الثقافة

لمن هذا الكُتيب؟

خُصص هذا الكُتيب لوضع هدف بسيط في الاعتبار: مساعدة منظمة المجتمع المدني في وضع خطة أمن سيبراني مفهومة وقابلة للتنفيذ. ونظرًا لتزايد أعداد متصفحي الإنترنت، فإن الأمن السيبراني ليس مجرد كلمة طنانة ولكنه كلمة السر في نجاح منظمة وسلامة فريق. وعلى وجه الخصوص، بالنسبة لمنظمات المجتمع المدني في مجالات الديموقراطية والمناصرة والمسؤولية وحقوق الإنسان، يمثل أمان المعلومات )سواء التي عبر الإنترنت والتي دون اتصال( تحديًا يتطلب التركيز والاستثمار واليقظة.

ومن المحتمل أن تجد منظمتك نفسها – إذا لم تكن بالفعل – هدفًا لهجوم الأمن السيبراني. وليس المقصود من هذا أن يكون مقلقًا؛ فإنه واقع حتى بالنسبة للمنظمات التي لا تعتبر نفسها أهدافًا خاصة.

في دراسة عرضها Center for Strategic and International Studies حول متوسط أعداد ما يطلق عليه "الحوادث السيبرانية الخطيرة" خلال عام وفقًا لقائمة طويلة ومستمرة عن هذه الحوادث يحتفظ بها المركز؛ أفادت الدراسة بأن هناك مئات الهجمات السيرانية الخطيرة، والتي يستهدف العديد منها العشرات إن لم يكن المئات من المنظمات في وقت واحد. وبالإضافة إلى مثل هذه الهجمات المبلغ عنها، هناك على الأرجح المئات من الهجمات الأصغر حجمًا الأخرى كل عام التي لا يتم اكتشافها أو الإبلاغ عنها، وتستهدف العديد من منظمات المجتمع المدني التي تعمل على دعم الديموقراطية والمساءلة وحقوق الإنسان. وغالبًا ما يتم استهداف منظمات تمثل النساء أو المجموعات المهمشة الأخرى بشكل خاص.

ويكون لمثل هذه الهجمات الإلكترونية عواقب وخيمة. سواء كان هدفهم هو أخذ أموالك أو قمع صوتك أو تعطيل عملياتك التنظيمية أو تدمير سمعتك أو حتى سرقة المعلومات الأمر الذي قد يؤدي إلى ضرر نفسي أو مادي لشركائك أو موظفيك، فإنه يجب أن يتم أخذ هذه التهديدات على محمل الجد.

وإن الشيء الجيد هو إنك لست بحاجة إلى أن تصبح مبرمجًا أو خبيرًا تقنيًا للدفاع عن نفسك أو منظمتك ضد التهديدات الشائعة. وعلى الرغم من ذلك، يجب عليك أن تكون مستعدًا لاستثمار الجهد والطاقة والوقت في تطوير خطة أمان تنظيمية قوية وتنفيذها. 

وإذا لم تفكر مطلقًا في الأمن السيبراني في منظمتك، أو لم يكن لديك الوقت للتركيز عليه، أو تعرف بعض الأساسيات حول الموضوع ولكنك تعتقد أن منظمتك يمكن أن تعزز الأمن السيبراني، فإن هذا الكُتيب مناسب لك. وبغض النظر عن المكان الذي أتيت منه، يهدف هذا الكُتيب إلى تزويد منظمتك بالمعلومات الأساسية التي تحتاج إليها لوضع خطة أمان قوية. فإنها خطة تتجاوز مجرد الكلمات على الورق وتمكنك من وضع أفضل الممارسات موضع التنفيذ.


ما خطة الأمان ولماذا يجب على منظمتي أن تضع واحدة؟

إن خطة الأمان عبارة عن مجموعة من السياسات والإجراءات والتعليمات المكتوبة التي وافقت عليها منظمتك لتحقيق مستوى الأمان الذي تعتقد أنت وفريقك أنه مناسب للحفاظ على أمان الأشخاص والشركاء والمعلومات.

