cyberhandbook.org/security-plan-starter-kit