ويمكن لخطة أمان تنظيمية جيدة الإعداد ومُحدثة أن تحافظ على سلامتك وتجعلك أكثر فاعلية من خلال توفير راحة البال اللازمة للتركيز على العمل اليومي المهم لمنظمتك. وبدون التفكير في خطة شاملة، من السهل جدًا أن تتجاهل بعض أنواع التهديدات التي تركز كثيرًا على أحد المخاطر أو تتجاهل الأمن السيبراني حتى تحدث أزمة.

عندما تبدأ في تطوير خطة أمان، يكون هناك بعض الأسئلة المهمة التي يجب أن تطرحها على نفسك فيما يُعرف بعملية تقييم المخاطر. وتُساعد الإجابة عن هذه الأسئلة منظمتك في فهم التهديدات الفريدة التي تواجهها وتسمح لك بالتراجع والتفكير بشكل شامل حول ما ومن تحتاج إلى حمايته. يمكن للخبراء الاستشاريين المدربين، بمساعدة أنظمة مثل إطار عمل التدقيق SAFETAG الخاص بشركة Internews، المساعدة في قيادة منظمتك خلال هذه العملية. وإذا كان بإمكانك الوصول إلى هذا المستوى من الخبرة المهنية، فإن الأمر يستحق ذلك، ولكن حتى إذا لم تتمكن من الخضوع لتقييم كامل، فإنه يجب أن تلتقي بمنظمتك للنظر بعناية في هذه الأسئلة الرئيسية:

1

ما الأصول التي تمتلكها منظمتك وما الذي ترغب في حمايته؟ 

ويمكنك البدء في الرد على هذه الأسئلة عن طريق إنشاء بيان لجميع أصول المنظمة. وتُعد المعلومات مثل الرسائل ورسائل البريد الإلكتروني وجهات الاتصال والمستندات والتقويمات والمواقع كلها أصول محتملة. ويمكن أن تكون الهواتف وأجهزة الكمبيوتر والأجهزة الأخرى أصولاً. وقد يكون الأشخاص والاتصالات والعلاقات أصولاً أيضًا. اكتب قائمة بالأصول لديك وحاول تصنيفها حسب أهميتها للمنظمة، ومكان الاحتفاظ بها )ربما عدة أماكن رقمية أو مادية(، وما الذي يمنع الآخرين من الوصول إليها أو إتلافها أو تعطيلها. وضع في اعتبارك أنه لا يكون كل شيء على القدر نفسه من الأهمية. وإذا كانت بعض بيانات المنظمة تتعلق بسجل عام أو معلومات قمت بنشرها بالفعل، فإنها ليست أسرارًا تحتاج إلى حمايتها. 

2

من خصومك وما قدراتهم ودوافعهم؟

يُعد "الخصم" مصطلح شائع الاستخدام في الأمن التنظيمي. وبعبارات بسيطة، الخصوم هم الفاعلون )أفراد أو مجموعات( مهتمون باستهداف منظمتك وتعطيل عملك والوصول إلى معلوماتك أو تدميرها: الأشرار. ويمكن أن تشمل الأمثلة الخصوم المحتملين المحتالين الماليين أو المنافسين أو السلطات أو الحكومات المحلية أو الوطنية أو المتطفلين أصحاب الدوافع الأيديولوجية أو السياسية. ومن المهم وضع قائمة بخصومك والتفكير بشكل نقدي حول من قد يرغب في التأثير سلبًا على منظمتك وموظفيك. في حين أنه من السهل تصور الجهات الخارجية )مثل حكومة أجنبية أو مجموعة سياسية معينة( كخصوم، وضع في اعتبارك أيضًا أن الخصوم يمكن أن يكونوا أشخاصًا تعرفهم، مثل الموظفين الناقمون وأفراد الأسرة أو الشركاء غير الداعمين. ويُشكل الخصوم تهديدات مختلفة ولديهم موارد وقدرات مختلفة لتعطيل عملياتك والوصول إلى معلوماتك أو تدميرها. على سبيل المثال، غالبًا ما تمتلك الحكومات الكثير من الأموال والإمكانات القوية التي تتضمن إغلاق الإنترنت أو استخدام تقنية مراقبة باهظة الثمن؛ ومن المحتمل أن تتمتع شبكات الهاتف المحمول وموفري خدمة الإنترنت بإمكانية الوصول إلى سجلات المكالمات وتصفح السجلات؛ ويتمتع المتطفلون المهرة على شبكات Wi-Fi بالقدرة على اعتراض الاتصالات أو المعاملات المالية غير المؤمنة بشكل جيد. ويمكنك أن تكون أنت الخصم لنفسك، على سبيل المثال، عن طريق حذف ملفات مهمة عن طريق الخطأ أو إرسال رسائل خاصة إلى الشخص الخطأ.

ومن المرجح أن تختلف دوافع الخصوم مع اختلاف قدراتهم أو اهتماماتهم وإستراتيجياتهم. هل هم مهتمون بتشويه سمعة منظمتك؟ ربما يكونوا عازمون على القضاء على رسالتك؟ أو ربما يرون منظمتك على أنها منافسة ويريدون الحصول على ميزة؟ ومن المهم فهم دوافع الخصم لأن القيام بذلك يمكن أن يساعد منظمتك في تقييم التهديدات التي يمكن أن تطرأ بشكل أفضل.

3

ما التهديدات التي تواجه منظمتك؟ وما مدى احتماليتها وتأثيرها؟

عندما تحدد التهديدات المحتملة، فمن المحتمل أن ينتهي بك الأمر بقائمة طويلة قد تكون كبيرة جدًا. وقد تشعر أن أية جهود لن تكون مجدية، أو لا تعرف من أين تبدأ. للمساعدة في تمكين منظمتك من اتخاذ خطوات مثمرة تالية، من المفيد تحليل كل تهديد استنادًا إلى عاملين: احتمالية حدوث التهديد وتأثير التهديد إذا حدث.

ولقياس احتمالية حدوث تهديد )ربما "منخفضة أو متوسطة أو عالية"، استنادًا إلى ما إذا كان من غير المحتمل وقوع حدث معين أو يمكن أن يحدث أو يحدث بشكل متكرر(، فإنه يمكنك استخدام المعلومات التي تعرفها عن قدرة خصومك ودوافعهم وتحليل الحوادث الأمنية السابقة وتجارب المنظمات الأخرى المماثلة وبالطبع وجود أية إستراتيجيات تخفيف حالية وضعتها منظمتك.

لقياس تأثير تهديد ما، فكر في الشكل الذي سيبدو عليه عالمك إذا حدث التهديد بالفعل. واطرح أسئلة مثل "كيف أضرنا التهديد بصفتنا منظمة وبصفتنا أشخاص، جسديًا وعقليًا؟"، و"ما مدى استمرار التأثير؟، و"هل يؤدي هذا إلى حدوث مواقف ضارة أخرى؟، و"كيف يعيق ذلك قدرتنا على تحقيق أهدافنا التنظيمية الآن وفي المستقبل؟" أثناء إجابتك عن هذه الأسئلة، ضع في اعتبارك درجة تأثير التهديد، سواء كانت درجة منخفضة أو متوسطة أو عالية.

ولمساعدتك في إدارة عملية تقييم المخاطر هذه، فكر في استخدام ورقة عمل، مثل هذه التي وضعتها Electronic Frontier Foundation. وضع في اعتبارك أن المعلومات التي تضعها كجزء من هذه العملية )مثل قائمة خصومك والتهديدات التي تُشكلها( قد تكون في حد ذاتها معلومات حساسة، لذلك من المهم الحفاظ على أمانها.

وبمجرد أن تقوم بتصنيف التهديدات الخاصة من خلال الاحتمالية والتأثير، فإنه يمكنك البدء في وضع خطة عمل أكثر استنارة. ومن خلال التركيز على تلك التهديدات التي من المرجح أن تحدث "و" التي سيكون لها آثارًا سلبية كبيرة، فسوف تقوم بتوجيه مواردك المحدودة بأكثر الطرق كفاءة وفعالية ممكنة. وإن هدفك دائمًا هو تقليل أكبر قدر ممكن من مستوى المخاطر، ولكن لا يمكن لأي شخص – ليست الحكومة أو الشركة التي تتمتع بموارد جيدة – القضاء على المخاطر بشكل كامل. وهذا جيد: يمكنك فعل الكثير لحماية نفسك وزملائك ومنظمتك من خلال الاهتمام بالتهديدات الأكبر.

إنشاء خطة أمان